凭据提供程序
凭据提供者是您在 Citrix Endpoint Management 系统的各个部分中使用的实际证书配置。凭据提供程序定义证书的来源、参数和生命周期。无论这些证书是设备配置的一部分还是独立的配置(即,按原样推送到设备),都是这样。
设备注册约束证书生命周期。也就是说,尽管Citrix Endpoint Management可能会在注册时颁发某些证书,但Citrix Endpoint Management在注册之前不会颁发证书。此外,在某个注册环境下从内部 PKI 颁发的证书会在注册被吊销时吊销。管理关系终止后,不保留任何有效证书。
一个凭据提供程序配置可用于多个位置,从而达到通过一个配置同时控制任意多个证书的效果。这时,其唯一性在于部署资源和部署。例如,如果凭据提供程序 P 作为配置 C 的一部分部署到设备 D:P 的颁发设置将决定部署到 D 的证书。同样,在更新 C 时将应用 D 的续订设置。并且,删除 C 或吊销 D 时将应用 D 的吊销设置。
根据这些规则,Citrix Endpoint Management 中的凭据提供者配置决定了以下内容:
- 证书的来源。
- 获取证书的方法:签发新证书还是提取(恢复)现有证书和密钥对。
- 用于颁发或恢复的参数。例如,密钥大小、密钥算法和证书扩展名等证书签名请求 (CSR) 参数。
- 将证书交付给设备的方式。
- 吊销条件。尽管切断管理关系后,Citrix Endpoint Management 中的所有证书都将被吊销,但该配置可能会指定提前撤销。例如,配置可以指定在删除关联设备配置时吊销证书。此外,在某些情况下,Citrix Endpoint Management 中相关证书的撤销可能会发送到后端公钥基础架构 (PKI)。也就是说,在 Citrix Endpoint Management 中吊销证书可能会导致 PKI 上的证书被吊销。
- 续订设置。通过指定凭据提供程序获取的证书可以在即将过期时自动续订。或者采用与之不同的方式,在接近过期时由系统发送通知。
配置选项的可用性主要取决于为凭据提供程序选择的 PKI 实体的类型和颁发方法。
证书颁发方法
可以通过签名获得证书,也就是所谓的颁发方法。
利用此方法,颁发包括创建新私钥、创建 CSR 和将 CSR 提交给证书颁发机构 (CA) 进行签名。Citrix Endpoint Management 支持 MS Certificate Services 实体和任意 CA 实体的签名方法。
凭据提供程序使用签名颁发方法。
证书交付
Citrix Endpoint Management 中提供两种证书交付模式:集中式和分布式。分布式模式使用简单证书注册协议 (SCEP),并且只有在客户端支持该协议时方可使用(仅限 iOS)。在某些情况下,必须采用分布式模式。
对于支持分散式(SCEP 辅助)交付的凭据提供程序,需要特殊的配置步骤:设置注册机构 (RA) 证书。RA 证书是必需的,因为如果您使用 SCEP 协议,Citrix Endpoint Management 就像是实际证书颁发机构的委托人(注册商)。Citrix Endpoint Management 必须向客户证明其有权这样做。该权限是通过将前面提到的证书上载到 Citrix Endpoint Management 来建立的。
需要两种不同的证书角色(尽管同一证书即可满足这两项要求):RA 签名和 RA 加密。这些角色的限制如下:
- RA 签名证书必须拥有 X.509 密钥用法数字签名。
- RA 加密证书必须拥有 X.509 密钥用法密钥加密。
要配置凭据提供程序 RA 证书,请将证书上载到 Citrix Endpoint Management,然后在凭据提供程序中链接到这些证书。
仅当凭据提供程序为证书角色配置了证书时,才可将凭据提供程序视为支持分散式交付。可以将每个凭据提供程序配置为首选集中式模式、首选分布式模式或要求分布式模式。实际结果取决于具体环境:如果环境不支持分布式模式,但是凭据提供程序要求使用该模式,部署将失败。同样,如果环境要求使用分布式模式,但凭据提供程序不支持该模式,部署也将失败。在所有其他情况下,将会应用首选设置。
下表显示了 Citrix Endpoint Management 中的 SCEP 分布情况:
| 上下文 | 支持 SCEP | 需要 SCEP |
|---|---|---|
| iOS 配置文件服务 | 是 | 是 |
| iOS 移动设备管理注册 | 是 | 否 |
| iOS 配置文件 | 是 | 否 |
| SHTP 注册 | 否 | 否 |
| SHTP 配置 | 否 | 否 |
| Windows Tablet 注册 | 否 | 否 |
| Windows Tablet 配置 | 不可以,但 Windows 10 和 Windows 11 版本支持的网络设备策略除外 | 否 |
证书吊销
有三种类型的吊销。
- 内部撤销: 内部撤销会影响 Citrix Endpoint Management 维护的证书状态。Citrix Endpoint Management 在评估所提供的证书或为证书提供 OCSP 状态信息时会考虑此状态。凭据提供程序配置决定在各种条件下此状态受到的影响。例如,凭据提供程序可以指定从设备中删除证书后将这些证书标记为已吊销。
