Product Documentation

Configuração de autenticação de certificado cliente

Oct 06, 2016

Para usar a autenticação de certificado de cliente para os modos ENT e MAM do XenMobile, você deve configurar o servidor Microsoft, o servidor XenMobile e o NetScaler Gateway. As seguintes etapas gerais são detalhadas neste artigo.

No servidor Microsoft:

  1. Adicione um snap-in de certificado ao Console de Gerenciamento Microsoft.
  2. Adicione o modelo à Autoridade de Certificação (AC).
  3. Crie um certificado PFX do servidor de AC.

No servidor XenMobile:

  1. Carregue o certificado no XenMobile.
  2. Crie a entidade PKI de autenticação baseada em certificado.
  3. Configure os provedores de credenciais.
  4. Configure o NetScaler Gateway para fornecer um certificado de usuário para autenticação.

No NetScaler Gateway:

  1. Configure o NetScaler Gateway para a autenticação de certificado do modo MAM do XenMobile.

Pré-requisitos

  • Para dispositivos Windows Phone 8.1 que usam autenticação de certificado de cliente e a descarga de SSL, é preciso desabilitar a reutilização de sessão SSL para a porta 443 nos servidores virtuais de balanceamento de carga e no NetScaler. Para fazer isso, execute o seguinte comando no e vservers para a porta 443:

set ssl vserver <ssl lb vserver> sessReuse DISABLE

Nota: A desativação da reutilização da sessão SSL desativa algumas das otimizações que o NetScaler oferece, o que pode resultar em uma redução no desempenho no NetScaler.

  • Para configurar a autenticação baseada em certificado para o Exchange ActiveSync, consulte este Microsoft blog.
  • Se você estiver usando certificados de servidor privados para proteger o tráfego do ActiveSync ao Exchange Server, verifique se os dispositivos móveis têm todos os certificados raiz e intermediários. Caso contrário, a autenticação baseada em certificado não ocorrerá durante a instalação da caixa de correio no WorxMail. No console do IIS do Exchange, você deve:
    • Adicione um site para uso do XenMobile com o Exchange e associe o certificado de servidor Web. 
    • Use a porta 9443. 
    • Para esse site, você deve adicionar dois aplicativos, um para "Microsoft-Server-ActiveSync" e um para "EWS". Por ambos os aplicativos, em Configurações de SSL, selecione Exigir SSL.
  • Certifique-se de que o WorxMail para iOS, Android e Windows Phone está preparado com o MDX Toolkit mais recente.

Adição de um snap-in de certificado ao Console de Gerenciamento Microsoft

1. Abra o console e, em seguida, clique em Adicionar ou Remover Snap-ins.

2. Adicione os seguintes snap-ins:

Modelos de Certificado
Certificados (Computador Local)
Certificados - Usuário Atual
Certificate Authority (Local)

localized image

3. Expanda Modelos de Certificado.

localized image

4. Selecione o modelo Usuário e Modelo Duplicado.

localized image

5. Forneça o nome para exibição do Modelo.

Importante: não marque a caixa de seleção Publicar o certificado no Active Directory a menos que seja necessário. Se essa opção estiver marcada, todos os certificados cliente do usuário serão enviados/criados no Active Directory, o que pode atravancar o banco de dados do Active Directory.

6. Selecione Windows 2003 Server como o tipo de modelo. No servidor Windows 2012 R2, em Compatibilidade, selecione Autoridade de certificação e defina o destinatário como Windows 2003.

7. Em Segurança, selecione a opção Registrar na coluna Permitir dos usuários autenticados.

localized image

8. Em Criptografia, verifique se você forneceu o tamanho de chave que precisará inserir durante a configuração do XenMobile. 

localized image

9. Em Nome da entidade, selecione Fornecer na solicitação. Aplique as alterações e, em seguida, salve.

localized image

Adição de um modelo à Autoridade de Certificação

1. Vá para Autoridade de Certificação e selecione Modelos de Certificado.

2. Clique com o botão direito do mouse no painel direito e selecione Novo > Modelo de Certificado a Ser Emitido.

localized image

3. Selecione o modelo que você criou na etapa anterior e clique em OK para adicioná-lo à Autoridade de Certificação.

localized image

Criação de um certificado PFX do servidor de AC

1. Crie um certificado .pfx de usuário usando a conta de serviço com a qual você fez login. Esse .pfx será carregado no XenMobile, que solicitará um certificado de usuário em nome dos usuários que registrarem os respectivos dispositivos.

