Documentação de produtos
XenMobile® Server
Ver PDF

Entidades PKI

April 16, 2026
Contribuição de: 
C

Uma configuração de entidade de Infraestrutura de Chave Pública (PKI) do XenMobile® representa um componente que realiza operações PKI reais (emissão, revogação e informações de status). Esses componentes são internos ou externos ao XenMobile. Os componentes internos são chamados de discricionários. Os componentes externos fazem parte da sua infraestrutura corporativa.

O XenMobile oferece suporte aos seguintes tipos de entidades PKI:

  • Serviços de Certificado Microsoft

  • Autoridades de Certificação (CAs) Discricionárias

O XenMobile oferece suporte aos seguintes servidores CA:

  • Windows Server 2019
  • Windows Server 2016

Observação:

Os Windows Servers 2012 R2, 2012 e 2008 R2 não são mais compatíveis, pois atingiram o fim da vida útil. Para obter mais informações, consulte a documentação do ciclo de vida dos produtos Microsoft.

Conceitos comuns de PKI

Independentemente do tipo, cada entidade PKI tem um subconjunto das seguintes capacidades:

  • Assinar: Emitir um novo certificado, com base em uma Solicitação de Assinatura de Certificado (CSR).
  • Buscar: Recuperar um certificado e par de chaves existentes.
  • Revogar: Revogar um certificado de cliente.

Sobre Certificados CA

Ao configurar uma entidade PKI, indique ao XenMobile qual certificado CA é o signatário dos certificados emitidos por (ou recuperados de) essa entidade. Essa entidade PKI pode retornar certificados (buscados ou recém-assinados) assinados por qualquer número de CAs diferentes.

Forneça o certificado de cada uma dessas CAs como parte da configuração da entidade PKI. Para fazer isso, carregue os certificados no XenMobile e, em seguida, faça referência a eles na entidade PKI. Para CAs discricionárias, o certificado é implicitamente o certificado CA de assinatura. Para entidades externas, você deve especificar o certificado manualmente.

Importante:

Ao criar um modelo de Entidade de Serviços de Certificado Microsoft, evite possíveis problemas de autenticação com dispositivos registrados: Não use caracteres especiais no nome do modelo. Por exemplo, não use: ! : $ ( ) # % + * ~ ? | { } [ ]

Serviços de Certificado Microsoft

O XenMobile se comunica com os Serviços de Certificado Microsoft por meio de sua interface de registro web. O XenMobile oferece suporte apenas à emissão de novos certificados por meio dessa interface. Se a CA Microsoft gerar um certificado de usuário do Citrix Gateway, o Citrix Gateway oferecerá suporte à renovação e revogação desses certificados.

Para criar uma entidade PKI de CA Microsoft no XenMobile, você deve especificar a URL base da interface web dos Serviços de Certificado. Se preferir, use a autenticação de cliente SSL para proteger a conexão entre o XenMobile e a interface web dos Serviços de Certificado.

Adicionar uma entidade de Serviços de Certificado Microsoft

  1. No console do XenMobile, clique no ícone de engrenagem no canto superior direito do console e, em seguida, clique em “Entidades PKI”.

  2. Na página “Entidades PKI”, clique em “Adicionar”.

    Um menu de tipos de entidade PKI é exibido.

  3. Clique em “Entidade de Serviços de Certificado Microsoft”.

    A página “Entidade de Serviços de Certificado Microsoft: Informações Gerais” é exibida.

  4. Na página “Entidade de Serviços de Certificado Microsoft: Informações Gerais”, configure estas definições:

    • Nome: Digite um nome para sua nova entidade, que você usará posteriormente para fazer referência a ela. Os nomes das entidades devem ser exclusivos.
    • URL raiz do serviço de registro web: Digite a URL base do seu serviço de registro web da CA Microsoft; por exemplo, https://192.0.2.13/certsrv/. A URL pode usar HTTP simples ou HTTP sobre SSL.
    • Nome da página certnew.cer: O nome da página certnew.cer. Use o nome padrão, a menos que você o tenha renomeado por algum motivo.
    • certfnsh.asp: O nome da página certfnsh.asp. Use o nome padrão, a menos que você o tenha renomeado por algum motivo.
    • Tipo de autenticação: Escolha o método de autenticação que você deseja usar.
      • Nenhum
      • HTTP Básico: Digite o nome de usuário e a senha necessários para se conectar.
      • Certificado de cliente: Escolha o certificado de cliente SSL correto.

