Citrix Endpoint Management

PKI 实体

Endpoint Management 公钥基础结构 (PKI) 实体配置代表执行实际 PKI 操作(颁发、吊销和状态信息)的组件。这些组件是 Endpoint Management 的内部组件或外部组件。内部组件称为自主组件。外部组件属于企业基础结构的组成部分。

Endpoint Management 支持以下类型的 PKI 实体:

  • 通用 PKI (GPKI)

    Endpoint Management GPKI 支持包括 DigiCert 托管 PKI。

  • Microsoft 证书服务

  • 任意证书颁发机构 (CA)

Endpoint Management 支持以下 CA 服务器:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

常见 PKI 概念

无论何种类型,每个 PKI 实体均拥有下列功能的子集:

  • 签名: 基于证书签名请求 (CSR) 颁发新证书。
  • 提取: 恢复现有证书和密钥对。
  • 吊销: 吊销客户端证书。

关于 CA 证书

配置 PKI 实体时,请向 Endpoint Management 指明哪个 CA 证书将成为该实体所颁发(或从该实体恢复)的证书的签署者。该 PKI 实体可以返回任意多个不同 CA 签名(提取或新签名)的证书。

请在 PKI 实体配置过程中提供其中每个颁发机构的证书。为此,请将证书上载到 Endpoint Management,然后在 PKI 实体中引用这些证书。对于任意 CA,证书实际上是签名 CA 证书。对于外部实体,必须手动指定该证书。

重要:

创建 Microsoft 证书服务实体模板时,请避免注册设备可能出现的身份验证问题:不要在模板名称中使用特殊字符。例如,不要使用: ! : $ ( ) # % + * ~ ? | { } [ ]

通用 PKI

通用 PKI (GPKI) 协议是在 SOAP Web 服务层上运行的专有 Endpoint Management 协议。GPKI 协议提供了与各种 PKI 解决方案的统一接口。GPKI 协议定义以下基本 PKI 操作:

  • 签名: 适配器可以接收 CSR,将其传输到 PKI 并返回新签名的证书。
  • 提取: 适配器能够从 PKI 检索(恢复)现有证书和密钥对(取决于输入参数)。
  • 吊销: 适配器会导致 PKI 吊销给定证书。

GPKI 协议的接收端是 GPKI 适配器。该适配器将基本操作转换为其构建所针对的特定类型的 PKI。例如,存在适用于 RSA 和 Entrust 的 GPKI 适配器。

作为 SOAP Web 服务端点,GPKI 适配器可发布自我描述的 Web 服务描述语言 (WSDL) 定义。创建 GPKI PKI 实体相当于通过 URL 或上载文件本身为 Endpoint Management 提供该 WSDL 定义。

可以选择是否支持适配器中的各个 PKI 操作。如果适配器支持某个给定操作,可以称之为拥有相应功能(签名、提取或吊销)。这些功能中的每一项均可与一组用户参数相关联。

用户参数是指 GPKI 适配器针对特定操作定义的参数。为 Endpoint Management 提供用户参数的值。Endpoint Management 通过解析 WSDL 文件来确定适配器支持的操作以及适配器针对每个操作所需的参数。如果选择此项,则使用 SSL 客户端身份验证保护 Endpoint Management 与 GPKI 适配器之间的连接。

添加通用 PKI

  1. 在 Endpoint Management 控制台中,单击 设置 > PKI 实体

  2. PKI 实体页面上,单击添加

    此时将显示一个 PKI 实体类型菜单。

    PKI 实体配置屏幕

  3. 单击通用 PKI 实体

    此时将显示“通用 PKI 实体: 常规信息”页面。

    PKI 实体配置屏幕

  4. 通用 PKI 实体: 常规信息页面上,执行以下操作:

    • 名称: 键入 PKI 实体的描述性名称。
    • WSDL URL: 键入描述适配器的 WSDL 的位置。
    • 身份验证类型: 单击要使用的身份验证方法。
      • HTTP Basic: 提供连接到适配器所需的用户名和密码。
      • 客户端证书: 选择正确的 SSL 客户端证书。
  5. 单击下一步

    此时将显示“通用 PKI 实体: 适配器功能”页面。

  6. 通用 PKI 实体: 适配器功能页面上,检查与适配器关联的功能和参数,然后单击下一步

    此时将显示通用 PKI 实体: 颁发 CA 证书页面。

  7. 在“通用 PKI 实体: 颁发 CA 证书”页面上,选择要用于此实体的证书。

    尽管实体会返回不同 CA 签名的证书,但通过给定证书提供程序获取的所有证书必须由同一个 CA 签名。因此,在配置凭据提供程序设置时,在分发页面上,选择在此处配置的证书之一。

  8. 单击保存

    实体将显示在 PKI 实体表格中。

DigiCert 托管 PKI

Endpoint Management GPKI 支持包括 DigiCert 托管 PKI(也称为 MPKI)。本节介绍如何为 DigiCert 托管 PKI 设置 Windows Server 和 Endpoint Management。

必备条件

  • 访问 DigiCert 托管 PKI 基础结构
  • 安装了以下组件的 Windows Server 2012 R2 服务器,如本文中所述:
    • Java
    • Apache Tomcat
    • Symantec PKI 客户端
    • Portecle
  • 访问 Endpoint Management 下载站点

在 Windows Server 上安装 Java

Java Web 站点 下载适用于 64 位 Windows 的 Java,然后安装该应用程序。在安全警告对话框中,单击运行

在 Windows Server 上安装 Apache Tomcat

https://tomcat.apache.org/ 下载最新的 Apache Tomcat 32 位/64 位 Windows 服务安装程序并安装。在安全警告对话框中,单击运行。使用下面的示例作为指南,完成 Apache Tomcat 安装。