2. Em Usuário Atual, expanda Certificados.

3. Clique com o botão direito do mouse no painel direito e clique em Solicitar Novo Certificado.

localized image

4. A tela Registro de Certificado é exibida. Clique em Avançar.

localized image

5.Selecione Política de Registro do Active Directory e clique em Avançar.

localized image

6. Selecione o modelo Usuário e clique em Registrar.

localized image

7. Exporte o arquivo .pfx criado na etapa anterior.

localized image

8. Clique em Sim, exportar a chave privada.

localized image

9. Selecione Incluir todos os certificados no caminho de certificação, se possível e marque a caixa de seleção Exportar todas as propriedades estendidas.

localized image

10. Defina uma senha que você usará quando carregar o certificado para o XenMobile.

localized image

11. Salve o certificado no seu disco rígido.

Upload do certificado no XenMobile

1. No console XenMobile, clique no ícone de engrenagem no canto superior direito. A tela Configurações é exibida.

2. Clique em Certificados e em Importar.

3. Insira os seguintes parâmetros:

  • Importar: Keystore
  • Tipo de keystore: PKCS#12
  • Usar como: Servidor
  • Arquivo de keystore: clique em Procurar para selecionar o certificado .pfx que você acabou de criar.
  • Senha: insira a senha criada para esse certificado. 
localized image

4. Clique em Importar.

5. Verifique se o certificado foi instalado corretamente. Ele deve ser exibido como um certificado de Usuário.

Criação da entidade PKI de autenticação baseada em certificado

1. Em Configurações, vá para Mais > Gerenciamento de Certificados > Entidades PKI.

2. Clique em Adicionar e em Entidade de serviços de certificado da Microsoft. A tela Entidade de serviços de certificado da Microsoft: informações gerais é exibida.

3. Insira os seguintes parâmetros:

  • Nome: insira qualquer nome
  • URL raiz do serviço de registro na Web: https://RootCA-URL/certsrv/
    Não se esqueça de adicionar o último caractere de barra (/) no caminho da URL.
  • Nome de página certnew.cer: certnew.cer (valor padrão)
  • certfnsh.asp: certfnsh.asp (valor padrão)
  • Tipo de autenticação: Certificado cliente
  • Certificado de cliente SSL: Selecione o certificado de usuário a ser usado para emitir o certificado cliente do XenMobile.
localized image

4. Em Modelos, adicione o modelo que você criou ao configurar o certificado da Microsoft. Tenha o cuidado de não adicionar espaços.

localized image

5. Ignore os Parâmetros HTTP e, em seguida, clique em Certificados AC.

6. Selecione o nome da AC raiz que corresponde ao seu ambiente. Essa AC raiz é parte da cadeia importada do certificado cliente do XenMobile.

localized image

7. Clique em Salvar.

Configuração dos provedores de credenciais

1. Em Configurações, vá para Mais > Gerenciamento de certificados > Provedores de credenciais.

2. Clique em Adicionar.

3. Em Geral, insira os seguintes parâmetros:

  • Nome: insira qualquer nome.
  • Descrição: digite qualquer descrição.
  • Entidade de emissão: selecione a entidade PKI criada anteriormente.
  • Método de emissão: SIGN
  • Modelos: selecione o modelo adicionado sob a entidade PKI. 
localized image

4. Clique em Solicitação de assinatura de certificado e insira os seguintes parâmetros:

  • Algoritmo de chave: RSA
  • Tamanho da chave: 2048
  • Algoritmo de assinatura: SHA1withRSA
  • Nome de entidade: cn=$user.username

Para Nomes de entidade alternativos, clique em Adicionar e insira os seguintes parâmetros:

  • Tipo: Nome UPN
  • Valor: $user.userprincipalname 
localized image

5. Clique em Distribuição e insira os seguintes parâmetros:

  • Emissão de certificado AC: Selecione a AC emissora que assinou o Certificado Cliente do XenMobile.
  • Selecionar modo de distribuição: selecione Preferir modo centralizado: geração de chaves do lado do servidor.
localized image

6. Para as duas próximas seções -- Revogação XenMobile e Revogação PKI -- defina os parâmetros conforme necessário. Para a finalidade deste artigo, ambas as opções são ignoradas.

7. Clique em Renovação.

8. Para Renovar os certificados quando eles expirarem, selecione I.

9. Deixe todas as outras configurações como o padrão ou altere-as conforme necessário. 

localized image

10. Clique em Salvar.

Configuração do WorxMail para usar a autenticação baseada em certificado

Quando você adicionar o WorxMail ao XenMobile, defina as configurações do Exchange em Configurações de Aplicativo.

localized image

Configuração da entrega de certificado do NetScaler no XenMobile

1. Faça login no console XenMobile e clique no ícone de engrenagem no canto superior direito. A tela Configurações é exibida.

