Product Documentation

Certificados

Oct 24, 2016

Você pode usar certificados no XenMobile para criar conexões seguras e autenticar usuários.

Por padrão, o XenMobile vem com um certificado de Protocolo SSL gerado durante a instalação para proteger os fluxos de comunicação com o servidor. A Citrix recomenda substituir o certificado SSL por um certificado SSL confiável de uma autoridade de certificação (AC) conhecida.

O XenMobile também usa o seu próprio serviço de Infraestrutura de Chave Pública (PKI) ou obtém certificados da CA dos certificados cliente. Todos os produtos Citrix são compatíveis com certificados curinga e Nome Alternativo da Entidade (SAN). Para a maioria das implementações, você precisa somente de dois certificados curinga ou SAN.

A autenticação de certificado cliente fornece uma camada extra de segurança para os aplicativos móveis e permite aos usuários acessar facilmente aplicativos HDX. Quando a autenticação de certificado de cliente está configurada, os usuário inserem seu PIN do Worx para acesso com logon único a aplicativos compatíveis com o Worx. O PIN do Worx também simplifica o processo de autenticação do usuário. O PIN do Worx é usado para proteger um certificado de cliente ou salvar credenciais do Active Directory localmente no dispositivo.

Para registrar e gerenciar dispositivos iOS com o XenMobile, você precisa configurar e criar um certificado de serviço de Notificação por Push da Apple (APNs) da Apple. Para obter instruções, consulte Solicitando um certificado de APNs.

A seguinte tabela mostra o formato e o tipo de certificado para cada componente do XenMobile:

Componente do XenMobileFormato do certificadoTipo de certificado exigido
NetScaler GatewayPEM (BASE64)

PFX (PKCS#12)

SSL, Raiz

O NetScaler Gateway converte PFX em PEM automaticamente.

Servidor XenMobilePEM ou

PFX (PKCS#12)

SSL, SAML, APNs

O XenMobile também gera uma PKI completa durante o processo de instalação.

O servidor XenMobile não é compatível com certificados com uma extensão .pem. Use o comando openssl para gerar um arquivo PFX de um arquivo PEM:

openssl pkcs12 -export -out certificate.pfx -in certificate.pem

StoreFrontPFX (PKCS#12)SSL, Raiz


O XenMobile dá suporte a certificados de ouvinte SSL e certificados de cliente com comprimentos de 4096, 2048 e 1024 bits. Esteja ciente de que 1024 bits certificados podem ser comprometidos facilmente.

Para o NetScaler Gateway e o servidor XenMobile, a Citrix recomenda a obtenção de certificados de servidor de uma AC pública, como Verisign, DigiCert ou Thawte. Você pode criar uma Solicitação de Assinatura de Certificado (CSR) do NetScaler Gateway ou do utilitário de configuração do XenMobile. Depois de criar a CSR, você a envia para a AC assinar. Quando a AC retorna o certificado assinado, você pode instalá-lo no NetScaler Gateway ou no XenMobile.

Certificados cliente para autenticação

No ambiente do XenMobile, uma combinação de certificado cliente mais a autenticação de LDAP é a melhor solução para segurança e a melhor experiência do usuário, com as melhores possibilidades de SSO combinadas com a segurança fornecidas pela autenticação de dois fatores no NetScaler. O uso de certificado cliente e LDAP fornece segurança com algo que os usuários sabem (suas senhas do Active Directory) e algo que eles têm (certificados de cliente em seus dispositivos). O WorxMail (e alguns outros aplicativos do Worx) pode configurar automaticamente e fornecer uma experiência de usuário pela primeira vez sem interrupções com autenticação de certificado de cliente, com um ambiente de servidor de acesso de cliente Exchange corretamente configurado. Para melhor usabilidade, você pode combinar essa opção com o PIN do Worx e armazenamento em cache de senha do Active Directory.

A autenticação de certificado de cliente é baseada nos atributos do certificado cliente que é apresentado ao servidor virtual. Você deve associar um certificado raiz ao servidor virtual no NetScaler Gateway. Quando os usuários fizerem login no NetScaler Gateway as informações de nome do usuário serão extraídas do campo especificado do certificado. Normalmente, o campo é Subject:CN. Se o nome do usuário for extraído com êxito, o usuário será autenticado em seguida. Se o usuário não fornecer um certificado válido durante o handshake SSL ou se a extração do nome do usuário falhar, a autenticação falhará.

