Entidades PKI

Uma configuração de entidade Infraestrutura de Chave Pública (PKI) do XenMobile representa um componente que realiza operações reais da PKI (emissão, revogação e informações de status). Esses componentes são internos ou externos ao XenMobile. Os componentes internos são conhecidos como discricionários. Os componentes externos fazem parte da sua infraestrutura corporativa.

O XenMobile é compatível com os seguintes tipos de entidades PKI:

  • PKIs Genéricas (GPKIs)

O suporte do XenMobile Server GPKI inclui PKI gerenciada da Symantec.

  • Serviços de Certificado da Microsoft
  • Autoridades de Certificação (CAs) Discricionárias

O XenMobile é compatível com os seguintes servidores de AC:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2

Conceitos de PKI comuns

Independentemente do tipo, cada entidade PKI tem um subconjunto dos seguintes recursos:

  • Assinar: emitir um novo certificado com base em uma Solicitação de Assinatura de Certificado (CSR).
  • Obter: recuperar um certificado e um par de chaves existentes.
  • Revogar: revogar um certificado cliente.

Sobre certificados AC

Quando você configura uma entidade PKI, indique ao XenMobile qual certificado AC será o signatário dos certificados emitidos por (ou recuperados de) essa entidade. Essa entidade PKI pode retornar certificados (obtidos ou assinados recentemente) assinados por qualquer número de ACs diferentes.

Forneça o certificado de cada uma dessas CAs como parte da configuração da entidade PKI. Para fazer isso, carregue os certificados no XenMobile e faça referência a eles na entidade PKI. Para CAs discricionárias, o certificado é, implicitamente, o certificado de AC de assinatura. Para entidades externas, você deve especificar o certificado manualmente.

Importante:

Quando você cria um modelo de Entidade de Serviços de Certificado Microsoft, evite possíveis problemas de autenticação com dispositivos registrados: não use caracteres especiais no nome do modelo. Por exemplo, não use: ! : $ ( ) # % + * ~ ? | { } [ ]

PKI Genérica

O protocolo PKI Genérica (GPKI) é um protocolo proprietário do XenMobile em execução em uma camada do Serviço Web SOAP para fins de interface uniforme com várias soluções de PKI. O protocolo GPKI define as três operações de PKI fundamentais:

  • Assinar: o adaptador pode receber CSRs, transmiti-las para a PKI e retornar os certificados recém-assinados.
  • Obter: o adaptador pode recuperar (restaurar) certificados e pares de chaves existentes (dependendo dos parâmetros de entrada) da PKI.
  • Revogar: o adaptador pode fazer com que a PKI revogue um determinado certificado.

O receptor do protocolo GPKI é o adaptador GPKI. O adaptador converte as operações fundamentais no tipo específico de PKI para o qual foi criado. Por exemplo, há adaptadores GPKI para RSA e Entrust.

O adaptador GPKI, como um ponto de extremidade dos Serviços da Web SOAP, publica uma definição de Linguagem de Descrição de Serviços da Web (WSDL) autodescritiva. Criar uma entidade PKI GPKI equivale a fornecer ao XenMobile essa definição WSDL, por meio de uma URL ou mediante o carregamento do arquivo em si.

O suporte a cada uma das operações de PKI em um adaptador é opcional. Se um adaptador der suporte a uma determinada operação, considera-se que tem a capacidade correspondente (assinar, obter ou revogar). Cada um desses recursos pode ser associado a um conjunto de parâmetros de usuário.

Os parâmetros de usuário são parâmetros que o adaptador GPKI define para uma operação específica e cujos valores você precisa fornecer ao XenMobile. O XenMobile analisa o arquivo WSDL para determinar quais operações o adaptador tem e quais parâmetros o adaptador exige para cada uma dessas operações. Se você preferir, use a autenticação de cliente SSL para proteger a conexão entre o XenMobile e o adaptador GPKI.

Para adicionar uma PKI genérica

  1. No console XenMobile, clique em Configurações > Entidades PKI.

  2. Na página Entidades PKI, clique em Adicionar.

    É exibido um menu de tipos de entidade PKI.

