Documentação de produtos
XenMobile® Server
Ver PDF

Autenticação por certificado de cliente ou certificado mais domínio

April 16, 2026
Contribuição de: 
C

A configuração padrão para o XenMobile® é a autenticação por nome de usuário e senha. Para adicionar uma camada adicional de segurança para registro e acesso ao ambiente XenMobile, considere usar a autenticação baseada em certificado. No ambiente XenMobile, essa configuração é a melhor combinação de segurança e experiência do usuário. A autenticação por certificado mais domínio oferece as melhores possibilidades de SSO aliada à segurança fornecida pela autenticação de dois fatores no Citrix ADC.

Para usabilidade ideal, você pode combinar a autenticação por certificado mais domínio com o PIN do Citrix e o cache de senha do Active Directory. Como resultado, os usuários não precisam inserir seus nomes de usuário e senhas LDAP repetidamente. Os usuários inserem nomes de usuário e senhas para registro, expiração de senha e bloqueio de conta.

Importante:

O XenMobile não oferece suporte à alteração do modo de autenticação de autenticação de domínio para outro modo de autenticação depois que os usuários registram dispositivos no XenMobile.

Se você não permitir LDAP e usar cartões inteligentes ou métodos semelhantes, a configuração de certificados permite representar um cartão inteligente para o XenMobile. Os usuários então se registram usando um PIN exclusivo que o XenMobile gera para eles. Depois que um usuário tem acesso, o XenMobile cria e implanta o certificado usado para autenticar no ambiente XenMobile.

Você pode usar o assistente do Citrix ADC para XenMobile para executar a configuração necessária para o XenMobile ao usar a autenticação somente por certificado do Citrix ADC ou a autenticação por certificado mais domínio. Você pode executar o assistente do Citrix ADC para XenMobile apenas uma vez.

Em ambientes altamente seguros, o uso de credenciais LDAP fora de uma organização em redes públicas ou inseguras é considerado uma ameaça de segurança primordial para a organização. Para ambientes altamente seguros, a autenticação de dois fatores que usa um certificado de cliente e um token de segurança é uma opção. Para obter informações, consulte Configurando o XenMobile para Autenticação por Certificado e Token de Segurança.

A autenticação por certificado de cliente está disponível para o modo MAM do XenMobile (somente MAM) e modo ENT (quando os usuários se registram no MDM). A autenticação por certificado de cliente não está disponível para o modo ENT do XenMobile quando os usuários se registram no modo MAM herdado. Para usar a autenticação por certificado de cliente para os modos ENT e MAM do XenMobile, você deve configurar o servidor Microsoft, o XenMobile Server e, em seguida, o Citrix Gateway. Siga estas etapas gerais, conforme descrito neste artigo.

No servidor Microsoft:

  1. Adicione um snap-in de certificado ao Microsoft Management Console.
  2. Adicione o modelo à Autoridade de Certificação (CA).
  3. Crie um certificado PFX a partir do servidor CA.

No XenMobile Server:

  1. Carregue o certificado para o XenMobile.
  2. Crie a entidade PKI para autenticação baseada em certificado.
  3. Configure os provedores de credenciais.
  4. Configure o Citrix Gateway para entregar um certificado de usuário para autenticação.

Para obter informações sobre a configuração do Citrix Gateway, consulte estes artigos na documentação do Citrix ADC:

Pré-requisitos

  • Ao criar um modelo de Entidade de Serviços de Certificado Microsoft, evite possíveis problemas de autenticação com dispositivos registrados, excluindo caracteres especiais. Por exemplo, não use estes caracteres no nome do modelo: : ! $ () # % + * ~ ? | {} []

  • Para configurar a Autenticação baseada em Certificado para o Exchange ActiveSync, consulte este blog da Microsoft. Configure o site do servidor da autoridade de certificação (CA) para o Exchange ActiveSync para exigir certificados de cliente.
  • Se você usar certificados de servidor privados para proteger o tráfego do ActiveSync para o Exchange Server, certifique-se de que os dispositivos móveis tenham todos os certificados Raiz/Intermediários necessários. Caso contrário, a autenticação baseada em certificado falhará durante a configuração da caixa de correio no Secure Mail. No Console IIS do Exchange, você deve:
    1. Adicionar um site para uso do XenMobile com o Exchange e vincular o certificado do servidor web.
    2. Usar a porta 9443.
    3. Para esse site, você deve adicionar dois aplicativos, um para “Microsoft-Server-ActiveSync” e outro para “EWS”. Para ambos os aplicativos, em “Configurações SSL”, selecione “Exigir SSL”.

