Product Documentation

Carregando certificados para o XenMobile

Oct 06, 2016

Os certificados são usados funcionalmente pelo servidor XenMobile. Carregue os certificados para o XenMobile por meio da área Certificados do console XenMobile. Esses certificados incluem certificados de Autoridade de Certificação (CA), certificados de Autoridade de Registro (RA) e certificados para autenticação de cliente com outros componentes da sua infraestrutura. Além disso, você pode usar a área de Certificados como uma localização de armazenamento para os certificados que você deseja implantar em dispositivos. Esse uso se aplica especialmente a CAs que são usadas para estabelecer a confiança no dispositivo.

Cada certificado que você carrega é representado por uma entrada na tabela de Certificados, que resume o seu conteúdo. Quando você configura os componentes de integração PKI que exigem um certificado, é solicitado a escolher em uma lista dos certificados de servidor que satisfazem os critérios dependentes de contexto. Por exemplo, você pode querer configurar o XenMobile para integrá-lo à sua CA da Microsoft. A conexão com a CA da Microsoft deve ser autenticada usando um certificado cliente.

Esta seção fornece procedimentos gerais para carregar certificados. Para obter detalhes sobre como criar, carregar e configurar certificados cliente, consulte Configuração de autenticação de certificado cliente.

Requisitos de chave privada

O XenMobile pode ou não possuir a chave privada de um determinado certificado. Da mesma forma, o XenMobile pode ou não exigir uma chave privada para os certificados que você carrega.

Carregando certificados para o console

Você pode carregar o certificado da CA (sem a chave privada) que o CA usa para assinar solicitações e pode carregar um certificado de cliente SSL (com a chave privada) para autenticação do cliente. Ao configurar a entidade AC da Microsoft, você precisa especificar o certificado AC, que pode selecionar em uma lista de todos os certificados de servidor que são certificados AC. Da mesma forma, ao configurar a autenticação de cliente, você pode selecionar em uma lista de todos os certificados de servidor para os quais o XenMobile tem a chave privada.

O XenMobile dá suporte aos seguintes formatos de entrada para os certificados:

  • Arquivos de certificado codificados por PEM ou DER
  • Arquivos de certificado codificados por PEM ou DER com arquivo de chave privada associado codificado por PEM ou DER
  • Keystores PKCS#12 (P12; também conhecido como PFX no Windows)

Importante: o servidor XenMobile não dá suporte a certificados com uma extensão .pem. Use o comando openssl para gerar um arquivo PFX de um arquivo PEM:

openssl pkcs12 -export -out certificate.pfx -in certificate.pem

Para importar um keystore

Os keystores são projetados para que possam conter várias entradas. Quando você carrega de um keystore, precisa especificar o alias de entrada que identifica a entrada que deseja carregar. Se você não especificar um alias, a primeira entrada da loja será carregada. Como os arquivos PKCS#12 geralmente contêm apenas uma entrada, o campo alias não é exibido quando você seleciona PKCS#12 como o tipo de keystore.

1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console. A página Configurações é exibida.

2. Clique em Certificados. A página Certificados é exibida.

localized image

3. Clique em Importar. A caixa de diálogo Importar é exibida.

4. Defina estas configurações:

  • Importar: na lista, clique em Keystore. A caixa de diálogo Importar é alterada para refletir as opções de keystore disponíveis.
localized image
  • Tipo de keystore: na lista, clique em PKCS#12.
  • Usar como: na lista, clique em como você usará o keystore. As opções disponíveis são:
    • Servidor. Os certificados de servidor são certificados usados funcionalmente pelo servidor XenMobile que é carregado para o console da Web do XenMobile. Eles incluem certificados AC, certificados RA e certificados para autenticação de cliente com outros componentes da sua infraestrutura. Além disso, você pode usar os certificados de servidor como um armazenamento dos certificados que você deseja implantar em dispositivos. Esse uso se aplica especialmente a CAs usadas para estabelecer a confiança no dispositivo.
    • SAML. A certificação Security Assertion Markup Language (SAML) permite que você forneça o acesso de logon único (SSO) a servidores, sites e aplicativos.
    • APNs. Os certificados do Apple Push Notification service (APNs) da Apple permitem o gerenciamento de dispositivos móveis por meio da Apple Push Network.
    • Ouvinte SSL. O Ouvinte do protocolo SSL notifica o XenMobile sobre as atividades de criptografia SSL.
  • Arquivo keystore: selecione o arquivo de keystore a ser importado clicando em Procurar e navegando para a localização do arquivo.
  • Senha: digite a senha atribuída ao certificado.
  • Descrição: opcionalmente, digite uma descrição para o keystore para ajudá-lo a distingui-lo de outros keystores.

5. Clique em Importar. O keystore é adicionado à tabela Certificados.

Para importar um certificado

Ao importar um certificado, seja de um arquivo ou uma entrada de keystore, o XenMobile tenta construir uma cadeia de certificados da entrada e importa todos os certificados desta cadeia (criando uma entrada de certificado de servidor para cada uma). Essa operação só funcionará se os certificados no arquivo ou na entrada de keystore formarem realmente uma cadeia, como se cada certificado subsequente da cadeia fosse o emissor do certificado anterior.

Você pode adicionar uma descrição opcional para o certificado importado para fins heurísticos. A descrição só anexa o primeiro certificado na cadeia. Você pode atualizar a descrição dos certificados restantes mais tarde.

1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console e clique em Certificados.

2. Na página Certificados, clique em Importar. A caixa de diálogo Importar é exibida.

3. Na caixa de diálogo Importar, em Importar, se já não estiver selecionada, clique em Certificado.

A caixa de diálogo Importar é alterada para refletir as opções de certificado disponíveis. Em Usar como, clique em como você usará o keystore. As opções disponíveis são:

  • Servidor. Os certificados de servidor são certificados usados funcionalmente pelo servidor XenMobile que é carregado para o console da Web do XenMobile. Eles incluem certificados AC, certificados RA e certificados para autenticação de cliente com outros componentes da sua infraestrutura. Além disso, você pode usar os certificados de servidor como um armazenamento dos certificados que você deseja implantar em dispositivos. Essa opção se aplica especialmente a CAs usadas para estabelecer a confiança no dispositivo.
  • SAML. A certificação Security Assertion Markup Language (SAML) permite que você forneça o acesso de logon único (SSO) a servidores, sites e aplicativos.
  • Ouvinte SSL. O Ouvinte do protocolo SSL notifica o XenMobile sobre as atividades de criptografia SSL.

5. Procure para localizar o certificado que você deseja importar.

6. Procure para localizar um arquivo de chave privada opcional para o certificado. A chave privada é usada para criptografia e descriptografia, em conjunto com o certificado.

7. Digite uma descrição para o certificado, opcionalmente, para ajudar a identificá-lo dos outros certificados.

8. Clique em Importar. O certificado é adicionado à tabela Certificados.

Atualizando um certificado

O XenMobile permite que somente um certificado por chave pública exista no sistema a qualquer momento. Se você tentar importar um certificado para o mesmo par de chaves como um certificado já importado, você terá a opção de substituir a entrada existente ou excluir a entrada.

Para atualizar de forma eficaz os seus certificados, no console XenMobile, clique no ícone de engrenagem no canto superior direito do console para abrir a página Configurações e clique em Certificados. Na caixa de diálogo Importar, importe o novo certificado. Quando você atualiza um certificado de servidor, os componentes que estavam usando o certificado anterior passam automaticamente a usar o novo certificado. Da mesma forma, se você tiver implantado o certificado do servidor em dispositivos, o certificado será atualizado automaticamente na próxima implantação.