Product Documentation

Autenticação de certificado cliente ou certificado e domínio

A configuração padrão para o XenMobile é autenticação de nome de usuário e senha. Para adicionar outra camada de segurança para registro e acesso ao ambiente do XenMobile, considere usar a autenticação baseada em certificado. No ambiente XenMobile, essa configuração é a melhor combinação de segurança e experiência do usuário. O certificado mais a autenticação de domínio tem as melhores possibilidades de SSO, juntamente com a segurança fornecida pela autenticação de dois fatores no NetScaler.

Para melhor usabilidade, você pode combinar autenticação de certificado mais domínio com o Citrix PIN e a senha em cache do Active Directory. Como resultado, os usuários não precisam digitar seus nomes de usuário e senhas LDAP repetidamente. Os usuários inserem seus nomes de usuário e senhas para registro, expiração de senha e bloqueio de conta.

Importante:

O XenMobile não dá suporte à alteração do modo de autenticação, de autenticação de domínio para algum outro modo de autenticação, depois que os usuários registram dispositivos no XenMobile.

Se você não permitir LDAP e usar cartões inteligentes ou similar métodos, a configuração de certificados permite a você representar um cartão inteligente para o XenMobile. Em seguida, os usuários se registram usando um PIN exclusivo que o XenMobile gera para eles. Depois que o usuário pode acessar, o XenMobile cria e implanta o certificado usado para autenticar no ambiente XenMobile.

Você pode usar o assistente NetScaler para o XenMobile para executar a configuração necessária para o XenMobile ao usar autenticação de NetScaler de certificate apenas ou autenticação de certificado mais domínio. Você pode executar o NetScaler para o assistente do XenMobile apenas uma vez.

Em ambientes altamente seguros, o uso de credenciais LDAP fora de uma organização em redes públicas ou inseguras é considerado uma grande ameaça à segurança da organização. Para ambientes altamente seguros, uma opção é a autenticação de dois fatores que usa um certificado de cliente e um token de segurança. Para obter informações, consulte Configuração do XenMobile para autenticação de certificado e token de segurança.

Autenticação de certificado de cliente está disponível para o modo MAM do XenMobile (somente MAM) e o modo ENT (quando os usuários se registram no MDM). A autenticação de certificado cliente não está disponível para o modo ENT do XenMobile quando os usuários se registram no modo MAM legado. Para usar a autenticação de certificado de cliente para os modos ENT e MAM do XenMobile, você deve configurar o servidor Microsoft, o XenMobile Server e o NetScaler Gateway. Siga os seguintes procedimentos gerais, como detalhado neste artigo.

No servidor Microsoft:

  1. Adicione um snap-in de certificado ao Console de Gerenciamento Microsoft.
  2. Adicione o modelo à Autoridade de Certificação (AC).
  3. Crie um certificado PFX do servidor de AC.

No XenMobile Server:

  1. Carregue o certificado no XenMobile.
  2. Crie a entidade PKI de autenticação baseada em certificado.
  3. Configure os provedores de credenciais.
  4. Configure o NetScaler Gateway para fornecer um certificado de usuário para autenticação.

No NetScaler Gateway, configure conforme descrito na documentação do NetScaler Gateway.

Pré-requisitos

  • Ao criar um modelo de Entidade de Serviços de Certificado Microsoft, evite possíveis problemas de autenticação com dispositivos tegistrados excluindo caracteres especiais. Por exemplo, não use esses caracteres no nome do modelo: : ! $ () # % + * ~ ? | {} []

  • Para dispositivos Windows Phone 8.1 que usam autenticação de certificado e a descarga de SSL, desabilite a reutilização de sessão SSL para a porta 443 nos servidores virtuais de balanceamento de carga e no NetScaler. Para fazer isso, execute o seguinte comando nos vservers para a porta 443:

    set ssl vserver <ssl lb vserver> sessReuse DISABLE

    A desativação da reutilização da sessão SSL desativa algumas das otimizações que o NetScaler oferece, o que pode resultar em uma redução no desempenho no NetScaler.

  • Para configurar a autenticação baseada em certificado para o Exchange ActiveSync, consulte este blog da Microsoft.
  • Se você usa certificados de servidor privados para proteger o tráfego do ActiveSync ao Exchange Server, verifique se os dispositivos móveis têm todos os certificados raiz e intermediários. Caso contrário, a autenticação baseada em certificado não ocorrerá durante a instalação da caixa de correio no Secure Mail. No console do IIS do Exchange, você deve:
    • Adicione um site para uso do XenMobile com o Exchange e associe o certificado de servidor Web.
    • Use a porta 9443.
    • Para esse site, você deve adicionar dois aplicativos, um para “Microsoft-Server-ActiveSync” e um para “EWS”. Por ambos os aplicativos, em Configurações de SSL, selecione Exigir SSL.
  • Assegure que o Secure Mail esteja preparado com o MDX Toolkit mais recente, se necessário para o seu método de implantação.

