Citrix Endpoint Management

证书和身份验证

在 Endpoint Management 操作期间,若干组件都会参与身份验证:

  • Endpoint Management: Endpoint Management 服务器是您定义注册安全性和注册体验的位置。用于加入用户的选项包括:
    • 向所有用户开放注册还是仅对收到邀请的用户开放注册。
    • 要求执行双重身份验证还是三重身份验证。通过 Endpoint Management 中的客户端属性,您可以启用 Citrix PIN 身份验证以及配置 PIN 复杂性和过期时间。
  • Citrix Gateway: Citrix Gateway 为 Micro VPN SSL 会话提供终止服务。Citrix Gateway 还提供网络在途安全,并允许您定义用户每次访问应用程序时的身份验证体验。
  • Secure Hub: 注册期间,Secure Hub 与 Endpoint Management 协同工作。Secure Hub 是设备上可以与 Citrix Gateway 通信的实体:会话过期时,Secure Hub 会从 Citrix Gateway 获取身份验证票证,并将该票证传递给 MDX 应用程序。Citrix 建议使用证书固定,以防范中间人攻击。有关详细信息,请参阅 Secure Hub 一文中的此部分:证书固定

    Secure Hub 还有助于使用 MDX 安全容器:Secure Hub 会推送策略,在应用程序超时后与 Citrix Gateway 建立会话,以及定义 MDX 超时和身份验证体验。Secure Hub 还可执行越狱检测、地理定位检查以及您应用的所有策略。

  • MDX 策略: MDX 策略会在设备上创建数据保管库。MDX 策略会将 Micro VPN 连接引导回 Citrix Gateway,强制执行脱机模式限制,以及强制执行超时等客户端策略。

有关配置身份验证的详细信息,包括单重身份验证方法和双重身份验证方法概述,请参阅《部署手册》文章身份验证

使用 Endpoint Management 中的证书创建安全连接并对用户进行身份验证。有关其他配置详细信息,请参阅以下文章:

证书

Endpoint Management 在安装过程中生成自签名安全套接字层 (SSL) 证书,用于确保与服务器之间的通信流安全。将 SSL 证书替换为来自知名证书颁发机构的可信 SSL 证书。

Endpoint Management 还使用自己的公钥基础结构 (PKI) 服务或从客户端证书的 CA 获取证书。所有 Citrix 产品均支持通配符和使用者备用名称 (SAN) 证书。对于大多数部署,仅需两个通配符或 SAN 证书。

客户端证书身份验证为移动应用程序提供了一个额外的安全层,允许用户无缝访问 HDX 应用程序。配置了客户端证书身份验证时,用户将键入其 Citrix PIN 以对启用了 Endpoint Management 的应用程序进行单点登录 (SSO) 访问。Citrix PIN 还简化了用户身份验证体验。Citrix PIN 用于确保客户端证书的安全或在设备本地保存 Active Directory 凭据。

要在 Endpoint Management 中注册并管理 iOS 设备,应设置并创建 Apple 提供的 Apple 推送通知服务 (APNs) 证书。有关步骤,请参阅APNs 证书

下表显示了每个 Endpoint Management 组件的证书格式和类型:

Endpoint Management 组件 证书格式 必需的证书类型
Citrix Gateway PEM (BASE64)、PFX (PKCS #12) SSL、Root(Citrix Gateway)自动将 PFX 转换为 PEM。
Endpoint Management .p12(在基于 Windows 的计算机上为 .pfx) SSL、SAML、APN(Endpoint Management 还会在安装过程中生成完整的 PKI。) 重要提示: Endpoint Management 不支持具有 .pem 扩展名的证书。要使用 .pem 证书,请将 .pem 文件拆分为证书和密钥,并将各自导入到 Endpoint Management 中。
StoreFront PFX (PKCS #12) SSL、根证书

Endpoint Management 支持位长度为 4096 和 2048 的客户端证书。

对于 Citrix Gateway 和 Endpoint Management,Citrix 建议从公共 CA(如 Verisign、DigiCert 或 Thawte)获取服务器证书。您可以从 Citrix Gateway 或 Endpoint Management 配置实用程序创建证书签名请求 (CSR)。创建 CSR 后,将其提交到 CA 进行签名。CA 返回已签名证书后,即可在 Citrix Gateway 或 Endpoint Management 上安装该证书。

重要:

iOS、iPadOS 和 macOS 中的可信证书的要求

Apple 对 TLS 服务器证书有新要求。验证所有证书都符合 Apple 的要求。请参阅 Apple 出版物 https://support.apple.com/en-us/HT210176

Apple 正在缩短 TLS 服务器证书的最长允许生命周期。此更改仅影响 2020 年 9 月之后颁发的服务器证书。请参阅 Apple 出版物 https://support.apple.com/en-us/HT211025

身份提供商验证

您可以通过 Citrix Cloud 配置身份提供商 (IdP) 以注册和管理用户设备。

IdP 支持的使用案例:

  • 通过 Citrix Cloud 进行 Azure Active Directory
    • 工作区集成是可选的
    • 配置为进行基于证书的身份验证的 Citrix Gateway
    • Android Enterprise(预览版。支持 BYOD、完全托管的设备和增强的注册配置文件)
    • 适用于 MDM+MAM 和 MDM 注册的 iOS
    • 传统 Android (DA)
    • 当前不支持 Apple 部署计划等自动注册功能
  • 通过 Citrix Cloud Okta
    • 工作区集成是可选的
    • 配置为进行基于证书的身份验证的 Citrix Gateway
    • Android Enterprise(预览版。支持 BYOD、完全托管的设备和增强的注册配置文件)
    • 适用于 MDM+MAM 和 MDM 注册的 iOS
    • 传统 Android (DA)
    • 当前不支持 Apple 部署计划等自动注册功能
  • 通过 Citrix Gateway Citrix Cloud 网关
    • 配置为进行基于证书的身份验证的 Citrix Gateway
    • 适用于 MDM+MAM 和 MDM 注册的 iOS
    • 传统 Android (DA)
    • 当前不支持 Apple 部署计划等自动注册功能
证书和身份验证