Adicionar um snap-in de certificado ao Microsoft Management Console

  1. Abra o console e clique em “Adicionar/Remover Snap-ins”.

  2. Adicione os seguintes snap-ins:

    • Modelos de Certificado
    • Certificados (Computador Local)
    • Certificados - Usuário Atual
    • Autoridade de Certificação (Local)

    Microsoft Management Console

  3. Expanda “Modelos de Certificado”.

    Microsoft Management Console

  4. Selecione o modelo “Usuário” e “Duplicar Modelo”.

    Microsoft Management Console

  5. Forneça o nome de exibição do modelo.

    Importante:

    Não é recomendado selecionar a opção “Publicar certificado no Active Directory”. Se esta opção for selecionada, ela criará certificados de cliente para todos os usuários no Active Directory, o que pode sobrecarregar seu banco de dados do Active Directory.

  6. Selecione “Windows Server 2003” para o tipo de modelo. No servidor Windows Server 2012 R2, em “Compatibilidade”, selecione “Autoridade de certificação” e defina o destinatário como “Windows Server 2003”.

  7. Em “Segurança”, configure o seguinte:

    1. Clique em “Adicionar” e selecione a conta de usuário AD que o XenMobile Server usa para gerar certificados.

      Importante:

      Adicione apenas o usuário da conta de serviço aqui. Adicione a permissão “Registrar” apenas a esta conta de usuário AD.

      Conforme descrito posteriormente neste artigo, você cria um certificado .pfx de usuário usando a conta de serviço. Para obter informações, consulte Criando um certificado PFX a partir do servidor CA.

      Teste de Certificado

    2. Revogue a permissão “Registrar” de “Usuários do Domínio”.

      Usuário do Domínio

  8. Em “Criptografia”, certifique-se de fornecer o tamanho da chave. Você inserirá o tamanho da chave posteriormente ao configurar o XenMobile.

    Microsoft Management Console

  9. Em “Nome do Assunto”, selecione “Fornecer na solicitação”. Aplique as alterações e salve.

    Microsoft Management Console

Adicionar o modelo à Autoridade de Certificação

  1. Vá para “Autoridade de Certificação” e selecione “Modelos de Certificado”.

  2. Clique com o botão direito do mouse no painel direito e selecione “Novo > Modelo de Certificado a Ser Emitido”.

    Microsoft Management Console

  3. Selecione o modelo que você criou na etapa anterior e clique em “OK” para adicioná-lo à “Autoridade de Certificação”.

    Microsoft Management Console

Criar um certificado PFX a partir do servidor CA

  1. Crie um certificado .pfx de usuário usando a conta de serviço com a qual você fez login. O .pfx é carregado para o XenMobile, que então solicita um certificado de usuário em nome dos usuários que registram seus dispositivos.

  2. Em “Usuário Atual”, expanda “Certificados”.

  3. Clique com o botão direito do mouse no painel direito e clique em “Solicitar Novo Certificado”.

    Microsoft Management Console

  4. A tela “Registro de Certificado” é exibida. Clique em “Avançar”.

    Microsoft Management Console

  5. Selecione “Política de Registro do Active Directory” e clique em “Avançar”.

    Microsoft Management Console

  6. Selecione o modelo “Usuário” e clique em “Registrar”.

    Microsoft Management Console

  7. Exporte o arquivo .pfx que você criou na etapa anterior.

    Microsoft Management Console

  8. Clique em “Sim, exportar a chave privada”.

    Microsoft Management Console

  9. Selecione “Incluir todos os certificados no caminho de certificação, se possível” e selecione a caixa de seleção “Exportar todas as propriedades estendidas”.

    Microsoft Management Console

  10. Defina uma senha para usar ao carregar este certificado no XenMobile.

    Microsoft Management Console

  11. Salve o certificado em seu disco rígido.

Carregar o certificado para o XenMobile

  1. No console do XenMobile, clique no ícone de engrenagem no canto superior direito. A tela “Configurações” é exibida.

  2. Clique em “Certificados” e, em seguida, clique em “Importar”.

  3. Insira os seguintes parâmetros:

    • Importar: Keystore
    • Tipo de Keystore: PKCS #12
    • Usar como: Servidor
    • Arquivo Keystore: Clique em “Procurar” para selecionar o certificado .pfx que você criou.
    • Senha: Insira a senha que você criou para este certificado.