Observações:

  • A autenticação de certificado cliente também pode ser usada com outro tipo de autenticação, como RADIUS.
  • Você pode autenticar os usuários com base no certificado cliente definindo o tipo de autenticação padrão a usar o certificado cliente. Você também pode criar uma ação de certificado que define o que deve ser feito durante a autenticação com base em um certificado SSL cliente.
  • O WorxMail (e alguns outros aplicativos do Worx) pode configurar automaticamente e fornecer uma experiência de usuário pela primeira vez sem interrupções com autenticação de certificado de cliente, com um ambiente de servidor de acesso de cliente Exchange corretamente configurado. Para melhor usabilidade, você pode combinar essa opção com o PIN do Worx e armazenamento em cache de senha do Active Directory.
  • A autenticação de dispositivo com o Netscaler Gateway não é compatível com os certificados obtidos por meio de uma AC discricionária.
  • O XenMobile não oferece suporte a autenticação de certificado de cliente para dispositivos compartilhados.

PKI do XenMobile

O recurso de integração de Infraestrutura de Chave Pública (PKI) do XenMobile permite gerenciar a distribuição e o ciclo de vida dos certificados de segurança usados nos seus dispositivos.

O XenMobile cria uma PKI interna para autenticação de dispositivo durante o processo de instalação.

As PKIs externas também podem ser usadas para emitir certificados para dispositivos a serem utilizados em políticas de configuração ou para autenticação de cliente no NetScaler Gateway.

O recurso principal do sistema PKI é a entidade PKI. Uma entidade PKI modela um componente de back-end para operações de PKI. Esse componente faz parte da sua infraestrutura corporativa, como uma PKI da Microsoft, RSA, Entrust, Symantex ou OpenTrust. A entidade PKI manipula a emissão e a revogação de certificados de back-end. A entidade PKI é a origem autoritativa do status do certificado. A configuração do XenMobile normalmente conterá exatamente uma entidade PKI por componente PKI de back-end.

O segundo recurso do sistema PKI é o provedor de credenciais. Um provedor de credenciais é uma configuração específica de emissão e ciclo de vida de certificados. O provedor de credenciais controla coisas como o formato do certificado (assunto, chave, algoritmos) e as condições para a respectiva renovação ou revogação, se houver. Os provedores de credenciais delegam operações às entidades PKI. Em outras palavras, embora os provedores de credenciais controlem quando e com que dados são realizadas as operações de PKI, as entidades PKI controlam como essas operações são realizadas. A configuração do XenMobile normalmente contém muitos provedores de credenciais por entidade PKI.

Administração de certificado do XenMobile

Recomendamos que você acompanhe os certificados que usar na implantação do XenMobile, especialmente quanto às suas datas de expiração e senhas associadas. Esta seção destina-se a ajudá-lo a facilitar a administração de certificados no XenMobile.

Seu ambiente pode incluir alguns dos seguintes certificados ou todos eles:

Servidor XenMobile
Certificado SSL para MDM FQDN
Certificado (SAML para ShareFile)
Certificados raiz e de AC intermediários para os certificados acima e quaisquer outros recursos internos (StoreFront / Proxy e assim por diante)
Certificado de APNs para gerenciamento de dispositivo iOS
Certificados de APNs internos para notificações do Worx Home de servidor XenMobile
Certificado de usuário PKI para conectividade com PKI

MDX Toolkit
Certificado de desenvolvedor Apple
Perfil de provisionamento da Apple (por aplicativo)
Certificado Apple APNs (para uso com o WorxMail)
Arquivo Android KeyStore
Windows Phone – Certificado Symantec

NetScaler
Certificado SSL para MDM FQDN
Certificado SSL para FQDN de Gateway
Certificado SSL para o FQDN do ShareFile SZC
Certificado SSL para o balanceamento de carga do Exchange (configuração de descarregamento)
Certificado SSL para balanceamento de carga de StoreFront
Certificados raiz e de AC intermediários para os certificados acima

Política de expiração de certificado do XenMobile

Se você deixar que um certificado expire, o certificado se torna inválido, e você não pode mais executar transações seguras no seu ambiente e não poderá acessar recursos do XenMobile.

Nota

A Autoridade de Certificação (AC) exibirá um aviso para você renovar seu certificado SSL antes da data de vencimento.

Certificado de APNs para o WorxMail

Como os certificados do serviço Apple Push Notification (APNs) expiram a cada ano, crie um novo serviço certificado SSL de Notificação por Push da Apple e atualize-o no portal Citrix antes da expiração do certificado. Se o certificado expirar, os usuários verão discrepâncias com as notificações por push do WorxMail. Além disso, você não poderá mais enviar notificações por push relativas aos seus aplicativos.

