证书和身份验证
在 Citrix Endpoint Management 操作期间,有几个组件在身份验证中起着作用:
-
Citrix Endpoint Management :Citrix Endpoint Management 服务器是您定义注册安全和注册体验的地方。用于加入用户的选项包括:
- 向所有用户开放注册还是仅对收到邀请的用户开放注册。
- 要求执行双重身份验证还是三重身份验证。Citrix Endpoint Management 客户端属性允许您启用 Citrix PIN 身份验证并配置 PIN 复杂度和到期时间。
- Citrix Gateway: Citrix Gateway 为 Micro VPN SSL 会话提供终止服务。Citrix Gateway 还提供网络在途安全,并允许您定义用户每次访问应用程序时的身份验证体验。
-
Citrix Secure Hub:Citrix Secure Hub 和 Citrix Endpoint Management 在注册操作中协同工作。Citrix Secure Hub 是设备上与 Citrix Gateway 对话的实体:会话到期时,Citrix Secure Hub 会从 Citrix Gateway 获得身份验证票证,并将票证传递给 MDX 应用程序。Citrix 建议使用证书固定,以防范中间人攻击。 有关更多信息,请参阅 Citrix Secure Hub 文章中的此部分:证书固定。
Citrix Secure Hub 还可以为 MDX 安全容器提供便利:Citrix Secure Hub 推送策略,在应用超时时与 Citrix Gateway 创建会话,并定义 MDX 超时和身份验证体验。Citrix Secure Hub 还负责越狱检测、地理位置检查以及您适用的任何政策。
- MDX 策略: MDX 策略会在设备上创建数据保管库。MDX 策略会将 Micro VPN 连接引导回 Citrix Gateway,强制执行脱机模式限制,以及强制执行超时等客户端策略。
Citrix Endpoint Management 使用以下身份验证方法对用户进行身份验证以访问其资源:
- 移动设备管理 (MDM)
- 云托管身份提供程序 (IdP)
- 轻型目录访问协议 (LDAP)
- 邀请 URL + PIN
- 双重身份验证
- 移动应用程序管理 (MAM)
- LDAP
- 证书
- 安全令牌 MAM 身份验证需要使用 Citrix Gateway。
有关其他配置详细信息,请参阅以下文章:
- 上载、更新和续订证书
- Citrix Gateway 和 Citrix Endpoint Management
- 域或域加安全令牌身份验证
- 客户端证书或证书加域身份验证
- PKI 实体
- 凭据提供程序
- APNs 证书
- 如果您的站点未启用 Workspace:用于单点登录 Citrix Files 的 SAML
- 通过 Citrix Cloud 使用 Azure Active Directory 进行身份验证
- 通过 Citrix Cloud 使用 Okta 进行身份验证
- 通过 Citrix Cloud 使用本地 Citrix Gateway 进行身份验证
- 要对 Wi-Fi 服务器进行身份验证,请将证书发送到设备:网络设备策略
- 要推送未用于身份验证的唯一证书,例如内部根证书颁发机构 (CA) 证书或特定策略(证书设备策略),请执行以下操作:
Certificates(证书)
Citrix Endpoint Management 在安装期间生成自签名的安全套接字层 (SSL) 证书,以保护流向服务器的通信流。将 SSL 证书替换为来自知名证书颁发机构的可信 SSL 证书。
Citrix Endpoint Management 还使用自己的公钥基础结构 (PKI) 服务或从客户端证书的 CA 获取证书。所有 Citrix 产品均支持通配符和使用者备用名称 (SAN) 证书。对于大多数部署,仅需两个通配符或 SAN 证书。
客户端证书身份验证为移动应用程序提供了一个额外的安全层,允许用户无缝访问 HDX 应用程序。配置客户证书认证后,用户键入其 Citrix PIN,以便对支持Citrix Endpoint Management 的应用程序进行单点登录 (SSO) 访问。Citrix PIN 还简化了用户身份验证体验。Citrix PIN 用于确保客户端证书的安全或在设备本地保存 Active Directory 凭据。