2. Em Servidor, clique em NetScaler Gateway.

3. Se o NetScaler Gateway já não estiver adicionado, clique em Adicionar e especifique as configurações:

  • URL Externa: https://YourNetScalerGatewayURL
  • Tipo de login: Certificado
  • Senha obrigatória: O
  • Definir como padrão: I

4. Para Entregar certificado de usuário para autenticação, selecione I.

localized image

5. Para o Provedor de credenciais, selecione um provedor e clique em Salvar.

6. Se você usar atributos de sAMAccount nos certificados de usuário como alternativa para o nome UPN, configure o conector LDAP no XenMobile da seguinte maneira: vá para Configurações > LDAP, selecione o diretório e clique em Editar e selecione sAMAccountName em Pesquisa de usuário por.

localized image

Criação de uma política de Hub Empresarial para o Windows Phone 8.1

Para dispositivos Windows Phone 8.1, você deve criar uma política de dispositivo de Hub Empresarial para fornecer o arquivo AETX e o Worx Home cliente.

Nota

Verifique se o arquivo AETX e o Worx Home estavam usando o mesmo certificado empresarial do provedor de certificados e a mesma ID do Fornecedor da conta de desenvolvedor da Windows Store.

1. No console XenMobile, clique em Configurar > Políticas de dispositivo.

2. Clique em Adicionar e, sob Mais > XenMobile Agent, clique em Hub empresarial.

3. Após atribuir um nome à política, selecione o arquivo .AETX correto e o aplicativo Worx Home assinado para o hub empresarial.

localized image

4. Atribua a política a grupos de entrega e salve-a.

Uso do NetScaler para assistente do XenMobile para configurar o NetScaler Gateway para autenticação de certificado

Nota

Você pode executar o NetScaler para o assistente do XenMobile apenas uma vez. Se você já tiver usado o assistente, siga as instruções em "Para configurar manualmente o NetScaler Gateway para autenticação de certificado", a seguir.

Siga estas etapas no dispositivo NetScaler para configurar a autenticação de certificado no XenMobile.

1. Faça login no NetScaler.

2. Em Configuration, vá até Integrate with Citrix Products e selecione XenMobile.

Isso abre um assistente para configurar os recursos do NetScaler para a implantação do XenMobile.

3. Selecione XenMobile 10.

4. Clique em Get Started.

localized image

5. Na tela seguinte, selecione Access through NetScaler Gateway (para os modos ENT e MAM) e Load Balance XenMobile Servers e clique em Continue.

localized image

6. Na tela seguinte, insira o endereço IP do NetScaler Gateway externo e, em seguida, clique em Continue.

A tela Server Certificate for NetScaler Gateway é exibida.

7. Você poderá usar um certificado existente ou instalar um certificado. Clique em Continue.

A tela Authentication Settings é exibida.

8. No campo Primary authentication method, selecione Client Certificate.

Isso selecionará automaticamente Use existing certificate policy e Cert Auth nos dois campos seguintes. As seguintes etapas pressupõem que você já tenha uma política de certificado.

Se você precisar criar uma política de certificado, clique em Create certificate policy e faça as configurações. Na tela XenMobile Server Certificate, selecione um certificado de servidor existente ou instale um novo certificado. Se você estiver executando vários servidores XenMobile, adicionará um certificado para cada um deles. Para Server Logon Name Attribute especifique userPrincipalName ou samAccountName.

9. Selecione Click here to change the CA certificate e, na lista Browse, navegue até o certificado de AC que você deseja. 

localized image

10. Deixe Second authentication method como None e clique em Continue.

11. Na tela Device certificate, se o certificado ainda não estiver instalado, você deve exportar o certificado através do console XenMobile. Para isso:

a. No console, clique no ícone de engrenagem no canto superior direito para abrir a tela Configurações.

b. Clique em Certificado e selecione o certificado de AC na lista.

c. Clique em Exportar.

d. Retorne ao assistente do NetScaler e selecione o certificado que você exportou (baixou) para instalá-lo.

e. Clique em Continue.

Os endereços IP do servidor XenMobile que você configurou aparecerá.

12. Na tela Load Balancing, insira o FQDN do servidor XenMobile e um endereço IP de balanceamento de carga interno somente MAM.

13. Como essa é uma implantação de descarga de SSL, selecione HTTP em Communication with XenMobile Server.

O campo Split DNS mode for MicroVPN aparecerá como BOTH.

14. Clique em Continue

localized image

Os endereços IP do servidor XenMobile que você configurou aparecerá.

15. Clique em Continue.

No painel do NetScaler, confirme se o balanceamento de carga do NetScaler Gateway e do XenMobile estão configurados como mostrado a seguir.

localized image

16. Se você usar atributos sAMAccount nos certificados de usuário como alternativa ao o nome UPN, configure o perfil de certificado conforme descrito na próxima seção.

