Product Documentation

Provedores de credenciais

Oct 06, 2016

Os provedores de credenciais são as configurações reais de certificado que você usa em várias partes do sistema XenMobile. Eles definem as origens, os parâmetros e os ciclos de vida dos certificados, quer eles façam parte das configurações do dispositivo ou sejam autônomos, ou seja, enviados como são para o dispositivo.

O registro do dispositivo restringe o ciclo de vida do certificado. Ou seja, o XenMobile não emite certificados antes do registro, embora ele possa emitir alguns certificados como parte do processo de registro. Além disso, os certificados emitidos da PKI interna no contexto de um registro são revogados quando o processo de registro é revogado. Depois que o relacionamento de gerenciamento é encerrado, nenhum certificado válido permanece.

Você pode usar uma configuração de provedor de credenciais em vários locais para que uma configuração possa reger qualquer número de certificados ao mesmo tempo. A unidade está no recurso de implantação e na implantação. Por exemplo, se o Provedor de credenciais P for implantado no dispositivo D como parte da configuração de C, as configurações de emissão de P determinarão o certificado que é implantado em D. Da mesma forma, as configurações de renovação de D se aplicam quando C é atualizado, e as configurações de revogação de D também se aplicam quando C é excluído ou D é revogado.

Com isso em mente, a configuração do provedor de credencial no XenMobile realiza o seguinte:

  • Determina a fonte dos certificados.
  • Determina o método pelo qual os certificados são obtidos: assinando um novo certificado ou obtendo (recuperando) um certificado e um par de chaves existentes.
  • Determina os parâmetros para emissão ou recuperação. Por exemplo, os parâmetros de CSR (Solicitação de Assinatura de Certificado), como tamanho da chave, algoritmo de chave, nome diferenciado, extensões e assim por diante.
  • Determina a forma como os certificados são entregues ao dispositivo.
  • Determina as condições de revogação. Embora todos os certificados sejam revogados no XenMobile quando o relacionamento de gerenciamento é interrompido, a configuração pode especificar uma revogação anterior; por exemplo, quando a configuração do dispositivo associado é excluída. Além disso, sob algumas condições, a revogação do certificado associado no XenMobile pode ser enviada para a infraestrutura de chave pública (PKI) de back-end; ou seja, a revogação no XenMobile pode causar a respectiva revogação na PKI.
  • Determina as configurações de renovação. Os certificados obtidos por meio de um determinado provedor de credenciais podem ser renovados automaticamente quando estiverem perto do vencimento ou, de modo independente dessa situação, poderão ser enviadas notificações quando o vencimento estiver próximo.

Até que ponto as várias opções de configuração estão disponíveis depende principalmente do tipo de Entidade PKI e do método de emissão que você selecionar para um provedor de credenciais.

Métodos de emissão de certificado

Você pode obter um certificado, chamado de métodos de emissão, de duas maneiras:

  • assinar. Com esse método, a emissão envolve a criação de uma nova chave privada, a criação de um CSR e o envio do CSR para uma Autoridade de Certificação (AC) para assinatura. O XenMobile é compatível com o método de assinar para as três entidades PKI (Entidade de serviços de certificado da Microsoft, PKI Genérica e AC Discricionária).
  • obter. Com esse método, a emissão, para fins do XenMobile, é uma recuperação de um par de chaves existente. O XenMobile é compatível com o método obter somente para PKI Genérica.

Um provedor de credenciais usa o método de emissão assinar ou obter. O método selecionado afeta as opções de configuração disponíveis. Em especial, a configuração de CSR e a entrega distribuída estarão disponíveis somente se o método de emissão for assinar. Um certificado obtido sempre é enviado para o dispositivo como um PKCS#12, o equivalente ao modo de entrega centralizado do método assinar.

Entrega de certificado

Dois modos de entrega de certificado estão disponíveis no XenMobile: centralizado e distribuído. O modo distribuído usa o Protocolo de Registro de Certificado Simples (SCEP) e está disponível somente nas situações em que o cliente é compatível com o protocolo (somente iOS). O modo distribuído é obrigatório em algumas situações.

Para que um provedor de credenciais seja compatível com a entrega distribuída (assistida por SCEP), é necessária uma etapa de configuração especial: Configurar certificados de Autoridade de Registro (RA). Os certificados de RA são necessários porque, ao usar o protocolo SCEP, o XenMobile age como um representante (um registrador) da AC real e precisa comprovar para o cliente que ele tem a autoridade para agir como tal. Essa autoridade é estabelecida por meio do fornecimento ao XenMobile dos certificados anteriormente mencionados.

São necessárias duas funções de certificado diferentes (embora um único certificado possa atender a ambos os requisitos): assinatura de RA e criptografia de RA. As restrições dessas funções são as seguintes:

  • O certificado de assinatura RA deve ter a assinatura digital de uso de chave X.509.
  • O certificado de criptografia RA deve ter a codificação de chave de uso de chave X.509.

