Product Documentation

Entidades PKI

Oct 06, 2016

Uma configuração de entidade Infraestrutura de Chave Pública (PKI) do XenMobile representa um componente que realiza operações reais da PKI (emissão, revogação e informações de status). Esses componentes podem ser internos do XenMobile e, nesse caso, são chamados de discricionários, ou externos ao XenMobile quando fazem parte da sua infraestrutura corporativa.

O XenMobile é compatível com os seguintes tipos de entidades PKI:

  • Autoridades de Certificação (CAs) Discricionárias
  • PKIs Genéricas (GPKIs)
  • Serviços de Certificado da Microsoft

O XenMobile é compatível com os seguintes servidores de AC:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Conceitos de PKI comuns

Independentemente do tipo, cada entidade PKI tem um subconjunto dos seguintes recursos:

  • assinar: emitir um novo certificado com base em uma Solicitação de Assinatura de Certificado (CSR).
  • obter: recuperar um certificado e um par de chaves existentes.
  • revogar: revogar um certificado cliente.

Sobre certificados AC

Quando você configura uma entidade PKI, deve indicar ao XenMobile qual certificado AC será o signatário dos certificados emitidos por (ou recuperados de) essa entidade. Uma mesma entidade PKI pode retornar certificados (obtidos ou assinados recentemente) assinados por qualquer número de ACs diferentes. Você deve fornecer o certificado de cada uma dessas CAs como parte da configuração da entidade PKI. Para fazer isso, carregue os certificados no XenMobile e faça referência a eles na entidade PKI. Para CAs discricionárias, o certificado é, implicitamente, o certificado de AC de assinatura, mas, para entidades externas, você deve especificar o certificado manualmente.

PKI Genérica

O protocolo PKI Genérica (GPKI) é um protocolo proprietário do XenMobile em execução em uma camada do Serviço Web SOAP para fins de interface uniforme com várias soluções de PKI. O protocolo GPKI define as três operações de PKI fundamentais:

  • assinar: o adaptador é capaz de receber CSRs, transmitindo-as para a PKI e retornando os certificados assinados.
  • obter: o adaptador é capaz de recuperar certificados e pares de chaves existentes (dependendo dos parâmetros de entrada) da PKI.
  • revogar: o adaptador pode fazer com que a PKI revogue um determinado certificado.

O receptor do protocolo GPKI é o adaptador GPKI. O adaptador converte as operações fundamentais no tipo específico de PKI para o qual foi criado. Em outras palavras, há um adaptador GPKI para RSA, outro para EnTrust e assim por diante.

O adaptador GPKI, como um ponto de extremidade dos Serviços da Web SOAP, publica uma definição de Linguagem de Descrição de Serviços da Web (WSDL) autodescritiva. Criar uma entidade PKI GPKI equivale a fornecer ao XenMobile essa definição WSDL, por meio de uma URL ou mediante o carregamento do arquivo em si.

O suporte a cada uma das operações de PKI em um adaptador é opcional. Se um adaptador der suporte a uma determinada operação, considera-se que tem a capacidade correspondente (assinar, obter ou revogar). Cada um desses recursos pode ser associado a um conjunto de parâmetros de usuário.

Os parâmetros de usuário são parâmetros definidos pelo adaptador GPKI para uma operação específica e cujos valores você precisa fornecer ao XenMobile. O XenMobile determina com quais operações o adaptador é compatível (quais recursos ele tem) e quais parâmetros o adaptador exige para cada uma das operações mediante a análise do arquivo WSDL. Se você preferir, use a autenticação de cliente SSL para proteger a conexão entre o XenMobile e o adaptador GPKI.

Para adicionar uma PKI genérica

1. No console XenMobile, clique em Configurar > Configurações > Mais > Entidades PKI.

2. Na página Entidades PKI , clique em Adicionar.

Uma lista que mostra os tipos de entidades PKI que você pode adicionar é exibida.

3. Clique em Entidade PKI genérica.

A página Entidade PKI Genérica: Informações Gerais é exibida.

4. Na página Entidade PKI genérica: Informações Gerais, faça o seguinte:

  • Nome: digite um nome descritivo para a entidade PKI.
  • URL WSDL: digite a localização do WSDL que descreve o adaptador.
  • Tipo de autenticação: clique no método de autenticação que você deseja usar.
  • Nenhum
  • HTTP básico: forneça o nome do usuário e a senha necessária para conectar-se ao adaptador.
  • Certificado cliente: selecione o certificado de cliente SSL correto.

5. Clique em Avançar.

A página Entidade PKI Genérica: Recursos do Adaptador é exibida.

6. Na página Entidade PKI genérica: Recursos do Adaptador, revise as capacidades e os parâmetros associados ao adaptador e clique em Avançar.

A página Entidade PKI genérica: Emissão de certificados AC é exibida.

