Citrix Endpoint Management

证书和身份验证

在 Citrix Endpoint Management 操作期间,有几个组件在身份验证中起着作用:

  • Citrix Endpoint Management :Citrix Endpoint Management 服务器是您定义注册安全和注册体验的地方。用于加入用户的选项包括:
    • 向所有用户开放注册还是仅对收到邀请的用户开放注册。
    • 要求执行双重身份验证还是三重身份验证。Citrix Endpoint Management 客户端属性允许您启用 Citrix PIN 身份验证并配置 PIN 复杂度和到期时间。
  • NetScaler Gateway: NetScaler Gateway 为 Micro VPN SSL 会话提供终止服务。NetScaler Gateway 还提供网络传输安全,允许您定义用户每次访问应用时使用的身份验证体验。
  • Citrix Secure Hub:Citrix Secure Hub 和 Citrix Endpoint Management 在注册操作中协同工作。Citrix Secure Hub 是设备上与 NetScaler Gateway 对话的实体:当会话到期时,Citrix Secure Hub 会从 NetScaler Gateway 获得一张身份验证票证并将票证传递给 MDX 应用程序。Citrix 建议使用证书固定,以防范中间人攻击。 有关详细信息,请参阅 Citrix Secure Hub 文章中的此部分:证书固定。

    Citrix Secure Hub 还为 MDX 安全容器提供了便利:Citrix Secure Hub 推送策略,在应用程序超时时时与 NetScaler Gateway 创建会话,并定义 MDX 超时和身份验证体验。Citrix Secure Hub 还负责越狱检测、地理位置检查以及您适用的任何政策。

  • MDX 策略: MDX 策略会在设备上创建数据保管库。MDX 策略将 Micro VPN 连接引导回 NetScaler Gateway,强制执行离线模式限制,并强制执行超时等客户端策略。

Citrix Endpoint Management 使用以下身份验证方法对用户进行身份验证以访问其资源:

  • 移动设备管理 (MDM)
    • 云托管身份提供程序 (IdP)
    • 轻型目录访问协议 (LDAP)
      • 邀请 URL + PIN
      • 双重身份验证
  • 移动应用程序管理 (MAM)
    • LDAP
    • 证书
    • 安全令牌 MAM 身份验证需要 NetScaler Gateway。

有关其他配置详细信息,请参阅以下文章:

Certificates(证书)

Citrix Endpoint Management 在安装期间生成自签名的安全套接字层 (SSL) 证书,以保护流向服务器的通信流。将 SSL 证书替换为来自知名证书颁发机构的可信 SSL 证书。

Citrix Endpoint Management 还使用自己的公钥基础架构 (PKI) 服务或从 CA 获取客户证书证书。所有 Citrix 产品均支持通配符和使用者备用名称 (SAN) 证书。对于大多数部署,仅需两个通配符或 SAN 证书。

客户端证书身份验证为移动应用程序提供了一个额外的安全层,允许用户无缝访问 HDX 应用程序。配置客户证书身份验证后,用户键入其 Citrix PIN,以便对支持Citrix Endpoint Management 的应用程序进行单点登录 (SSO) 访问。Citrix PIN 还简化了用户身份验证体验。Citrix PIN 用于确保客户端证书的安全或在设备本地保存 Active Directory 凭据。

要使用 Citrix Endpoint Management 注册和管理 iOS 设备,请设置并创建 Apple 颁发的 Apple 推送通知服务 (APNs) 证书。有关步骤,请参阅 APNs 证书

下表显示了每个 Citrix Endpoint Management 组件的证书格式和类型:

Citrix Endpoint Management 组件 证书格式 必需的证书类型
NetScaler Gateway PEM (BASE64)、PFX (PKCS #12) SSL、Root(NetScaler Gateway)自动将 PFX 转换为 PEM。
Citrix Endpoint Management .p12(在基于 Windows 的计算机上为 .pfx) SSL、SAML、APNs(Citrix Endpoint Management 在安装过程中还会生成完整的 PKI。) 重要: Citrix Endpoint Management 不支持扩展名为 .pem 的证书。要使用.pem 证书,请将.pem 文件拆分为证书和密钥,然后分别导入 Citrix Endpoint Management。
StoreFront PFX (PKCS #12) SSL、根证书

Citrix Endpoint Management 支持位长为 4096 和 2048 的客户端证书。

对于 NetScaler Gateway 和 Citrix Endpoint Management,建议从公共 CA(例如威瑞信、DigiCert 或 Thawte)获取服务器证书。您可以通过 NetScaler Gateway 或 Citrix Endpoint Management 配置工具创建证书签名请求 (CSR)。创建 CSR 后,将其提交到 CA 进行签名。当 CA 返回签名证书时,您可以在 NetScaler Gateway 或 Citrix Endpoint Management 上安装证书。

重要:

iOS、iPadOS 和 macOS 中的可信证书的要求

Apple 对 TLS 服务器证书有新要求。验证所有证书都符合 Apple 的要求。请参阅 Apple 出版物 https://support.apple.com/en-us/HT210176

Apple 正在缩短 TLS 服务器证书的最长允许生命周期。此更改仅影响 2020 年 9 月之后颁发的服务器证书。请参阅 Apple 出版物 https://support.apple.com/en-us/HT211025

LDAP 身份验证

Citrix Endpoint Management 支持对符合轻量级目录访问协议 (LDAP) 的一个或多个目录进行基于域的身份验证。LDAP 是一个软件协议,用于提供对与组、用户帐户和相关属性有关的信息的访问权限。有关详细信息,请参阅域或域加安全令牌身份验证

身份提供商验证

您可以通过 Citrix Cloud 配置身份提供商 (IdP) 以注册和管理用户设备。

IdP 支持的使用案例:

  • 通过 Citrix Cloud 进行 Azure Active Directory
    • Workspace 集成是可选的
    • NetScaler Gateway 配置为基于证书的身份验证
    • Android Enterprise(预览版。支持 BYOD、完全托管的设备和增强的注册配置文件)
    • iOS(适用于 MDM+MAM 和 MDM 注册)
    • 适用于 Apple 商务管理的 iOS 和 macOS 注册
    • 旧版 Android (DA)

    Apple 校园教务管理等自动注册功能目前不受支持。

  • 通过 Citrix Cloud 进行的 Okta
    • Workspace 集成是可选的
    • NetScaler Gateway 配置为基于证书的身份验证
    • Android Enterprise(预览版。支持 BYOD、完全托管的设备和增强的注册配置文件)
    • iOS(适用于 MDM+MAM 和 MDM 注册)
    • 适用于 Apple 商务管理的 iOS 和 macOS 注册
    • 旧版 Android (DA)

    Apple 校园教务管理等自动注册功能目前不受支持。

  • 本地 NetScaler Gateway(通过 Citrix Cloud)
    • NetScaler Gateway 配置为基于证书的身份验证
    • Android Enterprise(预览版。支持 BYOD、完全托管的设备和增强的注册配置文件)
    • iOS(适用于 MDM+MAM 和 MDM 注册)
    • 目前不支持 Apple 部署计划等旧版 Android (DA) 自动注册功能。
证书和身份验证