XenMobile Server

Entidades PKI

Uma configuração de entidade Infraestrutura de Chave Pública (PKI) do XenMobile representa um componente que realiza operações reais da PKI (emissão, revogação e informações de status). Esses componentes são internos ou externos ao XenMobile. Os componentes internos são conhecidos como discricionários. Os componentes externos fazem parte da sua infraestrutura corporativa.

O XenMobile é compatível com os seguintes tipos de entidades PKI:

  • Serviços de Certificado da Microsoft

  • Autoridades de Certificação (CAs) Discricionárias

O XenMobile é compatível com os seguintes servidores de AC:

  • Windows Server 2019
  • Windows Server 2016

Nota:

Não há mais suporte para os Windows Servers 2012 R2, 2012 e 2008 R2, pois chegaram ao fim da vida útil. Para obter mais informações, consulte a documentação do ciclo de vida dos produtos Microsoft.

Conceitos de PKI comuns

Independentemente do tipo, cada entidade PKI tem um subconjunto dos seguintes recursos:

  • Assinar: emitir um novo certificado com base em uma Solicitação de Assinatura de Certificado (CSR).
  • Obter: recuperar um certificado e um par de chaves existentes.
  • Revogar: revogar um certificado cliente.

Sobre certificados AC

Quando você configura uma entidade PKI, indique ao XenMobile qual certificado AC será o signatário dos certificados emitidos por (ou recuperados de) essa entidade. Essa entidade PKI pode retornar certificados (obtidos ou assinados recentemente) assinados por qualquer número de ACs diferentes.

Forneça o certificado de cada uma dessas CAs como parte da configuração da entidade PKI. Para fazer isso, carregue os certificados no XenMobile e faça referência a eles na entidade PKI. Para CAs discricionárias, o certificado é, implicitamente, o certificado de AC de assinatura. Para entidades externas, você deve especificar o certificado manualmente.

Importante:

Quando você cria um modelo de Entidade de Serviços de Certificado Microsoft, evite possíveis problemas de autenticação com dispositivos registrados: não use caracteres especiais no nome do modelo. Por exemplo, não use: ! : $ ( ) # % + * ~ ? | { } [ ]

Serviços de Certificado da Microsoft

O XenMobile faz interface com os Serviços de Certificado da Microsoft por meio da respectiva interface de registro na Web. O XenMobile só oferece suporte à emissão de novos certificados por meio dessa interface. Se a AC da Microsoft gerar um certificado de usuário do Citrix Gateway, o Citrix Gateway oferece a renovação e revogação para esses certificados.

Para criar uma entidade PKI da AC da Microsoft no XenMobile, você deve especificar a URL base da interface da Web dos Serviços de Certificado. Se você preferir, use a autenticação de cliente SSL para proteger a conexão entre o XenMobile e a interface da Web dos Serviços de Certificado.

Adicionar uma entidade dos Serviços de Certificado da Microsoft

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console e clique em Entidades PKI.

  2. Na página Entidades PKI, clique em Adicionar.

    É exibido um menu de tipos de entidade PKI.

  3. Clique em Entidade de serviços de certificado da Microsoft.

    A página Entidade de serviços de certificado da Microsoft: Informações gerais é exibida.

  4. Na página Entidade de serviços de certificado da Microsoft: Informações gerais, defina estas configurações:

    • Nome: digite um nome para a nova entidade que você usará mais tarde para se referir a ela. Os nomes de entidade devem ser exclusivos.
    • URL raiz do serviço de registro na Web: digite a URL base do seu serviço de registro na Web da AC da Microsoft, por exemplo, https://192.0.2.13/certsrv/. A URL pode usar HTTP simples ou HTTP sobre SSL.
    • certnew.cer page name: o nome da página certnew.cer. Use o nome padrão a menos que você o tenha renomeado por algum motivo.
    • certfnsh.asp: o nome da página certfnsh.asp. Use o nome padrão a menos que você o tenha renomeado por algum motivo.
    • Tipo de autenticação: escolha no método de autenticação que você deseja usar.
      • Nenhum
      • HTTP básico: digite o nome do usuário e a senha necessários para se conectar.
      • Certificado cliente: escolha o certificado cliente SSL correto.
  5. Clique em Testar conexão para garantir que o servidor esteja acessível. Se ele não estiver acessível, será exibida uma mensagem informando que a conexão falhou. Verifique as definições de configuração.