7. Na página Entidade PKI Genérica: Emissão de Certificados AC, selecione os certificados que você deseja usar para a entidade.

Observação: embora as entidades possam retornar certificados assinados por diferentes CAs, todos os certificados obtidos por meio de um determinado provedor de certificados devem ser assinados pela mesma AC. Da mesma forma, quando você configurar a definição Provedor de credenciais, na página Distribuição, selecione um dos certificados configurados aqui.

8. Clique em Salvar.

A entidade é exibida na tabela Entidades PKI.

Serviços de Certificado da Microsoft

O XenMobile faz interface com os Serviços de Certificado da Microsoft por meio da respectiva interface de registro na Web. O XenMobile é compatível com a emissão de novos certificados somente por meio dessa interface (o equivalente ao recurso assinar da GPKI).

Para criar uma entidade PKI da AC da Microsoft no XenMobile, você deve especificar a URL base da interface da Web dos Serviços de Certificado. Se você preferir, use a autenticação de cliente SSL para proteger a conexão entre o XenMobile e a interface da Web dos Serviços de Certificado.

Para adicionar uma entidade dos Serviços de Certificado da Microsoft

1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console e clique em Mais > Entidades PKI.

2. Na página Entidades PKI, clique em Adicionar.

Uma lista que mostra os tipos de entidades PKI que você pode adicionar é exibida.

3. Clique em Entidade de serviços de certificado da Microsoft.

A página Entidade de serviços de certificado da Microsoft: Informações gerais é exibida.

4. Na página Entidade de serviços de certificado da Microsoft: informações gerais, faça o seguinte:

  • Nome: digite um nome para a nova entidade que você usará mais tarde para se referir a ela. Os nomes de entidade devem ser exclusivos.
  • URL raiz do serviço de registro na Web: digite a URL base do seu serviço de registro na Web da AC da Microsoft; por exemplo, https://192.0.2.13/certsrv/. A URL pode usar HTTP simples ou HTTP sobre SSL.
  • Nome de página certnew.cer: o nome da página certnew.cer. Use o nome padrão a menos que você o tenha renomeado por algum motivo.
  • certfnsh.asp: o nome da página certfnsh.asp. Use o nome padrão a menos que você o tenha renomeado por algum motivo.
  • Tipo de autenticação: clique no método de autenticação que você deseja usar.
  • Nenhum
  • HTTP básico: forneça o nome do usuário e a senha necessária para conectar-se ao adaptador.
  • Certificado cliente: selecione o certificado de cliente SSL correto.

5. Clique em Avançar.

A página Entidade de serviços de certificado da Microsoft: modelos é exibida. Nessa página, especifique os nomes internos dos modelos com os quais a sua AC da Microsoft é compatível. Quando você criar provedores de credenciais, selecione um modelo na lista definida aqui. Cada provedor de credenciais que usa essa entidade usa exatamente um desses modelos.

Para os requisitos de modelo dos Serviços de Certificado da Microsoft, consulte a documentação da Microsoft relativa à versão do Microsoft Server. O XenMobile não tem requisitos para os certificados que distribui além dos formatos de o certificado indicados em Certificados.

6. Na página Entidade de serviços de certificado da Microsoft: modelos, clique em Adicionar, digite o nome do modelo e clique em Salvar. Repita essa etapa para cada modelo que você desejar adicionar.

7. Clique em Avançar.

A página Entidade de serviços de certificado da Microsoft: parâmetros HTTP é exibida. Nessa página, você pode especificar parâmetros personalizados que o XenMobile deve injetar na solicitação HTTP para a interface do Registro na Web da Microsoft. Isso será útil somente se você tiver scripts personalizados em execução na AC.

8. Na página Entidade de serviços de certificado da Microsoft: parâmetros HTTP, clique em Adicionar, digite o nome e o valor dos parâmetros HTTP que você deseja adicionar e clique em Avançar.

É exibida a página Entidade de serviços de certificado da Microsoft: certificados AC. Nessa página, você deve informar ao XenMobile os signatários dos certificados que o sistema obterá por meio dessa entidade. Quando o seu certificado de AC for renovado, atualize-o no XenMobile e, em seguida, a alteração será aplicada à entidade de forma transparente.

9. Na página Entidade de serviços de certificado da Microsoft: certificados AC, selecione os certificados que você deseja usar para essa entidade.

10. Clique em Salvar.

A entidade é exibida na tabela Entidades PKI.

