Citrix Endpoint Management

PKI 实体

Endpoint Management 公钥基础结构 (PKI) 实体配置代表执行实际 PKI 操作(颁发、吊销和状态信息)的组件。这些组件是 Endpoint Management 的内部组件或外部组件。内部组件称为自主组件。外部组件属于企业基础结构的组成部分。

Endpoint Management 支持以下类型的 PKI 实体:

  • Microsoft 证书服务

  • 任意证书颁发机构 (CA)

Endpoint Management 支持以下 CA 服务器:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

常见 PKI 概念

无论何种类型,每个 PKI 实体均拥有下列功能的子集:

  • 签名: 基于证书签名请求 (CSR) 颁发新证书。
  • 提取: 恢复现有证书和密钥对。
  • 吊销: 吊销客户端证书。

关于 CA 证书

配置 PKI 实体时,请向 Endpoint Management 指明哪个 CA 证书将成为该实体所颁发(或从该实体恢复)的证书的签署者。该 PKI 实体可以返回任意多个不同 CA 签名(提取或新签名)的证书。

请在 PKI 实体配置过程中提供其中每个颁发机构的证书。为此,请将证书上载到 Endpoint Management,然后在 PKI 实体中引用这些证书。对于任意 CA,证书实际上是签名 CA 证书。对于外部实体,必须手动指定该证书。

重要:

创建 Microsoft 证书服务实体模板时,为避免已注册的设备可能会出现的身份验证问题:请勿在模板名称中使用特殊字符。例如,请勿使用: ! : $ ( ) # % + * ~ ? | { } [ ]

Microsoft 证书服务

Endpoint Management 通过其 Web 注册界面与 Microsoft Certificate Services 交互。Endpoint Management 仅支持通过该接口颁发新证书。如果 Microsoft CA 生成 Citrix Gateway 用户证书,Citrix Gateway 将支持续订和吊销这些证书。

要在 Endpoint Management 中创建 Microsoft CA PKI 实体,必须指定证书服务 Web 界面的基本 URL。如果选择此项,则使用 SSL 客户端身份验证保护 Endpoint Management 与证书服务 Web 界面之间的连接。

添加 Microsoft 证书服务实体

  1. 在 Endpoint Management 控制台中,单击控制台右上角的齿轮图标,然后单击 PKI 实体

  2. PKI 实体页面上,单击添加

    此时将显示一个 PKI 实体类型菜单。

  3. 单击 Microsoft 证书服务实体

    此时将显示 Microsoft 证书服务实体: 常规信息页面。

  4. Microsoft 证书服务实体: 常规信息页面上,配置以下设置:

    • 名称: 为新实体键入名称,此名称以后将用于指代该实体。实体名称必须唯一。
    • Web 注册服务根 URL: 键入 Microsoft CA Web 注册服务的基本 URL。例如:https://192.0.0.1/certsrv/。该 URL 可使用纯 HTTP 或 HTTP-over-SSL。
    • certnew.cer 页面名称: certnew.cer 页面的名称。若非因为某些原因重命名了此页面,请使用默认名称。
    • certfnsh.asp: certfnsh.asp 页面的名称。若非因为某些原因重命名了此页面,请使用默认名称。
    • 身份验证类型: 选择要使用的身份验证方法。
      • HTTP Basic: 键入连接所需的用户名和密码。
      • 客户端证书: 选择正确的 SSL 客户端证书。
    • 使用 Cloud Connector: 选择可使用 Cloud Connector 连接到 PKI 服务器。然后,指定资源位置以及连接的允许使用的相对路径

      • 资源位置: 从在 Citrix Cloud Connector 中定义的资源位置进行选择。
      • 允许使用的相对路径: 允许为指定资源位置使用的相对路径。每行请指定一个路径。可以使用星号 (*) 通配符。

        假定资源位置为 https://www.ServiceRoot/certsrv。要提供对该路径中的所有 URL 的访问权限,请在允许使用的相对路径中输入 /*

    PKI 配置屏幕

  5. 单击测试连接以确保服务器可以访问。如果不可访问,则会显示一条消息,指出连接失败。请检查配置设置。

  6. 单击下一步

    此时将显示 Microsoft 证书服务实体: 模板页面。在此页面上,指定 Microsoft CA 所支持模板的内部名称。创建凭据提供程序时,从此处定义的列表中选择模板。使用此实体的每个凭据提供程序仅使用一个此类模板。