    Imagem da tela de configuração das Entidades PKI

  3. Clique em Entidade PKI genérica.

    A página Entidade PKI genérica: Informações gerais é exibida.

    Imagem da tela de configuração das Entidades PKI

  4. Na página Entidade PKI genérica: Informações gerais, faça o seguinte:

    • Nome: digite um nome descritivo para a entidade PKI.
    • URL WSDL: digite a localização do WSDL que descreve o adaptador.
    • Tipo de autenticação: clique no método de autenticação que você deseja usar.
    • Nenhum
    • HTTP básico: forneça o nome do usuário e a senha necessários para se conectar ao adaptador.
    • Certificado cliente: selecione o certificado de cliente SSL correto.
  5. Clique em Avançar.

    A página Entidade PKI genérica: Recursos do adaptador é exibida.

  6. Na página Entidade PKI genérica: Recursos do adaptador, revise as capacidades e os parâmetros associados ao adaptador e clique em Avançar.

    A página Entidade PKI genérica: Emissão de certificados AC é exibida.

  7. Na página Entidade PKI genérica: Emissão de certificados AC, selecione os certificados que você deseja usar para a entidade.

    Embora as entidades possam retornar certificados assinados por diferentes ACs, a mesma AC deve assinar todos os certificados obtidos por meio de um determinado provedor de certificados. Da mesma forma, quando você configurar a definição Provedor de credenciais, na página Distribuição, selecione um dos certificados configurados aqui.

  8. Clique em Salvar.

    A entidade é exibida na tabela Entidades PKI.

PKI gerenciada pela Symantec

O suporte do XenMobile Server GPKI inclui PKI gerenciada da Symantec, também chamada MPKI. Esta seção descreve como configurar o Windows Server e o XenMobile Server para PKI gerenciada da Symantec.

Pré-requisitos

  • Acesso a infraestrutura de PKI gerenciada da Symantec
  • Windows Server 2012 R2 com os seguintes componentes instalados, conforme descrito neste artigo:
    • Java
    • Apache Tomcat
    • Cliente PKI da Symantec
    • Portecle
  • Acesso ao site de downloads do XenMobile

Instalar o Java no Windows Server

Faça o download do Java em https://java.com/en/download/faq/java_win64bit.xml e instale-o. Na caixa de diálogo Aviso de segurança, clique em Executar.

Instalar o Apache Tomcat no Windows Server

Baixe o instalador de serviços do Windows Apache Tomcat de 32/64 bits em https://tomcat.apache.org/download-80.cgi e depois instale-o. Na caixa de diálogo Aviso de segurança, clique em Executar. Complete a configuração do Apache Tomcat, usando os seguintes exemplos como um guia.

Imagem da tela de configuração do Apache Tomcat

Imagem da tela de configuração do Apache Tomcat

Imagem da tela de configuração do Apache Tomcat

Imagem da tela de configuração do Apache Tomcat

Imagem da tela de configuração do Apache Tomcat

Em seguida, vá até Windows Services e altere o Tipo de inicialização de Manual para Automático.

Imagem da tela de configuração do Windows Services

Imagem da tela de configuração do Windows Services

Instalar o cliente Symantec PKI no Windows Server

Baixe o instalador a partir do console do PKI Manager. Se você não tem acesso ao console, baixe o instalador a partir da página de suporte da Symantec How to download Symantec PKI Client. Descompacte e execute o instalador.

Imagem da instalação do Symantec PKI Client

Imagem da instalação do Symantec PKI Client

Na caixa de diálogo Aviso de segurança, clique em Executar. Siga as instruções no instalador para concluir a instalação. Quando a instalação for concluída, ele solicitará que você reinicie.

Instalar o Portecle no Windows Server

Baixe o instalador de https://sourceforge.net/projects/portecleinstall/files/ e depois descompacte e execute o instalador.

Gere o certificado de autoridade de registro (RA) para o PKI gerenciado da Symantec

O keystore para autenticação de certificado de cliente está contido em um certificado de autoridade de registro (RA), chamado RA.jks. As etapas a seguir descrevem como gerar esse certificado usando Portecle. Você também pode gerar o certificado de RA usando a interface de linha de comando Java.

Este artigo também descreve como carregar o RA e os certificados públicos.