  6. Clique em Avançar.

    A página Entidade de serviços de certificado da Microsoft: modelos é exibida. Nessa página, especifique os nomes internos dos modelos com os quais a sua AC da Microsoft é compatível. Quando você criar provedores de credenciais, selecione um modelo na lista definida aqui. Cada provedor de credenciais que usa essa entidade usa exatamente um desses modelos.

    Para os requisitos de modelo dos Serviços de Certificado da Microsoft, consulte a documentação da Microsoft relativa à versão do Microsoft Server. O XenMobile não tem requisitos para os certificados que distribui além dos formatos de certificado indicados em Certificados.

  7. Na página Entidade de serviços de certificado da Microsoft: Modelos clique em Adicionar, digite o nome do modelo e clique em Salvar. Repita essa etapa para cada modelo que você desejar adicionar.

  8. Clique em Avançar.

    A página Entidade de serviços de certificado da Microsoft: parâmetros HTTP é exibida. Nesta página, você especifica parâmetros personalizados para o XenMobile adicionar à solicitação HTTP para a interface de registro na Web da Microsoft. Parâmetros personalizados são úteis somente para scripts personalizados em execução na autoridade de certificação.

  9. Na página Entidade de serviços de certificado da Microsoft: Parâmetros HTTP, clique em Adicionar, digite o nome e o valor dos parâmetros HTTP que você deseja adicionar e, em seguida, clique em Avançar.

    É exibida a página Entidade de serviços de certificado da Microsoft: certificados AC. Nessa página, você deve informar ao XenMobile sobre os signatários dos certificados que o sistema obtém por meio dessa entidade. Quando seu certificado de CA for renovado, atualize-o no XenMobile. O XenMobile aplica a mudança à entidade de forma transparente.

  10. Na página Entidade de serviços de certificado da Microsoft: Certificados AC, selecione os certificados que você deseja usar para esta entidade.

  11. Clique em Salvar.

    A entidade é exibida na tabela Entidades PKI.

Lista de certificados revogados (CRL) de Citrix ADC

O XenMobile dá suporte à Lista de revogação de certificados (CRL) somente para uma Autoridade de Certificação terceira. Se você tiver configurado uma AC da Microsoft, o XenMobile usa o Citrix ADC para gerenciar a revogação.

Quando você configurar a autenticação baseada em certificado de cliente, decida se é necessário ou não configurar a opção Lista de revogação de certificados (CRL) do Citrix ADC, Ativar atualização automática da CRL. Esta etapa garante que o usuário de um dispositivo no modo somente MAM não possa autenticar usando um certificado existente no dispositivo.

O XenMobile emite novamente um novo certificado porque ele não impede que um usuário gere um certificado de usuário depois que um tiver sido revogado. Essa opção aumenta a segurança de entidades PKI quando a CRL verifica entidades PKI expiradas.

CAs discricionárias

Uma AC discricionária é criada quando você fornece ao XenMobile um certificado de AC e a chave privada associada. O XenMobile manipula a emissão, a revogação e as informações de status do certificado internamente, de acordo com os parâmetros que você especificar.