要使用 Citrix Endpoint Management 注册和管理 iOS 设备,请设置并创建苹果颁发的苹果推送通知服务 (APNs) 证书。有关步骤,请参阅 APNs 证书。
下表显示了每个 Citrix Endpoint Management 组件的证书格式和类型:
| Citrix Endpoint Management 组件 | 证书格式 | 必需的证书类型 |
|---|---|---|
| Citrix Gateway | PEM (BASE64)、PFX (PKCS #12) | SSL、Root(Citrix Gateway)自动将 PFX 转换为 PEM。 |
| Citrix Endpoint Management | .p12(在基于 Windows 的计算机上为 .pfx) | SSL、SAML、APNs(Citrix Endpoint Management 在安装过程中还会生成完整的 PKI。) 重要: Citrix Endpoint Management 不支持扩展名为 .pem 的证书。要使用.pem 证书,请将.pem 文件拆分为证书和密钥,然后分别导入 Citrix Endpoint Management。 |
| StoreFront | PFX (PKCS #12) | SSL、根证书 |
Citrix Endpoint Management 支持位长为 4096 和 2048 的客户端证书。
对于 Citrix Gateway 和 Citrix Endpoint Management,Citrix 建议从公共 CA(例如威瑞信、DigiCert 或 Thawte)获取服务器证书。您可以通过 Citrix Gateway 或 Citrix Endpoint Management 配置实用程序创建证书签名请求 (CSR)。创建 CSR 后,将其提交到 CA 进行签名。CA 返回已签名证书后,即可在 Citrix Gateway 或 Citrix Endpoint Management 上安装该证书。
重要:
iOS、iPadOS 和 macOS 中的可信证书的要求
Apple 对 TLS 服务器证书有新要求。验证所有证书都符合 Apple 的要求。请参阅 Apple 出版物 https://support.apple.com/en-us/HT210176。
Apple 正在缩短 TLS 服务器证书的最长允许生命周期。此更改仅影响 2020 年 9 月之后颁发的服务器证书。请参阅 Apple 出版物 https://support.apple.com/en-us/HT211025。
LDAP 身份验证
Citrix Endpoint Management 支持对符合轻量级目录访问协议 (LDAP) 的一个或多个目录进行基于域的身份验证。LDAP 是一个软件协议,用于提供对与组、用户帐户和相关属性有关的信息的访问权限。有关详细信息,请参阅域或域加安全令牌身份验证。
身份提供商验证
您可以通过 Citrix Cloud 配置身份提供商 (IdP) 以注册和管理用户设备。
IdP 支持的使用案例:
- 通过 Citrix Cloud 进行 Azure Active Directory
- 工作区集成是可选的
- 配置为进行基于证书的身份验证的 Citrix Gateway
- Android Enterprise(预览版。支持 BYOD、完全托管的设备和增强的注册配置文件)
- iOS(适用于 MDM+MAM 和 MDM 注册)
- 适用于 Apple 商务管理的 iOS 和 macOS 注册
- 旧版 Android (DA)
Apple 校园教务管理等自动注册功能目前不受支持。
- 通过 Citrix Cloud 进行的 Okta
- 工作区集成是可选的
- 配置为进行基于证书的身份验证的 Citrix Gateway
- Android Enterprise(预览版。支持 BYOD、完全托管的设备和增强的注册配置文件)
- iOS(适用于 MDM+MAM 和 MDM 注册)
- 适用于 Apple 商务管理的 iOS 和 macOS 注册
- 旧版 Android (DA)
Apple 校园教务管理等自动注册功能目前不受支持。
- 本地 Citrix Gateway(通过 Citrix Cloud)
- 配置为进行基于证书的身份验证的 Citrix Gateway
- Android Enterprise(预览版。支持 BYOD、完全托管的设备和增强的注册配置文件)
- iOS(适用于 MDM+MAM 和 MDM 注册)
- 目前不支持 Apple 部署计划等旧版 Android (DA) 自动注册功能。