Adicionar um snap-in de certificado ao Console de Gerenciamento Microsoft

  1. Abra o console e, em seguida, clique em Adicionar ou remover snap-ins.

  2. Adicione os seguintes snap-ins:

    • Modelos de Certificado
    • Certificados (Computador Local)
    • Certificados - Usuário Atual
    • Autoridade de Certificação (Local)

    Imagem do Console de Gerenciamento Microsoft

  3. Expanda Modelos de certificado.

    Imagem do Console de Gerenciamento Microsoft

  4. Selecione o modelo Usuário e Modelo Duplicado.

    Imagem do Console de Gerenciamento Microsoft

  5. Forneça o nome para exibição do Modelo.

    Importante:

    Marque a caixa de seleção Publicar certificado no Active Directory somente se necessário. Se essa opção estiver marcada, todos os certificados cliente do usuário serão criados no Active Directory, o que pode atravancar o banco de dados do Active Directory.

  6. Selecione Windows 2003 Server como o tipo de modelo. No servidor Windows 2012 R2, em Compatibilidade, selecione Autoridade de certificação e defina o destinatário como Windows 2003.

  7. Em Segurança, selecione a opção Registrar na coluna Permitir dos usuários autenticados.

    Imagem do Console de Gerenciamento Microsoft

  8. Em Criptografia, assegure-se de fornecer o tamanho da chave. Você depois insere o tamanho da chave durante a configuração do XenMobile.

    Imagem do Console de Gerenciamento Microsoft

  9. Em Nome da entidade, selecione Fornecer na solicitação. Aplique as alterações e, em seguida, salve.

    Imagem do Console de Gerenciamento Microsoft

Adição de um modelo à Autoridade de Certificação

  1. Vá para Autoridade de certificação e selecione Modelos de certificado.

  2. Clique com o botão direito do mouse no painel direito e selecione Novo > Modelo de certificado a ser emitido.

    Imagem do Console de Gerenciamento Microsoft

  3. Selecione o modelo que você criou na etapa anterior e clique em OK para adicioná-lo à Autoridade de certificação.

    Imagem do Console de Gerenciamento Microsoft

Criação de um certificado PFX do servidor de AC

  1. Crie um certificado .pfx de usuário usando a conta de serviço com a qual você fez login. O .pfx é carregado no XenMobile, que solicita um certificado de usuário em nome dos usuários que registram seus dispositivos.

  2. Em Usuário atual, expanda Certificados.

  3. Clique com o botão direito do mouse no painel direito e clique em Solicitar novo certificado.

    Imagem do Console de Gerenciamento Microsoft

  4. A tela Registro de certificado é exibida. Clique em Avançar.

    Imagem do Console de Gerenciamento Microsoft

  5. Selecione Política de registro do Active Directory e clique em Avançar.

    Imagem do Console de Gerenciamento Microsoft

  6. Selecione o modelo Usuário e clique em Registrar.

    Imagem do Console de Gerenciamento Microsoft

  7. Exporte o arquivo .pfx criado na etapa anterior.

    Imagem do Console de Gerenciamento Microsoft

  8. Clique em Sim, exportar a chave privada.

    Imagem do Console de Gerenciamento Microsoft

  9. Selecione Incluir todos os certificados no caminho de certificação, se possível e marque a caixa de seleção Exportar todas as propriedades estendidas.

    Imagem do Console de Gerenciamento Microsoft

  10. Defina uma senha para usar quando carregar o certificado para o XenMobile.

    Imagem do Console de Gerenciamento Microsoft

  11. Salve o certificado no seu disco rígido.

Upload do certificado no XenMobile

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito. A tela Configurações é exibida.

  2. Clique em Certificados e em Importar.

  3. Insira os seguintes parâmetros:

    • Importar: Keystore
    • Tipo de Keystore: PKCS #12
    • Usar como: Servidor
    • Arquivo de keystore: clique em Procurar para selecionar o certificado .pfx que você acabou de criar.
    • Senha: insira a senha criada para esse certificado.

    Imagem da tela de configuração de certificados

  4. Clique em Importar.

  5. Verifique se o certificado foi instalado corretamente. Um certificado instalado corretamente é exibido como um certificado de usuário.

Criação da entidade PKI de autenticação baseada em certificado

  1. Em Configurações, vá para Mais > Gerenciamento de certificados > Entidades PKI.

  2. Clique em Adicionar e em Entidade de serviços de certificado da Microsoft. A tela Entidade de serviços de certificado da Microsoft: informações gerais é exibida.