Para configurar os certificados de RA do provedor de credenciais, você deve carregar os certificados para o XenMobile e criar links para eles no provedor de credenciais.

Um provedor de credenciais é considerado como compatível com entregas distribuídas somente se ele tiver um certificado configurado para funções de certificado. Cada provedor de credenciais pode ser configurado para dar preferência ao modo centralizado, ao modo distribuído ou para exigir o modo distribuído. O resultado real depende do contexto: se o contexto não for compatível com o modo distribuído, mas o provedor de credenciais exigir esse modo, a implantação não será realizada. Da mesma forma, quando o contexto exige o modo distribuído, mas o provedor de credenciais não é compatível com ele, a implantação não é realizada. Em todos os outros casos, a configuração preferencial é respeitada.

A seguinte tabela mostra a distribuição SCEP em todo o XenMobile:

Contexto SCEP com suporte SCEP necessário
Serviço de Perfil do iOS Sim Sim
Registro do gerenciamento de dispositivo móvel do iOS Sim Não
Perfis de configuração do iOS Sim Não
Registro SHTP Não Não
Configuração SHTP Não Não
Registro do Windows Phone Não Não
Configuração do Windows Phone Não Não

Revogação de certificados

Há três tipos de revogação.

  • Revogação interna. A revogação interna afeta o status do certificado, conforme mantido pelo XenMobile. Esse status é levado em consideração quando o XenMobile avalia um certificado apresentado a ele ou quando o XenMobile deve fornecer as informações de status OCSP de algum certificado. A configuração do provedor de credenciais determina como o status é afetado sob várias condições. Por exemplo, o provedor de credenciais pode especificar que os certificados obtidos por meio do provedor de certificados devem ser sinalizados como revogados quando os certificados tiverem sido excluídos do dispositivo.
  • Revogação propagada externamente. Também conhecido como Revogação XenMobile, esse tipo de revogação se aplica aos certificados obtidos de uma PKI externa. O certificado foi revogado na PKI quando ele foi revogado internamente pelo XenMobile, sob as condições definidas pela configuração do provedor de credenciais. A chamada para realizar a revogação exige uma entidade PKI Geral (GPKI) com capacidade de revogação.
  • Revogação induzida externamente. Também conhecida como Revogação PKI, esse tipo de revogação também se aplica somente aos certificados obtidos de uma PKI externa. Sempre que o XenMobile avalia um determinado status de certificado, ele consulta a PKI quanto a esse status. Se o certificado tiver sido revogado, o XenMobile revoga-o internamente. Esse mecanismo usa o protocolo OCSP.

Esses três tipos não são exclusivos, mas, em vez de aplicá-los em conjunto: a revogação interna é causada por uma revogação externa ou por descobertas independentes e, por sua vez, a revogação interna possivelmente afeta uma revogação externa.

Renovação de certificado

A renovação de certificado é a combinação de uma revogação do certificado existente e uma emissão de outro certificado.

Observe que o XenMobile primeiro tenta obter o novo certificado antes de revogar o certificado anterior para evitar a descontinuação do serviço se a emissão falhar. Se for usada a entrega distribuída (compatível com SCEP), a revogação também ocorrerá somente depois que o certificado tiver sido instalado com êxito no dispositivo; caso contrário, ela ocorrerá antes que o novo certificado seja enviado para o dispositivo e de forma independente do êxito ou da falha da respectiva instalação.

A configuração de revogação exige que você especifique uma determinada duração (em dias). Quando o dispositivo se conecta, o servidor verifica se a data NotAfter do certificado é posterior à data atual, menos a duração especificada. Em caso positivo, ocorre uma tentativa de renovação.

Para criar um provedor de credenciais

Configurar um provedor de credenciais varia principalmente como um fator de qual entidade e método de emissão você seleciona para o provedor de credenciais. Você pode distinguir entre um provedor de credenciais que usa uma entidade interna, como uma discricionária, e um que usa uma entidade externa, como uma AC da Microsoft ou uma GPKI. O método de emissão de uma entidade discricionária é sempre assinar, o que significa que a cada operação de emissão, o XenMobile assina um novo par de chaves com o certificado de AC selecionado para a entidade. A geração do par de chaves no dispositivo ou no servidor depende do método de distribuição selecionado.

1. No console Web XenMobile, clique no ícone de engrenagem no canto superior direito do console e clique em Mais > Provedores de credenciais.

2. Na página Provedores de credenciais, clique em Adicionar.

A página Provedores de credenciais: Informações gerais é exibida.