Configuração manual do NetScaler Gateway para autenticação de certificado

1. Em Traffic Management > Load Balancing > Virtual Servers, vá para cada servidor virtual (443 e 8443), atualize os SSL Parameters e defina Enable Session Reuse como DISABLED.

localized image

2. No servidor virtual do NetScaler Gateway, em Enable Client Authentication -> Client Certificate, selecione Client Authentication e para Client Certificate, selecione Mandatory.

localized image

3. Crie uma nova política de autenticação de certificado para que o XenMobile possa extrair o User Principal Name ou o sAMAccount do certificado cliente fornecido pelo Worx Home para o NetScaler Gateway.

4. Defina os seguintes parâmetros para o perfil de certificado:

Tipo de Autenticação:CERT

Dois fatores: ON or OFF

Campo Nome de usuário: Subject:CN

Campos Nome do grupo: SubjectAltName:PrincipalName

localized image

5. Associe apenas a política de autenticação de certificado de autenticação como a Primary Authentication no servidor virtual do NetScaler Gateway.

localized image

6. Associe o certificado raiz de AC para validar a relação de confiança do certificado cliente apresentado ao NetScaler Gateway.

localized image

Solução de problemas da sua configuração de certificado cliente

Depois de uma configuração de fluxo de trabalho com êxito, a sequência de tarefas é a seguinte:

1. Os usuários registram seus dispositivos móveis.

2. O XenMobile solicita que os usuários criem um PIN do Worx.

3. Os usuários são redirecionados para o Worx Store.

4. Quando os usuários iniciam o WorxMail para iOS, Android ou Windows Phone 8.1, o XenMobile não solicita credenciais de usuário para configurar suas caixas de correio. Em vez disso, o WorxMail solicita o certificado de cliente do Worx Home e o envia para o Microsoft Exchange Server para autenticação. Se o XenMobile solicitar credenciais quando os usuários iniciarem o WorxMail, verifique a sua configuração.

Se os usuários puderem baixar e instalar o WorxMail, mas durante a configuração da caixa de correio o WorxMail não termina a configuração:

1. Se o Microsoft Exchange Server estiver usando certificados de servidor SSL privados para proteger o tráfego, verifique se a os certificados raiz/intermediário estão instalados no dispositivo móvel.

2. Verifique se o tipo de autenticação selecionado para o ActiveSync é Exigir certificados de cliente.

localized image

3. No Microsoft Exchange Server, verifique se o site Microsoft-Server-ActiveSync tem a autenticação de mapeamento de certificado de cliente habilitada (por padrão está desabilitada). A opção está sob Editor de Configurações > Segurança > Autenticação.

localized image

Nota: Depois de selecionar True, clique em Apply para que as alterações tenham efeito.

4. Verifique as configurações do NetScaler Gateway no console XenMobile: verifique se Entregar certificado de usuário para autenticação estiver definido como I e se Provedor de credenciais e tem o perfil correto selecionado, conforme descrito anteriormente em "Para configurar a entrega de certificado do NetScaler no XenMobile".


Para determinar se o certificado de cliente foi entregue a um dispositivo móvel:

1. No console XenMobile, vá para Gerenciar > Dispositivos e selecione o dispositivo.

2. Clique em Editar ou Mostrar Mais.

3. Vá para a seção de Grupos de Entrega e procure esta entrada:

NetScaler Gateway Credentials : Requested credential, CertId=


Para validar se a negociação do certificado de cliente está habilitada:

1. Execute este comando netsh para mostrar a configuração de certificado SSL que está ligada ao website do IIS:

netsh http show sslcert

2. Se o valor de Negociar Certificado de Cliente está Desabilitado, execute o seguinte comando para habilitá-lo:

netsh http delete sslcert ipport=0.0.0.0:443

netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

Por exemplo:

netsh http add sslcert ipport=0.0.0.0:443 certhash=609da5df280d1f54a7deb714fb2c5435c94e05da appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

Se não for possível fornecer certificados raiz/intermediários a um dispositivo Windows Phone 8.1 por meio do XenMobile:

  • Envie arquivos de certificados raiz/intermediário (.cer) por email ao dispositivo Windows Phone 8.1 e instale-os diretamente.

Se o WorxMail não for instalado com êxito no Windows Phone 8.1:

  • Verifique se o arquivo Application Enrollment Token (.AETX) é entregue por meio do XenMobile usando a política de dispositivo de hub empresarial.
  • Verifique se o arquivo Application Enrollment Token foi criado usando o mesmo certificado empresarial do provedor de certificados usado para preparar o WorxMail e assinar aplicativos do Worx Home.
  • Verifique se a mesma ID do editor está sendo usado para assinar e preparar o Worx Home, o WorxMail e o Application Enrollment Token.