Quando você configura uma AC discricionária, pode ativar o suporte do Protocolo OCSP (Online Certificate Status Protocol) para essa AC. Se, e somente se, você ativar o suporte do OCSP, a AC adicionará uma extensão id-pe-authorityInfoAccess aos certificados que a AC emitir. A extensão aponta para o respondente OCSP interno do XenMobile na seguinte localização:

https://<server>/<instance>/ocsp

Quando você configura o serviço OCSP, especifique um certificado de assinatura OCSP para a entidade discricionária em questão. Você pode usar o próprio certificado de AC como signatário. Para evitar a exposição desnecessária da chave privada de AC (recomendado): crie um certificado de assinatura OCSP assinado pelo certificado de AC e inclua a extensão: id-kp-OCSPSigning extendedKeyUsage.

O serviço do respondedor OCSP do XenMobile é compatível com respostas OCSP básicas e com os seguintes algoritmos de hash em solicitações:

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

As respostas são assinadas com SHA-256 e o algoritmo de chave do certificado de assinatura (DSA, RSA ou ECDSA).

Adicionar ACs discricionárias

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console e clique em Mais > Entidades PKI.

  2. Na página Entidades PKI, clique em Adicionar.

    É exibido um menu de tipos de entidade PKI.

  3. Clique em CA discricionária.

    A página CA discricionária: Informações gerais é exibida.

  4. Na página CA discricionária: Informações gerais, faça o seguinte:

    • Nome: digite um nome descritivo para a CA discricionária.
    • Certificado de AC para assinar solicitações de certificado: clique no certificado da CA discricionária a ser usado para assinar solicitações de certificado.

      Essa lista de certificados é gerada com base nos certificados de AC com chaves privadas que você carregou para o XenMobile em Configurar > Configurações > Certificados.

  5. Clique em Avançar.

    A página CA discricionária: Parâmetros é exibida.

  6. Na página CA discricionária: Parâmetros, faça o seguinte:

    • Gerador de número de série: a CA discricionária gera números de série para os certificados que ela emite. Nessa lista, clique em Sequencial ou Não sequencial para determinar como os números serão gerados.
    • Próximo número de série: digite um valor para determinar o próximo número emitido.
    • Certificado válido para: digite o número de dias durante os quais o certificado é válido.
    • Uso da chave: identifique o propósito dos certificados emitidos pela CA discricionária definindo as chaves adequadas como Ativado. Depois de definida, a AC é limitada a emitir certificados para esses fins.
    • Uso de chave estendido: para adicionar mais parâmetros, clique em Adicionar, escreva o nome da chave e clique em Salvar.
  7. Clique em Avançar.

    A página CA discricionária: Distribuição é exibida.

  8. Na página CA discricionária: Distribuição, selecione um modo de distribuição:

    • Centralizado: geração de chave do lado do servidor. A Citrix recomenda a opção centralizada. As chaves privadas são geradas e armazenadas no servidor e distribuídas para os dispositivos do usuário.
    • Distribuído: geração de chave do lado do dispositivo. As chaves privadas são geradas nos dispositivos do usuário. Esse modo distribuído usa o SCEP e requer um certificado de criptografia RA com a extensão keyUsage keyEncryption e um certificado de assinatura RA com a extensão keyUsage digitalSignature. O mesmo certificado pode ser usado para autenticação e criptografia.
  9. Clique em Avançar.

    A página CA discricionária: Protocolo OCSP (Online Certificate Status Protocol) é exibida.

    Na página CA discricionária: Protocolo OCSP (Online Certificate Status Protocol), faça o seguinte:

    • Se você desejar adicionar uma extensão AuthorityInfoAccess (RFC2459) aos certificados assinados por essa AC, defina Ativar suporte a OCSP para esta AC como Ativado. Essa extensão aponta para o respondente OCSP da AC em https://<server>/<instance>/ocsp.
    • Se você tiver ativado o suporte do OCSP, selecione um certificado de AC de assinatura OSCP. Essa lista de certificados é gerada com base nos certificados de AC que você carregou no XenMobile.
  10. Clique em Salvar.

    A AC discricionária é exibida na tabela Entidades PKI.

Entidades PKI