3. Na página Provedores de credenciais: Informações gerais, faça o seguinte:

  • Nome: digite um nome exclusivo para a nova configuração do provedor. Este nome é usado mais tarde para referir-se à configuração em outras partes do console XenMobile.
  • Descrição: descreva o provedor de credenciais. Embora esse seja um campo opcional, uma descrição pode ser útil no futuro para ajudar você a se lembrar de detalhes sobre esse provedor de credenciais.
  • Entidade de emissão: clique na entidade de emissão do certificado.
  • Método de emissão: Clique em Assinar ou Obter para servir como o método que o sistema utiliza para obter certificados da entidade configurada. Para usar a autenticação de certificado de cliente, Assinar.
  • Se a lista de modelos estiver disponível, selecione um modelo para o provedor de credenciais.

4. Clique em Avançar.

Nota: esses modelos são disponibilizados quando as Entidades de Serviços de Certificado da Microsoft são adicionadas em Configurações > Mais > PKI.

A página Provedores de credenciais: Solicitação de assinatura de certificado é exibida.

5. Na página Provedores de credenciais: Solicitação de assinatura de certificado, faça o seguinte:

  • Algoritmo de chave: clique no algoritmo de chave do novo par de chaves. Os valores disponíveis são RSA, DSA e ECDSA.
  • Tamanho da chave: digite o tamanho, em bits, do par de chaves. Esse campo é necessário.

    Nota: os valores permissíveis dependerão do tipo de chave; por exemplo, o tamanho máximo de chaves DSA é 1024 bits. Para evitar falsos negativos, o que dependerá do hardware e do software subjacentes, o XenMobile não impõe tamanhos de chave. Você deverá sempre testar as configurações do provedor de credenciais em um ambiente de teste antes de ativá-lo em produção.

  • Algoritmo de assinatura: clique em um valor para o novo certificado. Os valores dependem do algoritmo de chave.
  • Nome de entidade: digite o Nome Distinto (DN) do assunto do novo certificado. Por exemplo: CN=${user.username},OU=${user.department},O=${user.companyname},C=${user.c}\endquotation. Esse campo é necessário.

Por exemplo, para a autenticação de certificado de cliente, use estas configurações:

Algoritmo de chave: RSA
Tamanho da chave: 2048
Algoritmo de assinatura: SHA1withRSA
Nome de entidade: cn=$user.username

6. Para adicionar uma nova entrada à tabela Tipo de nomes alternativos de entidade, clique em Adicionar. Selecione o tipo de nome alternativo e digite um valor na segunda coluna.

          Para autenticação de certificado de cliente, especifique:

Tipo: Nome UPN
Valor: $user.userprincipalname 

Nota: assim como o nome de entidade, você pode usar macros do XenMobile no campo de valor.

7. Clique em Avançar.

A página Provedores de credenciais: Distribuição é exibida.

8. Na página Provedores de credenciais: Distribuição, faça o seguinte:

  • Na lista Emissão de certificado de AC, assinale o certificado AC oferecido. Como o provedor de credenciais usa uma entidade de AC discricionária, o certificado de AC do provedor de credenciais sempre será o certificado de AC configurado na entidade em si; ele será apresentado aqui para obter consistência com as configurações que usam entidades externas.
  • Em Selecionar modo de distribuição, clique em uma das seguintes formas de gerar e distribuir chaves:
    • Preferir modo centralizado: geração de chaves do lado do servidor. A Citrix recomenda essa opção centralizada. Ela é compatível com todas as plataformas compatíveis com o XenMobile e é exigida quando a autenticação do NetScaler Gateway é usada. As chaves privadas são geradas e armazenadas no servidor e distribuídas para os dispositivos do usuário.
    • Preferir modo distribuído: geração de chaves do lado do dispositivo. As chaves privadas são geradas e armazenadas nos dispositivos do usuário. Esse modo distribuído usa SCEP e requer um certificado de criptografia RA com o keyUsage keyEncryption e um certificado de assinatura RA com o KeyUsage DigitalSignature. O mesmo certificado pode ser usado para autenticação e criptografia.
    • Somente distribuído: geração de chaves do lado do dispositivo. Esta opção funciona da mesma forma que Preferir modo distribuído: geração de chaves do lado do dispositivo, exceto que, como trata-se de “Somente” em vez de “Preferir”, nenhuma opção estará disponível se a geração de chaves do lado do dispositivo falhar ou não estiver disponível.

Se você tiver selecionado Preferir modo distribuído: geração de chaves do lado do dispositivo ou Somente distribuído: geração de chaves do lado do dispositivo, clique no certificado de assinatura RA e no certificado de criptografia RA. O mesmo certificado pode ser usado para ambos. Novos campos são exibidos para esses certificados.

9. Clique em Avançar.

A página Provedores de credenciais: Revogação XenMobile é exibida. Nessa página, você pode configurar as condições sob as quais o XenMobile sinaliza internamente como revogados os certificados emitidos por essa configuração de provedor.