  5. Clique em “Testar Conexão” para garantir que o servidor esteja acessível. Se não estiver acessível, uma mensagem será exibida, informando que a conexão falhou. Verifique suas definições de configuração.

  6. Clique em “Avançar”.

    A página “Entidade de Serviços de Certificado Microsoft: Modelos” é exibida. Nesta página, você especifica os nomes internos dos modelos que sua CA Microsoft oferece suporte. Ao criar provedores de credenciais, você seleciona um modelo da lista definida aqui. Cada provedor de credenciais que usa esta entidade utiliza exatamente um desses modelos.

    Para os requisitos de modelo dos Serviços de Certificado Microsoft, consulte a documentação da Microsoft para sua versão do Microsoft Server. O XenMobile não tem requisitos para os certificados que distribui, além dos formatos de certificado observados em Certificados.

  7. Na página “Entidade de Serviços de Certificado Microsoft: Modelos”, clique em “Adicionar”, digite o nome do modelo e, em seguida, clique em “Salvar”. Repita esta etapa para cada modelo que você deseja adicionar.

  8. Clique em “Avançar”.

    A página “Entidade de Serviços de Certificado Microsoft: Parâmetros HTTP” é exibida. Nesta página, você especifica parâmetros personalizados para o XenMobile adicionar à solicitação HTTP para a interface de Registro Web da Microsoft. Os parâmetros personalizados são úteis apenas para scripts personalizados em execução na CA.

  9. Na página “Entidade de Serviços de Certificado Microsoft: Parâmetros HTTP”, clique em “Adicionar”, digite o nome e o valor dos parâmetros HTTP que você deseja adicionar e, em seguida, clique em “Avançar”.

    A página “Entidade de Serviços de Certificado Microsoft: Certificados CA” é exibida. Nesta página, você deve informar ao XenMobile os signatários dos certificados que o sistema obtém por meio desta entidade. Quando seu certificado CA for renovado, atualize-o no XenMobile. O XenMobile aplica a alteração à entidade de forma transparente.

  10. Na página “Entidade de Serviços de Certificado Microsoft: Certificados CA”, selecione os certificados que você deseja usar para esta entidade.

  11. Clique em “Salvar”.

    A entidade é exibida na tabela “Entidades PKI”.

Lista de Revogação de Certificados (CRL) do Citrix ADC

O XenMobile oferece suporte à Lista de Revogação de Certificados (CRL) apenas para uma Autoridade de Certificação de terceiros. Se você tiver uma CA Microsoft configurada, o XenMobile usará o Citrix ADC para gerenciar a revogação.

Ao configurar a autenticação baseada em certificado de cliente, considere configurar a definição “Habilitar Atualização Automática de CRL” da Lista de Revogação de Certificados (CRL) do Citrix ADC. Esta etapa garante que o usuário de um dispositivo no modo somente MAM não possa se autenticar usando um certificado existente no dispositivo.

O XenMobile reemite um novo certificado, pois não restringe um usuário de gerar um certificado de usuário após a revogação de um. Esta definição aumenta a segurança das entidades PKI quando a CRL verifica entidades PKI expiradas.

CAs Discricionárias

Uma CA discricionária é criada quando você fornece ao XenMobile um certificado CA e a chave privada associada. O XenMobile lida com a emissão, revogação e informações de status do certificado internamente, de acordo com os parâmetros que você especifica.