Lista de certificados revogados (CRL) de NetScaler

O XenMobile dá suporte a lista de certificados revogados (CRL) somente para uma Autoridade de Certificação terceira. Se você tiver configurado uma AC da Microsoft, o XenMobile usa o NetScaler para gerenciar a revogação. Quando você configura a autenticação baseada em certificado de cliente, decida se você precisa configurar a opção lista de certificados revogados (CRL) Enable CRL Auto Refresh. Esta etapa garante que o usuário de um dispositivo no modo somente MAM não possa autenticar usando um certificado existente no dispositivo; o XenMobile emite um novo certificado porque não impede que um usuário gere um certificado de usuário de um tiver sido revogado. Essa opção aumenta a segurança de entidades PKI quando a CRL verifica entidades PKI expiradas.

CAs discricionárias

Uma AC discricionária é criada quando você fornece ao XenMobile um certificado de AC e a chave privada associada. O XenMobile manipula a emissão, a revogação e as informações de status do certificado internamente, de acordo com os parâmetros que você especificar.

Quando você configura uma AC discricionária, tem a opção de ativar o suporte do Protocolo OCSP (Online Certificate Status Protocol) para essa AC. Se, e somente se, você ativar o suporte do OCSP, a AC adicionará uma extensão id-pe-authorityInfoAccess aos certificados que a AC emitir, apontando para o Respondedor OCSP interno do XenMobile na seguinte localização.

https://server/instance/ocsp

Quando você configura o serviço OCSP, deve especificar um certificado de assinatura OCSP para a entidade discricionária em questão. Você pode usar o próprio certificado de AC como signatário. Se você desejar evitar a exposição desnecessária da chave privada de AC (o que é recomendado), crie um certificado de assinatura OCSP assinado pelo certificado de AC e inclua uma extensão id-kp-OCSPSigning extendedKeyUsage.

O serviço do respondedor OCSP do XenMobile é compatível com respostas OCSP básicas e com os seguintes algoritmos de hash em solicitações:

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

As respostas são assinadas com SHA-256 e o algoritmo de chave do certificado de assinatura (DSA, RSA ou ECDSA).

Para adicionar CAs discricionárias

1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console e clique em Mais > Entidades PKI.

2. Na página Entidades PKI, clique em Adicionar.

Uma lista que mostra os tipos de entidades PKI que você pode adicionar é exibida.

3. Clique em CA discricionária.

A página CA discricionária: Informações gerais é exibida.

4. Na página CA discricionária: Informações gerais, faça o seguinte:

  • Nome: digite um nome descritivo para a AC discricionária.
  • Certificado AC para assinar solicitações de certificado: clique em um certificado da AC discricionária a ser usado para assinar solicitações de certificado. Essa lista de certificados é gerada com base nos certificados de AC com chaves privadas que você carregou para o XenMobile em Configurar > Configurações > Certificados.

5. Clique em Avançar.

A página CA discricionária: Parâmetros é exibida.

6. Na página CA discricionária: Parâmetros, faça o seguinte:
  • Gerador de número de série: a AC discricionária gera números de série para os certificados que emite. Nessa lista, clique em Sequencial ou Não sequencial para determinar como os números são gerados.
  • Próximo número de série: digite um valor para determinar o próximo número emitido.
  • Certificado válido para: digite o número de dias durante os quais o certificado é válido.
  • Uso da chave: identifique o propósito dos certificados emitidos pela AC discricionária definindo as chaves adequadas como Ativado. Depois de definida, a AC é limitada a emitir certificados para esses fins.
  • Uso de chave estendido: para adicionar mais parâmetros, clique em Adicionar, escreva o nome da chave e clique em Salvar.

7. Clique em Avançar.

A página CA discricionária: Distribuição é exibida.

8. Na página CA discricionária: Distribuição, selecione um modo de distribuição:

  • Centralizado: geração de chave do lado do servidor. A Citrix recomenda a opção centralizada. As chaves privadas são geradas e armazenadas no servidor e distribuídas para os dispositivos do usuário.
  • Distribuído: geração de chave do lado do dispositivo. As chaves privadas são geradas nos dispositivos do usuário. Esse modo distribuído usa SCEP e requer um certificado de criptografia RA com o keyUsage keyEncryption e um certificado de assinatura RA com o KeyUsage DigitalSignature. O mesmo certificado pode ser usado para autenticação e criptografia.

9. Clique em Avançar.

A página CA discricionária: Protocolo OCSP (Online Certificate Status Protocol) é exibida.

Na página CA discricionária: Protocolo OCSP (Online Certificate Status Protocol), faça o seguinte:

  • Se você desejar adicionar uma extensão AuthorityInfoAccess (RFC2459) aos certificados assinados por essa AC, defina Ativar suporte a OCSP para esta CA como Ativado. Essa extensão aponta para o respondedor OCSP da AC em https://servidor/instância/ocsp.
  • Se você tiver ativado o suporte do OCSP, selecione um certificado de AC de assinatura OSCP. Essa lista de certificados é gerada com base nos certificados de AC que você carregou no XenMobile.

10. Clique em Salvar.

A AC discricionária é exibida na tabela Entidades PKI.