12. Na página Provedores de credenciais: Revogação XenMobile , faça o seguinte:

  • Em Revogar certificados emitidos, selecione uma das opções que indicam quando os certificados devem ser revogados.
  • Se você desejar que o XenMobile envie uma notificação quando o certificado for revogado, defina o valor de Enviar notificação como Ativado e escolha um modelo de notificação.
  • Se você desejar revogar o certificado na PKI quando ele tiver sido revogado do XenMobile, defina Revogar certificado na PKI como Ativado e, na lista Entidade, clique em um modelo. A lista Entidade mostra todas as entidades GPKI disponíveis com capacidades de revogação. Quando o certificado é revogado do XenMobile, uma chamada de revogação é enviada para a PKI selecionada da lista Entidade.

13. Clique em Avançar.

A página Provedores de credenciais: Revogação PKI é exibida. Nessa página, identifique as ações a serem tomadas na PKI se o certificado for revogado. Você também tem a opção de criar uma mensagem de notificação.

14. Na página Provedores de credenciais: Revogação PKI, faça o seguinte se você deseja revogar os certificados da PKI:

  • Altere a configuração Ativar verificações de revogação externa para Ativado. São exibidos campos adicionais relacionados à revogação PKI.
  • Na lista Certificado AC do respondedor OCSP, clique no nome distinto (DN) da entidade do certificado. Observação: você pode usar macros do XenMobile para os valores de campo de DN. Por exemplo: CN=${user.username},OU=${user.department},O=${user.companyname},C=${user.c}\endquotation.
  • Na lista Quando o certificado for revogado, clique em uma das seguintes ações a serem tomadas em relação à entidade PKI quando o certificado é revogado:

Não fazer nada.

Renovar o certificado.

Revogar e apagar o dispositivo.

  • Se você desejar que o XenMobile envie uma notificação quando o certificado for revogado, defina o valor de Enviar notificação como Ativado.

Você pode escolher entre duas opções de notificação:

  • Se você escolher Selecionar modelo de notificação, poderá selecionar uma mensagem de notificação previamente escrita que você poderá personalizar. Esses modelos estão na lista de modelos Notificação.
  • Se você selecionar Inserir detalhes da notificação, poderá escrever sua própria mensagem de notificação. Além de fornecer endereço de email do destinatário e a mensagem, você pode definir a frequência com que a notificação é enviada.

15. Clique em Avançar.

A página Provedores de credenciais: Renovação é exibida. Nessa página, você pode configurar o XenMobile para fazer o seguinte:

  • Renovar o certificado, enviando opcionalmente uma notificação quando a renovação é concluída (notificação na renovação) e excluindo opcionalmente certificados já vencidos da operação.
  • Emitir uma notificação para os certificados que estão perto do vencimento (notificação antes da renovação).

16. Na página Provedores de credenciais: Renovação, faça o seguinte se você desejar renovar os certificados quando eles expirarem: defina Renovar os certificados quando eles expirarem como Ativado.

Campos adicionais são exibidos.

  • No campo Renovar quando o certificado expirar em, digite quantos dias antes da expiração a renovação deve ser realizada.
  • Como opção, selecione Não renovar certificados que já expiraram. Observação: nesse caso, “já expiraram” significa que a data NotAfter do certificado está no passado, não que ele foi revogado. O XenMobile não renovará certificados depois que eles tiverem sido revogados internamente.

17. Se você desejar que o XenMobile envie uma notificação quando o certificado tiver sido renovado, defina Enviar notificação como Ativado. Você pode escolher entre duas opções de notificação:

  • Se você escolher Selecionar modelo de notificação, poderá selecionar uma mensagem de notificação previamente escrita que você poderá personalizar. Esses modelos estão na lista Modelo de notificação.
  • Se você selecionar Inserir detalhes da notificação, poderá escrever sua própria mensagem de notificação. Além de fornecer endereço de email do destinatário e a mensagem, você pode definir a frequência com que a notificação é enviada.

18. Se você desejar que o XenMobile envie uma notificação quando o certificado estiver prestes a expirar, defina Notificar quando o certificado estiver prestes a expirar como Ativado. Você pode escolher entre duas opções de notificação:

  • Se você escolher Selecionar modelo de notificação, poderá selecionar uma mensagem de notificação previamente escrita que você poderá personalizar. Esses modelos estão na lista Modelo de notificação.
  • Se você selecionar Inserir detalhes da notificação, poderá escrever sua própria mensagem de notificação. Além de fornecer endereço de email do destinatário e a mensagem, você pode definir a frequência com que a notificação é enviada.

19. No campo Notificar quando o certificado expira em, digite quantos dias antes da expiração do certificado a notificação deve ser enviada.

20. Clique em Salvar.

O provedor de credenciais é adicionado à tabela Provedor de credenciais.