Ao configurar uma CA discricionária, você pode ativar o suporte ao Online Certificate Status Protocol (OCSP) para essa CA. Se e somente se você habilitar o suporte OCSP, a CA adicionará a extensão id-pe-authorityInfoAccess aos certificados que a CA emite. A extensão aponta para o Respondente OCSP interno do XenMobile no seguinte local:

https://<server>/<instance>/ocsp

Ao configurar o serviço OCSP, especifique um certificado de assinatura OCSP para a entidade discricionária em questão. Você pode usar o próprio certificado CA como signatário. Para evitar a exposição desnecessária da sua chave privada CA (recomendado): Crie um certificado de assinatura OCSP delegado, assinado pelo certificado CA, e inclua esta extensão: id-kp-OCSPSigning extendedKeyUsage.

O serviço de respondente OCSP do XenMobile oferece suporte a respostas OCSP básicas e aos seguintes algoritmos de hash em solicitações:

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

As respostas são assinadas com SHA-256 e o algoritmo de chave do certificado de assinatura (DSA, RSA ou ECDSA).

Adicionar CAs discricionárias

  1. No console do XenMobile, clique no ícone de engrenagem no canto superior direito do console e, em seguida, clique em “Mais > Entidades PKI”.

  2. Na página “Entidades PKI”, clique em “Adicionar”.

    Um menu de tipos de entidade PKI é exibido.

  3. Clique em “CA Discricionária”.

    A página “CA Discricionária: Informações Gerais” é exibida.

  4. Na página “CA Discricionária: Informações Gerais”, faça o seguinte:

    • Nome: Digite um nome descritivo para a CA discricionária.
    • Certificado CA para assinar solicitações de certificado: Clique em um certificado para a CA discricionária usar para assinar solicitações de certificado.

    Esta lista de certificados é gerada a partir dos certificados CA com chaves privadas que você carregou no XenMobile em “Configurar > Definições > Certificados”.

  5. Clique em “Avançar”.

    A página “CA Discricionária: Parâmetros” é exibida.

  6. Na página “CA Discricionária: Parâmetros”, faça o seguinte:

    • Gerador de número de série: A CA discricionária gera números de série para os certificados que emite. Nesta lista, clique em “Sequencial” ou “Não sequencial” para determinar como os números são gerados.
    • Próximo número de série: Digite um valor para determinar o próximo número emitido.
    • Certificado válido por: Digite o número de dias em que o certificado é válido.
    • Uso da chave: Identifique a finalidade dos certificados emitidos pela CA discricionária definindo as chaves apropriadas como “Ativado”. Uma vez definido, a CA é limitada a emitir certificados para essas finalidades.
    • Uso estendido da chave: Para adicionar mais parâmetros, clique em “Adicionar”, digite o nome da chave e, em seguida, clique em “Salvar”.

  7. Clique em “Avançar”.

    A página “CA Discricionária: Distribuição” é exibida.

  8. Na página “CA Discricionária: Distribuição”, selecione um modo de distribuição:

    • Centralizado: geração de chave no lado do servidor. A Citrix recomenda a opção centralizada. As chaves privadas são geradas e armazenadas no servidor e distribuídas para os dispositivos do usuário.
    • Distribuído: geração de chave no lado do dispositivo. As chaves privadas são geradas nos dispositivos do usuário. Este modo distribuído usa SCEP e requer um certificado de criptografia RA com a extensão keyUsage keyEncryption e um certificado de assinatura RA com a extensão keyUsage digitalSignature. O mesmo certificado pode ser usado para criptografia e assinatura.

  9. Clique em “Avançar”.

    A página “CA Discricionária: Online Certificate Status Protocol (OCSP)” é exibida.

    Na página “CA Discricionária: Online Certificate Status Protocol (OCSP)”, faça o seguinte:

    • Se você deseja adicionar uma extensão AuthorityInfoAccess (RFC2459) aos certificados assinados por esta CA, defina “Habilitar suporte OCSP para esta CA” como “Ativado”. Esta extensão aponta para o respondente OCSP da CA em https://<server>/<instance>/ocsp.
    • Se você habilitou o suporte OCSP, selecione um certificado CA de assinatura OCSP. Esta lista de certificados é gerada a partir dos certificados CA que você carregou no XenMobile.

  10. Clique em “Salvar”.

    A CA discricionária é exibida na tabela “Entidades PKI”.

Entidades PKI
April 16, 2026
Contribuição de: 
C
April 16, 2026
Contribuição de: 
C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.