Product Documentation

Autenticação de certificado do modo somente MAM

Oct 06, 2016

Para usar a autenticação de certificado no modo somente MAM, você deve configurar o servidor Microsoft, o servidor XenMobile e o servidor NetScaler Gateway. As seguintes etapas gerais são detalhadas neste artigo.

No servidor Microsoft:

  1. Adicione um snap-in de certificado ao Console de Gerenciamento Microsoft.
  2. Adicione o modelo à Autoridade de Certificação (AC).
  3. Crie um certificado PFX do servidor de AC.

No servidor XenMobile:

  1. Carregue o certificado no XenMobile.
  2. Crie a entidade PKI de autenticação baseada em certificado.
  3. Configure os provedores de credenciais.
  4. Configure o NetScaler Gateway para fornecer um certificado de usuário para autenticação.

No NetScaler Gateway:

  1. Configure o NetScaler Gateway para a autenticação de certificado do modo somente MAM do XenMobile

Para adicionar um snap-in de certificado ao Console de Gerenciamento Microsoft

1. Abra o console e, em seguida, clique em Adicionar ou Remover Snap-ins.

2. Adicione os seguintes snap-ins:

Modelos de Certificado
Certificados (Computador Local)
Certificados - Usuário Atual
Certificate Authority (Local)

localized image

3. Expanda Modelos de Certificado.

localized image

4. Selecione o modelo Usuário e Modelo Duplicado.

localized image

5. Forneça o nome para exibição do Modelo.

Importante: não marque a caixa de seleção Publicar o certificado no Active Directory a menos que seja necessário. Se essa opção estiver marcada, todos os certificados cliente do usuário serão enviados/criados no Active Directory, o que pode atravancar o banco de dados do Active Directory.

6. Selecione Windows 2003 Server como o tipo de modelo. No servidor Windows 2012 R2, em Compatibilidade, selecione Autoridade de certificação e defina o destinatário como Windows 2003.

localized image

7. Em Segurança, selecione a opção Registrar na coluna Permitir dos usuários autenticados.

localized image

8. Em Criptografia, verifique se você forneceu o tamanho de chave que precisará inserir durante a configuração do XenMobile.

localized image

9. Em Nome da entidade, selecione Fornecer na solicitação. Aplique as alterações e, em seguida, salve.

localized image

Para adicionar o modelo à Autoridade de Certificação

1. Vá para Autoridade de Certificação e selecione Modelos de Certificado.

2. Clique com o botão direito do mouse no painel direito e selecione Novo > Modelo de Certificado a Ser Emitido.

localized image

3. Selecione o modelo que você criou na etapa anterior e clique em OK para adicioná-lo à Autoridade de Certificação.

localized image

Para criar um certificado PFX do servidor de AC

1. Crie um certificado .pfx de usuário usando a conta de serviço com a qual você fez login. Esse .pfx será carregado no XenMobile, que solicitará um certificado de usuário em nome dos usuários que registrarem os respectivos dispositivos.

2. Em Usuário Atual, expanda Certificados.

3. Clique com o botão direito do mouse no painel direito e clique em Solicitar Novo Certificado.

localized image

4. A tela Registro de Certificado é exibida. Clique em Avançar.

localized image

5. Selecione Política de Registro do Active Directory e clique em Avançar.

localized image

6. Selecione o modelo Usuário e clique em Registrar.

localized image

7. Exporte o arquivo .pfx criado na etapa anterior.

localized image

8. Clique em Sim, exportar a chave privada.

localized image

9. Selecione Incluir todos os certificados no caminho de certificação, se possível e marque a caixa de seleção Exportar todas as propriedades estendidas.

localized image

10. Defina uma senha que você usará quando carregar o certificado para o XenMobile.

localized image

11. Salve o certificado no seu disco rígido.

Para carregar o certificado no XenMobile

1. No console XenMobile, clique no ícone de engrenagem no canto superior direito. A tela Configurações é exibida.

2. Clique em Certificados e em Importar.

3. Insira os seguintes parâmetros:

  • Importar: Keystore
  • Tipo de keystore: PKCS#12
  • Usar como: Servidor
  • Arquivo de keystore: clique em Procurar para selecionar o certificado .pfx que você acabou de criar.
  • Senha: insira a senha criada para esse certificado.
localized image

5. Clique em Importar.

6. Verifique se o certificado foi instalado corretamente. Ele deve ser exibido como um certificado de Usuário.

Para criar a entidade PKI para a autenticação baseada em certificado

1. Em Configurações, vá para Mais > Gerenciamento de Certificados > Entidades PKI.

2. Clique em Adicionar e em Entidade de serviços de certificado da Microsoft. A tela Entidade de serviços de certificado da Microsoft: informações gerais é exibida.