  1. No Portecle, vá para Tools > Generate Key Pair, forneça as informações necessárias e gere um par de chaves.

    Imagem da tela de configuração do Portecle

  2. Clique com o botão direito do mouse no par de chaves e clique em Generate Certification Request.

    Imagem da tela de configuração do Portecle

  3. Copie o CSR.

  4. No Symantec PKI Manager, gere um certificado de RA: clique em Settings, clique em Get a RA CertificateA, cole a CSR e clique em Continue.

    Imagem da tela de configuração do Symantec PKI Manager

  5. Clique em Download para baixar o certificado de RA gerado.

    Imagem da tela de configuração do Symantec PKI Manager

  6. No Portecle, importe o certificado RA: clique com o botão direito do mouse no par de chaves e depois clique em Import CA Reply.

    Imagem da tela de configuração do Portecle

  7. No Symantec PKI Manager: vá para Resources > Web Services e, em seguida, baixe os certificados da CA.

    Imagem da tela de configuração do Symantec PKI Manager

  8. No Portecle, importe os certificados de RA intermediário e raiz para o keystore: vá para Tools > Import Trusted Certificates.

    Imagem da tela de configuração do Portecle

  9. Depois de importar os CAs, salve o keystore como RA.jks na pasta C:\Symantec no Windows Server.

    Imagem da tela de configuração do Portecle

Configurar o Symantec PKI Adapter no Windows Server

  1. Faça login no Windows Server como administrador.

  2. Carregue o arquivo RA.jks que você gerou na seção anterior. Carregue também os certificados públicos (cacerts.jks) para o seu servidor Symantec MPKI.

  3. Na página de download do XenMobile Server 10, expanda Ferramentas e baixe o arquivo do Symantec PKI Adapter. O nome do arquivo é XenMobile_Symantec_PKI_Adapter.zip. Descompacte o arquivo .zip e copie os arquivos para a unidade C: do Windows Server:

    • custom_gpki_adapter.properties

    • Symantec.war

  4. Abra custom_gpki_adapter.properties no Bloco de Notas e edite os seguintes valores:

    Gpki.CaSvc.Url=https://<managed PKI URL>
    
    # keystore for client-cert auth
    
    keyStore=C:\Symantec\RA.jks
    
    # truststore for server with self-signed root CA
    
    trustStore=C:\Symantec\cacerts.jks
    
  5. Copie o Symantec.war para a pasta <tomcat dir>\webapps e inicie o Tomcat.

  6. Verifique se o aplicativo foi implantado: abra um navegador da Web e vá até https://localhost/Symantec.

  7. Navegue até a pasta <tomcat dir>\webapps\Symantec\WEB-INF\classes e edite gpki_adapter.properties. Modifique a propriedade CustomProperties para apontar para o arquivo custom_gpki_adapter na pasta C:\Symantec:

    CustomProperties=C:\\Symantec\\custom_gpki_adapter.properties

  8. Reinicie o Tomcat, navegue até https://localhost/Symantec e copie o endereço de ponto de extremidade. Na próxima seção, você cola esse endereço ao configurar o adaptador PKI.

    Imagem da tela de configuração do Symantec PKI

Configurar o XenMobile Server para PKI gerenciado da Symantec

Conclua a instalação do Windows Server antes de executar a configuração de XenMobile Server a seguir.

Para importar os certificados de AC da Symantec e configurar a entidade PKI

  1. Importe os certificados de AC da Symantec que emitem o certificado do usuário final: no console do XenMobile Server, vá para Configurações > Certificados e clique em Importar.

    Imagem da tela de configuração de certificados

  2. Adicione e configure a Entidade PKI: vá para Configurações > Entidades PKI, clique em Adicionar e, em seguida, escolha Entidade Genérica PKI. Em URL WSDL, cole o endereço do ponto de extremidade que você copiou quando configurou o adaptador PKI na seção anterior e, em seguida, acrescente ?wsdl, conforme mostrado abaixo.