    有关 Microsoft 证书服务模板的要求,请参阅您的 Microsoft Server 版本对应的 Microsoft 文档。除了证书中注明的证书格式外,Endpoint Management 对其分发的证 没有要求。

  7. Microsoft 证书服务实体: 模板页面上,单击添加,键入模板的名称,然后单击保存。为要添加的每个模板重复执行此步骤。

  8. 单击下一步

    此时将显示 Microsoft 证书服务实体: HTTP 参数页面。在此页面上,您可以指定自定义参数以供 Endpoint Management 添加到向 Microsoft Web 注册界面发送的 HTTP 请求。自定义参数仅对 CA 上运行的自定义脚本有用。

  9. Microsoft 证书服务实体: HTTP 参数页面上,单击添加,键入要添加的 HTTP 参数的名称和值,然后单击下一步

    此时将显示 Microsoft 证书服务实体: CA 证书页面。在此页面上,必须将系统通过此实体获取的证书的签署者告知 Endpoint Management。续订 CA 证书后,将在 Endpoint Management 中对其进行更新。Endpoint Management 以透明方式将更改应用于实体。

  10. Microsoft 证书服务实体: CA 证书页面上,选择要用于此实体的证书。

  11. 单击保存

    实体将显示在 PKI 实体表格中。

Citrix Gateway 证书吊销列表 (CRL)

Endpoint Management 仅支持对第三方证书颁发机构使用证书吊销列表 (CRL)。如果您配置了 Microsoft CA,Endpoint Management 将使用 Citrix Gateway 管理吊销。

配置基于客户端证书的身份验证时,请考虑是否要配置 Citrix Gateway 证书吊销列表 (CRL) 设置 Enable CRL Auto Refresh(启用 CRL 自动刷新)。此步骤可确保处于仅 MAM 模式的设备的用户无法使用设备上的现有证书进行身份验证。

Endpoint Management 将重新颁发新证书,因为吊销用户证书后,Endpoint Management 不会限制用户生成用户证书。此设置提高了 CRL 检查过期的 PKI 实体时 PKI 实体的安全性。

任意 CA

向 Endpoint Management 提供 CA 证书及关联的私钥时,将创建任意 CA。Endpoint Management 将根据您指定的参数,在内部处理证书颁发、吊销和状态信息。

配置任意 CA 时,可以为该 CA 激活联机证书状态协议 (OCSP) 支持。如果您启用了 OCSP 支持,CA 将向该 CA 颁发的证书中添加 id-pe-authorityInfoAccess 扩展。该扩展指向以下位置处的 Endpoint Management 内部 OCSP 响应者:

https://<server>/<instance>/ocsp

配置 OCSP 服务时,请为相关任意实体指定 OCSP 签名证书。可以将 CA 证书本身用作签署者。要避免 CA 私钥的不必要暴露(建议避免),请创建一个由 CA 证书签名并包含 id-kp-OCSPSigning extendedKeyUsage 扩展的委派 OCSP 签名证书。

Endpoint Management OCSP Responder Service 支持在请求中使用基本 OCSP 响应及以下散列算法:

  • SHA-256
  • SHA-384
  • SHA-512

响应通过 SHA-256 及签名证书的密钥算法(DSA、RSA 或 ECDSA)进行签名。

为您的 CA 生成和导入证书

  1. 在服务器上,使用本地系统帐户打开 Microsoft 管理控制台 (MMC),然后打开证书管理单元。在右侧窗格中,右键单击,然后单击 所有任务 > 请求新证书

    申请新证书

  2. 在打开的向导中,单击 下一步 两次。在 请求证书 列表中,选择 从属证书颁发机 构,然后单击 更多信息 链接。

    下属 CA 模板

  3. 在窗口中,键入 主题名称替代名称。单击确定

    下属 CA 模板

  4. 单击 注册,然后单击 完成

  5. 在 MMC 中,右键单击您创建的证书。单击 所有任务 > 导出。将证书导出为带有私钥的 .pfx 文件。 如果可能,请选择在证书路径中包含所有证书的选项。

    证书选项

  6. 在 Endpoint Management 控制台中,导航到 设置 > 证书

    “证书” 页

  7. 单击导入。在打开的窗口中,浏览以前导出的证书和私钥文件。

    “证书” 页

  8. 单击导入。证书将添加到表中。

添加任意 CA

  1. 在 Endpoint Management 控制台中,单击控制台右上角的齿轮图标,然后单击更多 > PKI 实体

  2. PKI 实体页面上,单击添加

    PKI 实体类型

  3. 单击任意 CA

    PKI 一般信息页面

  4. 在 “ 自由裁量 CA:常规信息 ” 页面上,配置以下内容:

    • 名称: 键入任意 CA 的描述性名称。
    • 用于对证书请求进行签名的 CA 证书: 单击任意 CA 用于为证书请求签名的证书。

      此证书列表是根据您通过配置 > 设置 > 证书上载到 Endpoint Management 的 CA 证书(带私钥)生成的。

  5. 单击下一步

    PKI 参数页

  6. 在 “ 自由 CA:参数 ” 页面上,配置以下内容:

    • 序列号生成器: 任意 CA 为其颁发的证书生成序列号。从此列表中,单击按顺序不按顺序以确定序列号的生成方式。
    • 下一个序列号: 键入一个用于确定颁发的下一个序列号的值。
    • 证书有效期: 键入证书有效的天数。
    • 密钥用法: 通过将相应的密钥设置为,标识任意 CA 所颁发证书的目的。一旦设置,CA 仅限于为此目的颁发证书。
    • 扩展密钥用法: 要添加更多参数,请单击添加,键入密钥名称,然后单击保存
  7. 单击下一步

    PKI 分发页面

  8. 任意 CA: 分发页面上,选择分发模式:

    • 集中式: 服务器端密钥生成。Citrix 建议使用集中选项。在服务器上生成并存储私钥,然后分发到用户设备。
    • 分布式: 设备端密钥生成。私钥在用户设备上生成。此分布式模式使用 SCEP 并需要采用 keyUsage keyEncryption 扩展名的 RA 加密证书和采用 KeyUsage digitalSignature 扩展名的 RA 签名证书。同一个证书可以同时用于加密和签名。
  9. 单击下一步

    PKI OCSP 页面

  10. 在 “ 自由授权 CA:在线证书状态协议 (OCSP) ” 页面上,配置以下内容:

    • 如果要向此 CA 签名的证书添加 AuthorityInfoAccess (RFC2459) 扩展,请将为此 CA 启用 OCSP 支持设置为。此扩展指向位于 https://<server>/<instance>/ocsp 的 CA OCSP 响应者。
    • 如果启用了 OCSP 支持,请选择 OSCP 签名 CA 证书。此证书列表使用您上载到 Endpoint Management 的 CA 证书生成。

    启用该功能使 Citrix ADC 有机会检查证书的状态。Citrix 建议您启用此功能。

  11. 单击保存

    任意 CA 将显示在 PKI 实体表格中。

配置凭据提供程序

  1. 在 Endpoint Management 控制台中,导航到 设置 > 凭据提供程序,然后单击 添加

  2. 凭据提供程序:常规信息 页面上,配置以下内容:

    凭据提供程序常规页

    • 名称: 为新提供程序配置键入唯一名称。此名称之后将用于在 Endpoint Management 控制台的其他部分标识该配置。
    • 说明: 凭据提供程序的说明。尽管此字段为可选字段,但说明可以提供有关此凭据提供程序的有用详细信息。
    • 发行实体: 选择 自行授权 CA
    • 颁发方法: 单击签名提取以选择系统用于从已配置的实体获取证书的方法。对于客户端证书身份验证,请使用签名
  3. 单击下一步。在凭据提供程序: 证书签名请求页面上,根据您的证书配置来配置以下各项:

    凭据提供程序证书签名请求页

    • 密钥算法: 选择用于获取新密钥对的密钥算法。可用值为 RSADSAECDSA

    • 密钥大小: 键入密钥对的大小(以位为单位)。此字段为必填字段。Citrix 建议使用 2048 位。

    • 签名算法: 单击用于新证书的值。值取决于密钥算法。Citrix 建议使用 SHA256withRSA

    • 使用者名称: 必填。键入新证书使用者的标识名 (DN)。使用 CN=${user.username} 作为用户名或 CN=${user.samaccountname} 以使用 samAccountName。