- 外部传播的吊销:也称为撤销 Citrix Endpoint Management,此类撤销适用于从外部 PKI 获得的证书。当 Citrix Endpoint Management 在凭据提供者配置定义的条件下在内部吊销证书时,PKI 上的证书将被吊销。
- 外部引起的吊销: 又称“吊销 PKI”,这种类型的吊销也仅适用于从外部 PKI 获取的证书。每当 Citrix Endpoint Management 评估给定的证书状态时,Citrix Endpoint Management 都会向 PKI 查询该状态。如果证书被吊销,Citrix Endpoint Management 将在内部吊销该证书。此机制使用 OCSP 协议。
这三种类型并不互斥,而是可以一起应用。外部吊销或独立查询结果可能会导致内部吊销。内部吊销会潜在影响外部吊销。
证书续订
证书续订由吊销现有证书和颁发另一个证书两个过程组成。
Citrix Endpoint Management 在吊销先前的证书之前首先尝试获取新证书,以避免在颁发失败时停止服务。如果采用分散式(支持 SCEP)交付,仅当证书成功安装到设备后再进行吊销。否则,将在新证书发送给设备之前进行吊销。这种吊销与证书是否安装成功无关。
配置吊销时,需要指定特定的持续时间(天)。如果设备已连接,服务器将验证证书的“NotAfter”日期是否晚于当前日期减去指定的持续时间。如果证书符合该条件,则 Citrix Endpoint Management 会尝试续订证书。
创建凭据提供程序
凭据提供程序的配置方式有多种,主要取决于为其选择的颁发实体和颁发方法。可以将使用内部实体或外部实体的凭据提供程序区分开来:
-
Citrix Endpoint Management 内部的全权实体是内部实体。任意实体的颁发方法始终为签名。签名意味着,每次签发操作时,Citrix Endpoint Management 都会使用为该实体选择的 CA 证书签署新的密钥对。该密钥对是在设备上生成还是在服务器上生成取决于所选的分发方法。
-
外部实体包括 Microsoft CA,属于您的企业基础结构的一部分。
-
在 Citrix Endpoint Management 控制台中,单击右上角的齿轮图标,然后单击“设置”>“凭据提供商”。
-
在凭据提供程序页面上,单击添加。
此时将显示凭据提供程序: 常规信息页面。
-
在凭据提供程序: 常规信息页面上,执行以下操作:
- 名称: 为新提供程序配置键入唯一名称。稍后使用此名称来标识 Citrix Endpoint Management 控制台其他部分中的配置。
- 说明: 凭据提供程序的说明。尽管此字段为可选字段,但说明可以提供有关此凭据提供程序的有用详细信息。
- 颁发实体: 单击凭据颁发实体。
- 颁发方法: 单击签名或提取以选择系统用于从已配置的实体获取证书的方法。对于客户端证书身份验证,请使用签名。
-
如果模板列表可用,请为凭据提供程序选择您在 PKI 实体下添加的模板。
在设置 > PKI 实体中添加 Microsoft 证书服务实体时,这些模板将变为可用。
-
单击下一步。
此时将显示凭据提供程序: 证书签名请求页面。
-
在凭据提供程序: 证书签名请求页面上,根据您的证书配置来配置以下各项:
-
密钥算法: 选择用于获取新密钥对的密钥算法。可用值为 RSA、DSA 和 ECDSA。
-
密钥大小: 键入密钥对的大小(以位为单位)。此字段为必填字段。
允许的值取决于密钥类型。例如,DSA 密钥的最大大小为 2048 位。为了避免误报(这取决于底层硬件和软件),Citrix Endpoint Management 不强制执行密钥大小。应始终先在测试环境中测试凭据提供程序配置,然后在生产环境中激活这些配置。
-
签名算法: 单击用于新证书的值。值取决于密钥算法。
-
使用者名称: 必填。键入新证书使用者的标识名 (DN)。例如:
CN=${user.username}, OU=${user.department}, O=${user.companyname},C=${user.c}\endquotationFor example, for client certificate authentication, use these settings:
- Key algorithm: RSA
- Key size: 2048
- Signature algorithm: SHA256withRSA
-
Subject name:
cn=$user.username
-
要向使用者备用名称表中添加新条目,请单击添加。选择备用名称的类型,然后在第二列中键入一个值。
对于客户端证书身份验证,请指定以下设置:
- 类型: 用户主体名称
-
值:
$user.userprincipalname与主题名称一样,您可以在值字段中使用 Citrix Endpoint Management 宏。
-
-
单击下一步。
此时将显示凭据提供程序: 分发页面。
-
在凭据提供程序: 分发页面上,执行以下操作:
- 在颁发 CA 证书列表中,单击提供的 CA 证书。由于凭据提供程序使用任意 CA 实体,因此该凭据提供程序的 CA 证书将始终为在该实体上配置的 CA 证书。CA 证书在此显示是为了与使用外部实体的配置保持一致。
- 在选择分发模式中,单击以下生成和分发密钥方式中的一种:
- 首选集中式: 服务器端密钥生成: Citrix 建议采用此集中式选项。它支持 Citrix Endpoint Management 支持的所有平台,是使用 NetScaler Gateway 身份验证时必需的。在服务器上生成并存储私钥,然后分发到用户设备。
- 首选分布式: 设备端密钥生成: 在用户设备上生成并存储私钥。此分布式模式使用 SCEP 并需要采用 keyUsage keyEncryption 的 RA 加密证书和采用 KeyUsage digitalSignature 的 RA 签名证书。同一个证书可以同时用于加密和签名。
- 仅限分布式: 设备端密钥生成: 此选项与“首选分布式: 设备端密钥生成”的工作方式相同,但是此选项是“仅限”而非“首选”,当设备端生成密钥失败或不可用时,没有其他选项可用。
如果选择首选分布式: 设备端密钥生成或仅限分布式: 设备端密钥生成,请单击 RA 签名证书和 RA 加密证书。同一个证书可用于这两个目的。此时将显示有关这些证书的新字段。
-
单击下一步。
将出现“凭据提供商:撤销 Citrix Endpoint Management”页面。在此页面上,您可以配置 Citrix Endpoint Management 内部将通过此提供程序配置颁发的证书标记为已撤销的条件。
-
在“凭据提供商:撤销 Citrix Endpoint Management”页面上,执行以下操作:
- 在吊销已颁发的证书中,选择一个表明何时应吊销证书的选项。
-
要指示 Citrix Endpoint Management 在证书被吊销时发送通知:将“发送通知”的 值设置为“开”,然后 选择 通知模板。
- 要在从 Citrix Endpoint Management 吊销证书时吊销 PKI 上的证书:将 PKI 上的吊销证书设置为“开”,然后在“实体”列表中单击模板。实体列表将显示具有吊销功能的所有可用实体。从 Citrix Endpoint Management 吊销证书时,会向从实体列表中选择的 PKI 发送吊销调用。
-
单击下一步。
此时将显示凭据提供程序: 吊销 PKI 页面。请在此页面上指出吊销证书时应对 PKI 执行的操作。您还可以选择创建通知消息。
-
在凭据提供程序: 吊销 PKI 页面上,如果要从 PKI 吊销证书,请执行以下操作:
- 将启用外部吊销检查设置更改为开。此时将显示更多与吊销 PKI 相关的字段。
-
在 OCSP 响应者 CA 证书列表中,单击证书使用者的标识名 (DN)。
您可以将 Citrix Endpoint Management 宏用于 DN 字段值。例如:
CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation -
在吊销证书时列表中,单击吊销证书时对 PKI 实体执行的以下操作之一:
- 不执行任何操作。
- 续订证书。
- 吊销和擦除设备。
-
要指示 Citrix Endpoint Management 在证书被吊销时发送通知:将“发送通知”的值设置为“开”。
可以从两个通知选项中选择:
- 如果选择选择通知模板,则可以选择预先写好的通知消息,且之后可以进行自定义。这些模板位于通知模板列表中。
- 如果选择输入通知详细信息,则可以自行编写通知消息。除了提供收件人的电子邮件地址和消息,还可以设置发送通知的频率。
-
单击下一步。
此时将显示凭据提供程序: 续订页面。在此页面上,您可以将 Citrix Endpoint Management 配置为执行以下操作:
- 续订证书。可以选择在续订时发送通知,以及选择从操作中排除已过期的证书。
- 为即将过期的证书发送通知(续订前通知)。
-
在凭据提供程序: 续订页面上,如果要在证书过期时进行续订,请执行以下操作:
将在证书过期时续订设置为开。此时将显示更多字段。
- 在证书在此时间内提供时续订字段中,键入在过期前多少天续订证书。
- (可选)选择不续订已过期的证书。在此情况下,“已过期”表示证书的“
NotAfter”日期在过去,不是指证书已被吊销。Citrix Endpoint Management 在内部吊销证书后不会续订证书。
要指示 Citrix Endpoint Management 在证书续订后发送通知:将“发送通知”设置为“开”。 要指示 Citrix Endpoint Management 在证书临近到期时发送通知:将证书临近到期时通知设置为“开”。 对于其中任一选择方式,可以从两个通知选项中选择:
- 选择通知模板: 选择预先写好的通知消息,且之后可以进行自定义。这些模板位于通知模板列表中。
- 输入通知详细信息: 自行编写通知消息。提供收件人电子邮件地址、消息和频率,以便发送通知。
在证书在此时间内提供时通知字段中,键入在证书过期前多少天发送通知。
-
单击保存。
凭据提供程序将显示在“凭据提供程序”表中。