    Tela de configuração de certificados

  4. Clique em “Importar”.

  5. Verifique se o certificado foi instalado corretamente. Um certificado instalado corretamente é exibido como um certificado de Usuário.

Criar a entidade PKI para autenticação baseada em certificado

  1. Em “Configurações”, vá para “Mais > Gerenciamento de Certificados > Entidades PKI”.

  2. Clique em “Adicionar” e, em seguida, clique em “Entidade de Serviços de Certificado Microsoft”. A tela “Entidade de Serviços de Certificado Microsoft: Informações Gerais” é exibida.

  3. Insira os seguintes parâmetros:

    • Nome: Digite qualquer nome
    • URL raiz do serviço de registro web: https://RootCA-URL/certsrv/ (Certifique-se de adicionar a última barra, /, no caminho da URL.)
    • Nome da página certnew.cer: certnew.cer (valor padrão)
    • certfnsh.asp: certfnsh.asp (valor padrão)
    • Tipo de autenticação: Certificado de cliente
    • Certificado de cliente SSL: Selecione o Certificado de Usuário a ser usado para emitir o certificado de cliente do XenMobile.

    Tela de configuração de certificados

  4. Em “Modelos”, adicione o modelo que você criou ao configurar o certificado Microsoft. Não adicione espaços.

    Tela de configuração de certificados

  5. Pule os Parâmetros HTTP e clique em “Certificados CA”.

  6. Selecione o nome da CA raiz que corresponde ao seu ambiente. Esta CA raiz faz parte da cadeia importada do certificado de cliente do XenMobile.

    Tela de configuração de certificados

  7. Clique em “Salvar”.

Configurar provedores de credenciais

  1. Em “Configurações”, vá para “Mais > Gerenciamento de Certificados > Provedores de Credenciais”.

  2. Clique em “Adicionar”.

  3. Em “Geral”, insira os seguintes parâmetros:

    • Nome: Digite qualquer nome
    • Descrição: Digite qualquer descrição
    • Entidade emissora: Selecione a entidade PKI criada anteriormente.
    • Método de emissão: SIGN
    • Modelos: Selecione o modelo adicionado sob a entidade PKI.

    Tela de configuração de provedores de credenciais

  4. Clique em “Solicitação de Assinatura de Certificado” e insira os seguintes parâmetros:

    • Algoritmo de chave: RSA
    • Tamanho da chave: 2048
    • Algoritmo de assinatura: SHA256withRSA
    • Nome do assunto: cn=$user.username

    Para “Nomes Alternativos do Assunto”, clique em “Adicionar” e insira os seguintes parâmetros:

    • Tipo: Nome Principal do Usuário
    • Valor: $user.userprincipalname

    Tela de configuração de provedores de credenciais

  5. Clique em “Distribuição” e insira os seguintes parâmetros:

    • Certificado CA emissor: Selecione a CA emissora que assinou o Certificado de Cliente do XenMobile.
    • Selecionar modo de distribuição: Selecione “Preferir centralizado: Geração de chave no lado do servidor”.

    Tela de configuração de provedores de credenciais

  6. Para as duas próximas seções, “Revogação XenMobile” e “Revogação PKI”, defina os parâmetros conforme necessário. Neste exemplo, ambas as opções são ignoradas.

  7. Clique em “Renovação”.

  8. Para “Renovar certificados quando eles expirarem”, selecione “ATIVADO”.

  9. Deixe todas as outras configurações como padrão ou altere-as conforme necessário.

    Tela de configuração de provedores de credenciais

  10. Clique em “Salvar”.

Configurar o Secure Mail para usar autenticação baseada em certificado

Ao adicionar o Secure Mail ao XenMobile, certifique-se de configurar as configurações do Exchange em “Configurações do Aplicativo”.

Tela de configuração de aplicativos

Configurar a entrega de certificado do Citrix ADC no XenMobile

  1. Faça login no console do XenMobile e clique no ícone de engrenagem no canto superior direito. A tela “Configurações” é exibida.