    • 要向使用者备用名称表中添加新条目,请单击添加。选择备用名称的类型,然后在第二列中键入一个值。

      添加以下内容:

      • 类型: 用户主体名称
      • 值: $user.userprincipalname

      与主题名称一样,您可以在值字段中使用 Endpoint Management 宏。

  4. 单击下一步。在 凭据提供程序:分发 页面上,配置以下内容:

    凭据提供商分发页面

    • 颁发 CA 证书: 选择之前添加的自行授权 CA 证书。
    • 选择分发模式: 选择以下生成和分发密钥的方法之一:
      • 首选集中式: 服务器端密钥生成: Citrix 建议采用此集中式选项。它支持 Endpoint Management 支持的所有平台,并且在使用 Citrix Gateway 身份验证时也需要使用此模式。在服务器上生成并存储私钥,然后分发到用户设备。
      • 首选分布式: 设备端密钥生成: 在用户设备上生成并存储私钥。此分布式模式使用 SCEP 并需要采用 keyUsage keyEncryption 的 RA 加密证书和采用 KeyUsage digitalSignature 的 RA 签名证书。同一个证书可以同时用于加密和签名。
      • 仅分布式:设备端密钥生成: 此选项与 “ 首选分布式:设备端密钥生成” 相同,但是如果设备端密钥生成失败或不可用,则没有选项可用。

    如果选择首选分布式: 设备端密钥生成仅限分布式: 设备端密钥生成,请单击 RA 签名证书和 RA 加密证书。同一个证书可用于这两个目的。此时将显示有关这些证书的新字段。

  5. 单击下一步。在 凭据提供程序:吊销 Endpoint Management 页面上,配置 Endpoint Management 内部将通过此提供程序配置颁发的证书标记为已撤销的条件。配置以下设置:

    凭据提供程序撤销页

    • 吊销已颁发的证书中,选择一个表明何时应吊销证书的选项。
    • 要指示 Endpoint Management 在吊销证书时发送通知,请将发送通知的值设置为并选择通知模板。

    • 使用 Endpoint Management 作为自行决定PKI 时,撤销 PKI 上的证书 不起作用。
  6. 单击下一步。在 凭据提供程序:吊销 PKI 页面上,确定如果证书被吊销,应对 PKI 采取哪些操作。您还可以选择创建通知消息。配置以下设置:

    凭据提供商撤销 PKI 页面

    • 启用外部撤销检查: 打开此 置。此时将显示更多与吊销 PKI 相关的字段。
    • OCSP 响应方 CA 证书 列表中,选择证书主题的判别名称 (DN)。

      可以为 DN 字段值使用 Endpoint Management 宏。例如:CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation

    • 吊销证书时列表中,单击吊销证书时对 PKI 实体执行的以下操作之一:

      • 不执行任何操作。
      • 续订证书。
      • 吊销和擦除设备。
    • 要指示 Endpoint Management 在吊销证书时发送通知,请将发送通知的值设置为

      可以从两个通知选项中选择:

      • 如果选择选择通知模板,则可以选择预先写好的通知消息,且之后可以进行自定义。这些模板位于通知模板列表中。
      • 如果选择输入通知详细信息,则可以自行编写通知消息。除了提供收件人的电子邮件地址和消息,还可以设置发送通知的频率。
  7. 单击下一步。在 凭据提供商:续订 页面上,配置以下内容:

    凭据提供商续订页面

    证书过期时续订 设置为 。此时将显示更多字段。

    • 证书在此时间内提供时续订字段中,键入在过期前多少天续订证书。
    • (可选)选择不续订已过期的证书。在此情况下,“已过期”表示证书的“NotAfter”日期在过去,不是指证书已被吊销。在内部吊销证书后,Endpoint Management 不会续订这些证书。

    要指示 Endpoint Management 在续订证书时发送通知,请将发送通知设置为。要指示 Endpoint Management 在证书接近过期时发送通知,请将证书即将过期时通知设置为。 对于其中任一选择方式,可以从两个通知选项中选择:

    • 选择通知模板: 选择预先写好的通知消息,且之后可以进行自定义。这些模板位于通知模板列表中。
    • 输入通知详细信息: 自行编写通知消息。提供收件人电子邮件地址、消息和频率,以便发送通知。
  8. 单击保存

PKI 实体