Certificado de APNs para gerenciamento de dispositivo iOS

Para registrar e gerenciar dispositivos iOS com o XenMobile, você precisa configurar e criar um certificado de serviço de APNs da Apple. Se o certificado expirar, os usuários não podem se registrar no XenMobile e você não pode gerenciar os respectivos dispositivos iOS. Para obter detalhes, consulte Solicitando um certificado de APNs.

Você pode exibir o status do certificado de APNs e data de vencimento fazendo logon no Apple Push Certificate Portal. Faça logon como o mesmo usuário que criou o certificado.

Você também receberá uma notificação por email da Apple 30 e 10 dias antes da data de expiração com as seguintes informações:

O seguinte certificado de Serviço de Notificação por Push da Apple, criado para AppleID CustomersID expirará em Data. Se você revogar ou permitir que este certificado expire, os dispositivos existentes terão de ser registrados novamente com um novo certificado de push.

Entre em contato com o fornecedor para gerar uma nova solicitação (uma CSR assinada) e depois visite https://identity.apple.com/pushcert para renovar seu certificado de Serviço de Notificação por Push da Apple.

Obrigado,

Serviço de Notificação por Push da Apple"

MDX Toolkit (certificado de distribuição do iOS)

Qualquer aplicativo que é executado em um dispositivo iOS físico (diferente dos aplicativos na Apple App Store) deve ser assinado com um perfil de provisionamento e um certificado correspondente de distribuição.

Esteja ciente de que um certificado iOS Developer for Enterprise e um perfil de provisionamento existentes podem não ser compatíveis com o iOS 9. Para obter detalhes, consulte Preparação do Worx Apps para iOS 9.

Para verificar se você tem um certificado de distribuição do iOS válido, faça o seguinte:

1. No portal Apple Enterprise Developer, crie uma ID de Aplicativo explícita para cada aplicativo que deseja preparar com o MDX Toolkit. Um exemplo de ID de Aplicativo aceitável é: com.NomeDaEmpresa.NomeDoProduto.
2. No portal Apple Enterprise Developer, vá até Provisioning Profiles > Distribution e crie um perfil de provisionamento interno. Repita esta etapa para cada ID de Aplicativo criada na etapa anterior.
3. Baixe todos os perfis de provisionamento. Para obter detalhes, veja Preparação de aplicativos móveis iOS.

Para confirmar que todos os certificados de servidor XenMobile são válidos, faça o seguinte:

  1.  No console XenMobile, clique em Configurações e, em seguida, clique em Certificados
  2. Verifique se todos os certificados de APNs, incluindo os certificados de ouvinte SSL, raiz e intermediário são válidos.

Android KeyStore

O KeyStore é um arquivo que contém os certificados usados para assinar o aplicativo Android. Quando o período de validade da sua chave expira, os usuários não poderão mais atualizar em interrupções para novas versões do seu aplicativo.

Certificado empresarial da Symantec para Windows Phones

A Symantec é o provedor exclusivo de certificados de assinatura para o serviço Hub de Aplicativos Microsoft. Os desenvolvedores e editores de software entram no Hub de Aplicativos para distribuir aplicativos Windows Phone e Xbox 360 para download através do Windows Marketplace. Para obter detalhes, consulte Certificados de Autenticação de código Symantec para Windows Phone na documentação da Symantec.
 
Se o certificado expirar, os usuários do Windows Phone não podem registrar, instalar um aplicativo publicado e assinado pela empresa, ou iniciar um aplicativo da empresa que foi instalada no telefone.

NetScaler

Para obter detalhes sobre como tratar de expiração do certificado do NetScaler, consulte Como lidar com de expiração de certificado no NetScaler no o suporte da Citrix Knowledge Center.

Um certificado NetScaler expirado impede que os usuários registrem, acessem o Worx Store, conectem com o Exchange Server ao usar o WorxMail e enumerar e abrir aplicativos HDX (dependendo de qual certificado expirou). 

O Expiry Monitor e o Command Center podem ajudar você a acompanhar seus certificados e NetScaler o notificarão quando o certificado expirar. Essas duas ferramentas auxiliam na monitoração dos seguintes certificados do Netscaler:

Certificado SSL para MDM FQDN
Certificado SSL para FQDN de Gateway
Certificado SSL para o FQDN do ShareFile SZC
Certificado SSL para o balanceamento de carga do Exchange (configuração de descarregamento)
Certificado SSL para balanceamento de carga de StoreFront
Certificados raiz e de AC intermediários para os certificados acima