    Imagem da tela de configuração das Entidades PKI

  3. Clique em Avançar. O XenMobile preenche os nomes dos parâmetros do WSDL.

    Imagem da tela de configuração das Entidades PKI

  4. Clique em Avançar, selecione o certificado da autoridade de certificação correto e clique em Salvar.

    Imagem da tela de configuração das Entidades PKI

  5. Na página Configurações > Entidades de PKI, verifique se o Estado da Entidade PKI que você adicionou é Válido.

    Imagem da tela de configuração das Entidades PKI

Para criar o provedor de credenciais para PKI gerenciado da Symantec

  1. No console do Symantec PKI Manager, copie o Certificate Profile OID em Certificate Template.

    Imagem da tela de configuração do Symantec PKI Manager

  2. No console do XenMobile Sever, vá para Configurações > Provedores de credenciais, clique em Adicionar e defina as configurações da seguinte maneira.

    • Nome: digite um nome exclusivo para a nova configuração do provedor. Este nome é usado para referir-se à configuração em outras partes do console XenMobile.

    • Descrição: descreva o provedor de credenciais. Embora esse campo seja opcional, uma descrição pode ser útil para quando você precisar de detalhes sobre esse provedor de credenciais.

    • Entidade de emissão: escolha a entidade de emissão do certificado.

    • Método de emissão: escolha Assinar como o método que o sistema utiliza para obter certificados cliente da entidade configurada.

    • certParams: Adicione o seguinte valor: commonName=${user.mail},otherNameUPN=${user.userprincipalname},mail=${user.mail}

    • certificateProfileid: cole o OID de perfil de certificado que você copiou na etapa 1.

    Imagem da tela de configuração de Provedores de Credenciais

  3. Clique em Avançar. Em cada uma das páginas restantes (solicitação de assinatura do certificado por meio de renovação), aceite as configurações padrão. Quando terminar, clique em Salvar.

Para testar e solucionar problemas de configuração

  1. Criar uma política de dispositivo de credenciais: vá para Configurar > Políticas de dispositivo, clique em Adicionar, comece a digitar Credenciais e clique em Credenciais.

  2. Especifique o Nome da Política.

  3. Defina as configurações da plataforma, como se seguem:

    • Tipo de credencial: escolha Provedor de credenciais.

    • Provedor de credenciais: escolha o provedor Symantec.

    Imagem da tela de configuração de Provedores de Credenciais

  4. Depois de completar as configurações da plataforma, vá para a página Atribuição, atribua a política aos grupos de entrega e clique em Salvar.

  5. Para verificar se a política foi implantada no dispositivo, vá para Gerenciar > Dispositivos, selecione o dispositivo, clique em Editar e clique em Políticas atribuídas. O exemplo a seguir mostra uma implantação com êxito de uma política.

    Imagem da tela de configuração Gerenciar dispositivos

    Se a política não foi implantada, faça login no Windows Server e verifique se o WSDL está sendo carregado corretamente.

    Imagem do Gerenciador do Windows Server

Para mais informações sobre solução de problemas, verifique os logs do Tomcat em <tomcat dir>\logs\catalina.<current date>.

Serviços de Certificado da Microsoft

O XenMobile faz interface com os Serviços de Certificado da Microsoft por meio da respectiva interface de registro na Web. O XenMobile é compatível com a emissão de novos certificados somente por meio dessa interface (o equivalente ao recurso assinar da GPKI). Se a AC da Microsoft gerar um certificado de usuário do NetScaler Gateway, o NetScaler Gateway oferece a renovação e revogação para esses certificados.

Para criar uma entidade PKI da AC da Microsoft no XenMobile, você deve especificar a URL base da interface da Web dos Serviços de Certificado. Se você preferir, use a autenticação de cliente SSL para proteger a conexão entre o XenMobile e a interface da Web dos Serviços de Certificado.

Adicionar uma entidade dos Serviços de Certificado da Microsoft

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console e clique em Entidades PKI.

  2. Na página Entidades PKI, clique em Adicionar.

    É exibido um menu de tipos de entidade PKI.

  3. Clique em Entidade de serviços de certificado da Microsoft.

    A página Entidade de serviços de certificado da Microsoft: Informações gerais é exibida.