  2. Em “Servidor”, clique em “Citrix Gateway”.

  3. Se o Citrix Gateway ainda não foi adicionado, clique em “Adicionar” e especifique as configurações:

    • URL Externa: https://YourCitrixGatewayURL
    • Tipo de Logon: Certificado e domínio
    • Senha Necessária: DESATIVADO
    • Definir como Padrão: ATIVADO

  4. Para “Entregar certificado de usuário para autenticação”, selecione “Ativado”.

    Tela de configuração do Citrix Gateway

  5. Para “Provedor de Credenciais”, selecione um provedor e clique em “Salvar”.

  6. Para usar os atributos sAMAccount nos certificados de usuário como uma alternativa ao Nome Principal do Usuário (UPN), configure o conector LDAP no XenMobile da seguinte forma: Vá para “Configurações > LDAP”, selecione o diretório e clique em “Editar”, e selecione “sAMAccountName” em “Pesquisar usuário por”.

    Tela de configuração LDAP

Habilitar PIN do Citrix e cache de senha do usuário

Para habilitar o PIN do Citrix e o cache de senha do usuário, vá para “Configurações > Propriedades do Cliente” e selecione estas caixas de seleção: “Habilitar Autenticação por PIN do Citrix” e “Habilitar Cache de Senha do Usuário”. Para obter mais informações, consulte Propriedades do cliente.

Solução de problemas da sua configuração de certificado de cliente

Após uma configuração bem-sucedida da configuração anterior mais a configuração do Citrix Gateway, o fluxo de trabalho do usuário é o seguinte:

  1. Os usuários registram seus dispositivos móveis.

  2. O XenMobile solicita que os usuários criem um PIN do Citrix.

  3. Os usuários são então redirecionados para a XenMobile Store.

  4. Quando os usuários iniciam o Secure Mail, o XenMobile não solicita credenciais de usuário para a configuração da caixa de correio. Em vez disso, o Secure Mail solicita o certificado de cliente do Secure Hub e o envia ao Microsoft Exchange Server para autenticação. Se o XenMobile solicitar credenciais quando os usuários iniciarem o Secure Mail, verifique sua configuração.

Se os usuários puderem baixar e instalar o Secure Mail, mas durante a configuração da caixa de correio o Secure Mail não conseguir concluir a configuração:

  1. Se o Microsoft Exchange Server ActiveSync usar certificados de servidor SSL privados para proteger o tráfego, verifique se os certificados Raiz/Intermediários estão instalados no dispositivo móvel.

  2. Verifique se o tipo de autenticação selecionado para o ActiveSync é “Exigir certificados de cliente”.

    Tela de propriedades do Microsoft ActiveSync

  3. No Microsoft Exchange Server, verifique o site “Microsoft-Server-ActiveSync” para verificar se a autenticação de mapeamento de certificado de cliente está habilitada. Por padrão, a autenticação de mapeamento de certificado de cliente está desabilitada. A opção está em “Editor de Configuração > Segurança > Autenticação”.

    Tela de configuração do Microsoft ActiveSync

    Após selecionar “Verdadeiro”, certifique-se de clicar em “Aplicar” para que as alterações entrem em vigor.

  4. Verifique as configurações do Citrix Gateway no console do XenMobile: Certifique-se de que “Entregar certificado de usuário para autenticação” esteja “ATIVADO” e que o “Provedor de credenciais” tenha o perfil correto selecionado.

Para determinar se o certificado de cliente foi entregue a um dispositivo móvel

  1. No console do XenMobile, vá para “Gerenciar > Dispositivos” e selecione o dispositivo.

  2. Clique em “Editar” ou “Mostrar Mais”.

  3. Vá para a seção “Grupos de Entrega” e procure por esta entrada:

    Credenciais do Citrix Gateway: Credencial solicitada, CertId=

Para validar se a negociação de certificado de cliente está habilitada

  1. Execute este comando netsh para mostrar a configuração do Certificado SSL que está vinculada ao site do IIS:

    netsh http show sslcert

  2. Se o valor para “Negociar Certificado de Cliente” for “Desabilitado”, execute o seguinte comando para habilitá-lo:

    netsh http delete sslcert ipport=0.0.0.0:443

    netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

    Por exemplo:

    netsh http add sslcert ipport=0.0.0.0:443 certhash=609da5df280d1f54a7deb714fb2c5435c94e05da appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

Autenticação por certificado de cliente ou certificado mais domínio
April 16, 2026
Contribuição de: 
C
April 16, 2026
Contribuição de: 
C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.