  3. Insira os seguintes parâmetros:

    • Nome: digite qualquer nome.
    • URL raiz do serviço de registro na Web: https://RootCA-URL/certsrv/ (Lembre-se de adicionar a última barra (/) ao caminho da URL.)
    • Nome da página certnew.cer: certnew.cer (valor padrão)
    • certfnsh.asp: certfnsh.asp (valor padrão)
    • Tipo de autenticação: certificado cliente
    • Certificado de cliente SSL: Selecione o certificado de usuário a ser usado para emitir o certificado cliente do XenMobile.

    Imagem da tela de configuração de certificados

  4. Em Modelos, adicione o modelo que você criou ao configurar o certificado da Microsoft. Não adicione espaços.

    Imagem da tela de configuração de certificados

  5. Ignore os Parâmetros HTTP e, em seguida, clique em Certificados de CA.

  6. Selecione o nome da AC raiz que corresponde ao seu ambiente. Essa AC raiz é parte da cadeia importada do certificado cliente do XenMobile.

    Imagem da tela de configuração de certificados

  7. Clique em Salvar.

Configuração dos provedores de credenciais

  1. Em Configurações, vá para Mais > Gerenciamento de certificados > Provedores de credenciais.

  2. Clique em Adicionar.

  3. Em Geral, insira os seguintes parâmetros:

    • Nome: digite qualquer nome.
    • Descrição: digite uma descrição
    • Entidade de emissão: selecione a entidade PKI criada anteriormente.
    • Método de emissão: SIGN
    • Modelos: selecione o modelo adicionado sob a entidade PKI.

    Imagem da tela de configuração de Provedores de Credenciais

  4. Clique em Solicitação de assinatura de certificado e insira os seguintes parâmetros:

    • Algoritmo de chave: RSA
    • Tamanho da chave: 2048
    • Algoritmo de assinatura: SHA1withRSA
    • Nome de entidade: cn=$user.username

    Para Nomes de entidade alternativos, clique em Adicionar e insira os seguintes parâmetros:

    • Tipo: nome UPN
    • Valor: $user.userprincipalname

    Imagem da tela de configuração de Provedores de Credenciais

  5. Clique em Distribuição e insira os seguintes parâmetros:

    • Emissão de certificado de CA: selecione a CA emissora que assinou o Certificado cliente do XenMobile.
    • Selecionar modo de distribuição: selecione Preferir modo centralizado: geração de chaves do lado do servidor.

    Imagem da tela de configuração de Provedores de Credenciais

  6. Para as duas próximas seções, Revogação XenMobile e Revogação PKI, defina os parâmetros conforme necessário. Neste exemplo, as duas opções são ignoradas.

  7. Clique em Renovação.

  8. Para Renovar os certificados quando eles expirarem, selecione I.

  9. Deixe todas as outras configurações como o padrão ou altere-as conforme necessário.

    Imagem da tela de configuração de Provedores de Credenciais

  10. Clique em Salvar.

Configuração do Secure Mail para usar a autenticação baseada em certificado

Quando você adicionar o Secure Mail ao XenMobile, defina as configurações do Exchange em Configurações de Aplicativo.

Imagem da tela de configuração de aplicativos

Configuração da entrega de certificado do NetScaler no XenMobile

  1. Faça login no console XenMobile e clique no ícone de engrenagem no canto superior direito. A tela Configurações é exibida.

  2. Em Servidor, clique em NetScaler Gateway.

  3. Se o NetScaler Gateway ainda não foi adicionado, clique em Adicionar e especifique as configurações:

    • URL externa: https://YourNetScalerGatewayURL
    • Tipo de login: Certificado
    • Senha obrigatória: desativado
    • Definir como padrão: ativado
  4. Para Entregar certificado de usuário para autenticação, selecione I.

    Imagem da tela de configuração do NetScaler Gateway

  5. Para Provedor de credenciais, selecione um provedor e clique em Salvar.

  6. Para usar atributos de sAMAccount nos certificados de usuário como alternativa para o nome UPN, configure o conector LDAP no XenMobile da seguinte maneira: vá para Configurações > LDAP, selecione o diretório e clique em Editar e selecione sAMAccountName em Pesquisa de usuário por.

    Imagem da tela de configuração do LDAP

Ativar o PIN da Citrix e o cache de senha de usuário

Para ativar o PIN da Citrix e a senha do usuário em cache, vá para Configurações > Propriedades do Cliente e assinale as caixas de seleção para Ativar PIN da Citrix e Ativar armazenamento em cache da senha do usuário. Para obter mais informações, consulte Propriedades do cliente.