  4. Na página Entidade de serviços de certificado da Microsoft: Informações gerais, defina estas configurações:

    • Nome: digite um nome para a nova entidade que você usará mais tarde para se referir a ela. Os nomes de entidade devem ser exclusivos.
    • URL raiz do serviço de registro na Web: digite a URL base do seu serviço de registro na Web da AC da Microsoft, por exemplo, https://192.0.2.13/certsrv/. A URL pode usar HTTP simples ou HTTP sobre SSL.
    • certnew.cer page name: o nome da página certnew.cer. Use o nome padrão a menos que você o tenha renomeado por algum motivo.
    • certfnsh.asp: o nome da página certfnsh.asp. Use o nome padrão a menos que você o tenha renomeado por algum motivo.
    • Tipo de autenticação: escolha no método de autenticação que você deseja usar.
      • Nenhum
      • HTTP básico: digite o nome do usuário e a senha necessários para se conectar.
      • Certificado cliente: escolha o certificado cliente SSL correto.
  5. Clique em Testar conexão para garantir que o servidor esteja acessível. Se ele não estiver acessível, será exibida uma mensagem informando que a conexão falhou. Verifique as definições de configuração.

  6. Clique em Avançar.

    A página Entidade de serviços de certificado da Microsoft: modelos é exibida. Nessa página, especifique os nomes internos dos modelos com os quais a sua AC da Microsoft é compatível. Quando você criar provedores de credenciais, selecione um modelo na lista definida aqui. Cada provedor de credenciais que usa essa entidade usa exatamente um desses modelos.

    Para os requisitos de modelo dos Serviços de Certificado da Microsoft, consulte a documentação da Microsoft relativa à versão do Microsoft Server. O XenMobile não tem requisitos para os certificados que distribui além dos formatos de certificado indicados em Certificados.

  7. Na página Entidade de serviços de certificado da Microsoft: Modelos clique em Adicionar, digite o nome do modelo e clique em Salvar. Repita essa etapa para cada modelo que você desejar adicionar.

  8. Clique em Avançar.

    A página Entidade de serviços de certificado da Microsoft: parâmetros HTTP é exibida. Nesta página, você especifica parâmetros personalizados para o XenMobile adicionar à solicitação HTTP para a interface de registro na Web da Microsoft. Parâmetros personalizados são úteis somente para scripts personalizados em execução na autoridade de certificação.

  9. Na página Entidade de serviços de certificado da Microsoft: Parâmetros HTTP, clique em Adicionar, digite o nome e o valor dos parâmetros HTTP que você deseja adicionar e, em seguida, clique em Avançar.

    É exibida a página Entidade de serviços de certificado da Microsoft: certificados AC. Nessa página, você deve informar ao XenMobile sobre os signatários dos certificados que o sistema obtém por meio dessa entidade. Quando seu certificado de CA for renovado, atualize-o no XenMobile. O XenMobile aplica a mudança à entidade de forma transparente.

  10. Na página Entidade de serviços de certificado da Microsoft: Certificados AC, selecione os certificados que você deseja usar para esta entidade.

  11. Clique em Salvar.

    A entidade é exibida na tabela Entidades PKI.

Lista de certificados revogados (CRL) de NetScaler

O XenMobile dá suporte a lista de certificados revogados (CRL) somente para uma Autoridade de Certificação terceira. Se você tiver configurado uma AC da Microsoft, o XenMobile usa o NetScaler para gerenciar a revogação.

Quando você configura a autenticação baseada em certificado de cliente, decida se você precisa configurar a opção lista de certificados revogados (CRL) Enable CRL Auto Refresh. Esta etapa garante que o usuário de um dispositivo no modo somente MAM não possa autenticar usando um certificado existente no dispositivo.

O XenMobile emite novamente um novo certificado porque ele não impede que um usuário gere um certificado de usuário depois que um tiver sido revogado. Essa opção aumenta a segurança de entidades PKI quando a CRL verifica entidades PKI expiradas.

CAs discricionárias

Uma AC discricionária é criada quando você fornece ao XenMobile um certificado de AC e a chave privada associada. O XenMobile manipula a emissão, a revogação e as informações de status do certificado internamente, de acordo com os parâmetros que você especificar.