3. Insira os seguintes parâmetros:

  • Nome: insira qualquer nome
  • URL raiz do serviço de registro na Web: https://RootCA-URL/certsrv/
    Observação: Não se esqueça de adicionar o último caractere de barra (/) no caminho da URL.
  • Nome de página certnew.cer: certnew.cer (valor padrão)
  • certfnsh.asp: certfnsh.asp (valor padrão)
  • Tipo de autenticação: Certificado cliente
  • Certificado de cliente SSL: selecione o RootCA que assinou o certificado cliente do XenMobile.
localized image

4. Em Modelos, adicione o modelo que você criou ao configurar o certificado da Microsoft. Tenha o cuidado de não adicionar espaços.

localized image

5. Ignore os Parâmetros HTTP e, em seguida, clique em Certificados AC.

6. Selecione o certificado de usuário a ser usado para emitir o certificado cliente do XenMobile. Isso é parte da cadeia importada do certificado cliente do XenMobile.

localized image

7. Clique em Salvar.

Para configurar os provedores de credenciais

1. Em Configurações, vá para Mais > Gerenciamento de certificados > Provedores de credenciais.

2. Clique em Adicionar.

3. Em Geral, insira os seguintes parâmetros:

  • Nome: insira qualquer nome
  • Descrição: digite qualquer descrição.
  • Entidade de emissão: selecione a entidade PKI criada anteriormente.
  • Método de emissão: SIGN
  • Modelos: selecione o modelo adicionado sob a entidade PKI. 
localized image

4. Em seguida, clique em Solicitação de assinatura de certificado e insira os seguintes parâmetros:

  • Algoritmo de chave: RSA
  • Tamanho da chave: 2048
  • Algoritmo de assinatura: SHA1withRSA
  • Nome de entidade: cn=$user.username

O nome da entidade faz referência a sAMAccountName. Isso permite que o NetScaler use o campo de nome de usuário para autenticação.

5. Para Nomes de entidade alternativos, clique em Adicionar e insira os seguintes parâmetros:

  • Tipo: Nome UPN
  • Valor: $user.userprincipalname 
localized image

6. Clique em Distribuição e insira os seguintes parâmetros:

  • Emissão de certificado AC: Selecione a AC emissora que assinou o Certificado Cliente do XenMobile.
  • Selecionar modo de distribuição: selecione Preferir modo centralizado: geração de chaves do lado do servidor.
localized image

7. Para as duas próximas seções -- Revogação XenMobile e Revogação PKI --, defina os parâmetros conforme necessário. Para a finalidade deste artigo, ambas as opções são ignoradas.

8. Clique em Renovação.

9. Para Renovar os certificados quando eles expirarem, selecione I.

10. Deixe todas as outras configurações como o padrão ou altere-as conforme necessário.

localized image

11. Clique em Salvar.

Para configurar a entrega de certificado do NetScaler no XenMobile

1. Faça login no console XenMobile e clique no ícone de engrenagem no canto superior direito. A tela Configurações é exibida.

2. Em Servidor, clique em NetScaler Gateway.

3. Se o NetScaler Gateway já não estiver adicionado, clique em Adicionar e especifique as configurações:

URL Externa: https://YourNetScalerGatewayURL

Tipo de login: Certificado

Senha obrigatória: O

Definir como padrão: I

4. Para Entregar certificado de usuário para autenticação, selecione Ativado e clique em Salvar.

localized image

5. Para o Provedor de credenciais, selecione um provedor e clique em Salvar.

Para configurar o NetScaler Gateway para autenticação de certificado

Siga estas etapas no dispositivo NetScaler para configurar a autenticação de certificado no XenMobile no modo somente MAM.

1. Faça login no NetScaler.

2. Em Configuration, vá até Integrate with Citrix Products e selecione XenMobile.

Isso abre um assistente para configurar os recursos do NetScaler para a implantação do XenMobile.

3. Selecione XenMobile 10.

4. Clique em Get Started.

localized image

5. Na tela seguinte, selecione Access through NetScaler Gateway e Load Balance XenMobile Servers, e clique em Continue.

localized image

6. Na tela seguinte, insira o endereço IP do NetScaler Gateway externo e, em seguida, clique em Continue.

A tela Server Certificate for NetScaler Gateway é exibida.

7. Você poderá usar um certificado existente ou instalar um certificado. Clique em Continue.

A tela Authentication Settings é exibida.

8. No campo Primary authentication method, selecione Client Certificate.

Isso selecionará automaticamente Use existing certificate policy e Cert Auth nos dois campos seguintes.

9. Selecione Click here to change the CA certificate e, na lista Browse, navegue até o certificado de AC que você deseja.

localized image

10. Deixe Second authentication method como None e clique em Continue.

11. Na tela Load Balancing, insira o FQDN do servidor XenMobile e um endereço IP de balanceamento de carga interno somente MAM.

12. Como essa é uma implantação de descarga de SSL, selecione HTTP em Communication with XenMobile Server.

O campo Split DNS mode for MicroVPN aparecerá como BOTH.

13. Clique em Continue.

localized image

14. Na tela XenMobile Server Certificate, selecione um certificado de servidor existente ou instale um novo certificado. Se você estiver executando vários servidores XenMobile, adicionará um certificado para cada um deles. Clique em Continue.

15. Na tela Device certificate, se ele já não estiver instalado, você precisará exportar esse certificado do console XenMobile. Para isso:

a. No console, clique no ícone de engrenagem no canto superior direito para abrir a tela Configurações.

b. Clique em Certificado e selecione o certificado de AC na lista.

c. Clique em Exportar.

d. Retorne ao assistente do NetScaler e selecione o certificado que você exportou (baixou) para instalá-lo.

e. Clique em Continue.

Os endereços IP do servidor XenMobile que você configurou aparecerá.

16. Clique em Continue.

No painel do NetScaler, confirme se o balanceamento de carga do NetScaler Gateway e do XenMobile está configurado:

localized image