Criação de uma política de Hub Empresarial para o Windows Phone

Para dispositivos Windows Phone, você deve criar uma política de dispositivo de Hub Empresarial para fornecer o arquivo AETX e o Secure Hub cliente.

Nota:

Certifique-se de que os arquivos AETX e Secure Hub usem:

  • O mesmo certificado corporativo do provedor de certificados.
  • Mesmo ID de Fornecedor da conta de desenvolvedor da Windows Store.
  1. No console XenMobile, clique em Configurar > Políticas de dispositivo.

  2. Clique em Adicionar e, em Mais > Agente XenMobile, clique em Hub empresarial.

  3. Após atribuir um nome à política, selecione o arquivo .AETX correto e o aplicativo Secure Hub assinado para o hub empresarial.

    Imagem da tela de configuração da política de dispositivo

  4. Atribua a política a grupos de entrega e salve-a.

Solução de problemas da sua configuração de certificado cliente

Após uma configuração com êxito da configuração anterior mais a configuração do NetScaler Gateway, o usuário fluxo de trabalho é o seguinte:

  1. Os usuários registram seus dispositivos móveis.

  2. O XenMobile solicita que os usuários criem um PIN da Citrix.

  3. Os usuários são redirecionados para a XenMobile Store.

  4. Quando os usuários iniciam o Secure Mail, o XenMobile não solicita credenciais de usuário para a configuração da caixa de correio. Em vez disso, o Secure Mail solicita o certificado de cliente do Secure Hub e o envia para o Microsoft Exchange Server para autenticação. Se o XenMobile solicitar credenciais quando os usuários iniciarem o Secure Mail verifique a sua configuração.

Se os usuários puderem baixar e instalar o Secure Mail, mas durante a configuração da caixa de correio o Secure Mail não termina a configuração:

  1. Se o Microsoft Exchange Server ActiveSync usa certificados de servidor SSL privados para proteger o tráfego, verifique se os certificados raiz/intermediário estão instalados no dispositivo móvel.

  2. Verifique se o tipo de autenticação selecionado para o ActiveSync é Exigir certificados de cliente.

    Imagem da tela de propriedades do Microsoft ActiveSync

  3. No Microsoft Exchange Server, verifique o site Microsoft-Server-ActiveSync para confirmar que a autenticação de mapeamento de certificado de cliente esteja ativada. Por padrão, a autenticação de mapeamento de certificado de cliente está desativada. A opção está sob Editor de Configurações > Segurança > Autenticação.

    Imagem da tela de configuração do Microsoft ActiveSync

    Nota: depois de selecionar True, clique em Aplicar para que as alterações tenham efeito.

  4. Verifique as configurações do NetScaler Gateway no console do XenMobile: Certifique-se de que Entregar certificado de usuário para autenticação esteja Ativado e que o Provedor de credenciais tenha o perfil correto selecionado.

Para determinar se o certificado de cliente foi entregue a um dispositivo móvel

  1. No console XenMobile, vá para Gerenciar > Dispositivos e selecione o dispositivo.

  2. Clique em Editar ou Mostrar mais.

  3. Vá para a seção Grupos de entrega e procure esta entrada:

    Credenciais do NetScaler Gateway: credencial solicitada, CertId=

Para validar se a negociação do certificado de cliente está habilitada

  1. Execute este comando netsh para mostrar a configuração de certificado SSL que está vinculada ao website do IIS:

    netsh http show sslcert

  2. Se o valor de Negociar certificado de cliente for Desativado, execute o seguinte comando para ativá-lo:

    netsh http delete sslcert ipport=0.0.0.0:443

    netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

    Por exemplo:

    netsh http add sslcert ipport=0.0.0.0:443 certhash=609da5df280d1f54a7deb714fb2c5435c94e05da appid={4dc3e181-e14b-4a21-b022-59fc669b0914} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

Se não for possível fornecer certificados raiz/intermediários a um dispositivo Windows Phone 8.1 por meio do XenMobile:

  • Envie arquivos de certificados raiz/intermediário (.cer) por email ao dispositivo Windows Phone 8.1 e instale-os diretamente.

Se o Secure Mail não for instalado com êxito no Windows Phone 8.1, verifique o seguinte:

  • O arquivo Application Enrollment Token (.AETX) é entregue por meio do XenMobile usando a política de dispositivo de hub empresarial.
  • O arquivo Application Enrollment Token foi criado usando o mesmo certificado empresarial do provedor de certificados usado para preparar o Secure Mail e assinar aplicativos do Secure Hub.
  • O mesmo ID de Fornecedor é usado para assinar e preparar o Secure Hub, o Secure Mail e o Application Enrollment Token.