Quando você configura uma AC discricionária, pode ativar o suporte do Protocolo OCSP (Online Certificate Status Protocol) para essa AC. Se, e somente se, você ativar o suporte do OCSP, a AC adicionará uma extensão id-pe-authorityInfoAccess aos certificados que a AC emitir. A extensão aponta para o respondente OCSP interno do XenMobile na seguinte localização:

https://<server>/<instance>/ocsp

Quando você configurae o serviço OCSP, especifique um certificado de assinatura OCSP para a entidade discricionária em questão. Você pode usar o próprio certificado de AC como signatário. Para evitar a exposição desnecessária da chave privada de AC (recomendado): crie um certificado de assinatura OCSP assinado pelo certificado de AC e inclua a extensão: id-kp-OCSPSigning extendedKeyUsage.

O serviço do respondedor OCSP do XenMobile é compatível com respostas OCSP básicas e com os seguintes algoritmos de hash em solicitações:

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

As respostas são assinadas com SHA-256 e o algoritmo de chave do certificado de assinatura (DSA, RSA ou ECDSA).

Adicionar ACs discricionárias

  1. No console XenMobile, clique no ícone de engrenagem no canto superior direito do console e clique em Mais > Entidades PKI.

  2. Na página Entidades PKI, clique em Adicionar.

    É exibido um menu de tipos de entidade PKI.

  3. Clique em CA discricionária.

    A página CA discricionária: Informações gerais é exibida.

  4. Na página CA discricionária: Informações gerais, faça o seguinte:

    • Nome: digite um nome descritivo para a CA discricionária.
    • Certificado de AC para assinar solicitações de certificado: clique no certificado da CA discricionária a ser usado para assinar solicitações de certificado.

      Essa lista de certificados é gerada com base nos certificados de AC com chaves privadas que você carregou para o XenMobile em Configurar > Configurações > Certificados.

  5. Clique em Avançar.

    A página CA discricionária: Parâmetros é exibida.

  6. Na página CA discricionária: Parâmetros, faça o seguinte:

    • Gerador de número de série: a CA discricionária gera números de série para os certificados que ela emite. Nessa lista, clique em Sequencial ou Não sequencial para determinar como os números serão gerados.
    • Próximo número de série: digite um valor para determinar o próximo número emitido.
    • Certificado válido para: digite o número de dias durante os quais o certificado é válido.
    • Uso da chave: identifique o propósito dos certificados emitidos pela CA discricionária definindo as chaves adequadas como Ativado. Depois de definida, a AC é limitada a emitir certificados para esses fins.
    • Uso de chave estendido: para adicionar mais parâmetros, clique em Adicionar, escreva o nome da chave e clique em Salvar.
  7. Clique em Avançar.

    A página CA discricionária: Distribuição é exibida.

  8. Na página CA discricionária: Distribuição, selecione um modo de distribuição:

    • Centralizado: geração de chave do lado do servidor. A Citrix recomenda a opção centralizada. As chaves privadas são geradas e armazenadas no servidor e distribuídas para os dispositivos do usuário.
    • Distribuído: geração de chave do lado do dispositivo. As chaves privadas são geradas nos dispositivos do usuário. Esse modo distribuído usa o SCEP e requer um certificado de criptografia RA com a extensão keyUsage keyEncryption e um certificado de assinatura RA com a extensão keyUsage digitalSignature. O mesmo certificado pode ser usado para autenticação e criptografia.
  9. Clique em Avançar.

    A página CA discricionária: Protocolo OCSP (Online Certificate Status Protocol) é exibida.

    Na página CA discricionária: Protocolo OCSP (Online Certificate Status Protocol), faça o seguinte:

    • Se você desejar adicionar uma extensão AuthorityInfoAccess (RFC2459) aos certificados assinados por essa AC, defina Ativar suporte a OCSP para esta AC como Ativado. Essa extensão aponta para o respondente OCSP da AC em https://<server>/<instance>/ocsp.
    • Se você tiver ativado o suporte do OCSP, selecione um certificado de AC de assinatura OSCP. Essa lista de certificados é gerada com base nos certificados de AC que você carregou no XenMobile.
  10. Clique em Salvar.

    A AC discricionária é exibida na tabela Entidades PKI.