Apache Tomcat 设置屏幕

Apache Tomcat 设置屏幕

Apache Tomcat 设置屏幕

Apache Tomcat 设置屏幕

Apache Tomcat 设置屏幕

下一步,转至 Windows“Services”(服务)并将 Startup Type(启动类型)从 Manual(手动)更改为 Automatic(自动)。

Windows 服务配置屏幕图

Windows 服务配置屏幕图

在 Windows Server 上安装 DigiCert PKI 客户端

从 PKI Manager 控制台下载安装程序。如果您无法访问该控制台,请从 DigiCert 支持页面下载安装程序 如何下载 DigiCert PKI 客户端。解压并运行该安装程序。

DigiCert PKI 客户端安装

DigiCert PKI 客户端安装

安全警告对话框中,务必单击运行。按照安装程序中的说明完成安装。安装程序完成时,系统将提示您重新启动。

在 Windows Server 上安装 Portecle

https://sourceforge.net/projects/portecleinstall/files/ 下载安装程序,然后解压并运行该安装程序。

为 DigiCert 托管 PKI 生成注册机构 (RA) 证书

客户端证书身份验证的密钥库包含在注册机构 (RA) 证书中,名为 RA.jks。以下步骤说明了如何使用 Portecle 生成该证书。也可以使用 Java CLI 生成 RA 证书。

本文还说明了如何上载 RA 证书和公用证书。

  1. 在 Portecle 中,转到 工具 > 生成密钥对,提供所需信息,然后生成密钥对。

    Portecle 配置屏幕

  2. 右键单击该密钥对,然后单击 Generate Certification Request(生成证书请求)。

    Portecle 配置屏幕

  3. 复制 CSR。

  4. 在 Symantec PKI Manager 中,生成 RA 证书:依次单击 Settings(设置) 和 Get a RA Certificate(获取 RA 证书),粘贴 CSR,然后单击 Continue(继续)。

    Symantec PKI Manager 配置屏幕

  5. 单击 Download(下载)以下载生成的 RA 证书。

    Symantec PKI Manager 配置屏幕

  6. 在 Portecle 中,导入 RA 证书:右键单击密钥对,然后单击 Import CA Reply(导入 CA 答复)。

    Portecle 配置屏幕

  7. 在赛门铁克 PKI 管理器中:转到 资源 > Web 服务 ,然后下载 CA 证书。

    Symantec PKI Manager 配置屏幕

  8. 在 Portecle 中,将 RA 中间证书和根证书导入密钥库:前往 工具 > 导入受信任证书

    Portecle 配置屏幕

  9. 导入 CA 后,在 Windows Server 上的 C:\Symantec 文件夹下将密钥库保存为 RA.jks。

    Portecle 配置屏幕

在 Windows Server 上配置 Symantec PKI 适配器

  1. 以管理员身份登录 Windows Server。

  2. 上载您在前面部分中生成的 RA.jks 文件。此外,还请上载适用于您的 Symantec MPKI 服务器的公用证书 (cacerts.jks)。

  3. 下载 Symantec PKI Adapter 文件:

    1. https://www.citrix.com/downloads
    2. 导航到 Citrix Endpoint Management(和 Citirx XenMobile Server)> XenMobile Server(本地)> 产品软件 > XenMobile Server 10 > 工具
    3. Symantec PKI Adapter 磁贴上,单击下载文件
    4. 解压该文件并将这些文件复制到 Windows Server C: 驱动器:
      • custom_gpki_adapter.properties
      • Symantec.war
  4. 在记事本中打开 custom_gpki_adapter.properties 并编辑以下值:

    Gpki.CaSvc.Url=https://<managed PKI URL>
    
    # keystore for client-cert auth
    
    keyStore=C:\Symantec\RA.jks
    
    # truststore for server with self-signed root CA
    
    trustStore=C:\Symantec\cacerts.jks
    <!--NeedCopy-->
    
  5. 在文件夹 <tomcat dir>\webapps 下复制 Symantec.war,然后启动 Tomcat。

  6. 验证是否已部署应用程序:打开 Web 浏览器并导航到 https://localhost/Symantec。(如果出现证书错误,请考虑改为使用 HTTP 进行连接。)

  7. 导航到该文件夹 <tomcat dir>\webapps\Symantec\WEB-INF\classes 并编辑 gpki_adapter.properties。修改属性 CustomProperties,使其指向 C:\Symantec 文件夹下的 custom_gpki_adapter 文件:

    CustomProperties=C:\\Symantec\\custom_gpki_adapter.properties

  8. 重新启动 Tomcat,导航到 https://localhost/Symantec,然后复制端点地址。在下一部分中,请在配置 PKI 适配器时粘贴该地址。

    Symantec PKI 配置屏幕

为 DigiCert 托管 PKI 配置 Endpoint Management

请先完成 Windows Server 设置,然后再执行以下 Endpoint Management 配置。

导入 Symantec CA 证书并配置 PKI 实体

  1. 导入颁发最终用户证书的赛门铁克 CA 证书:在 Endpoint Management 控制台中,转到 设置 > 证书 ,然后单击 导入

    “证书”配置屏幕

  2. 添加并配置 PKI 实体:前往 设置 > PKI 实体,单击 添加,然后选择 通用 PKI 实体。在 WSDL URL 中,粘贴您在上一部分中配置 PKI 适配器时复制的端点地址。然后,按下例所示附加 ?wsdl

    PKI 实体配置屏幕

  3. 单击下一步。Endpoint Management 将从 WSDL 中填充参数名称。

    PKI 实体配置屏幕

  4. 单击下一步,选择正确的 CA 证书,然后单击保存

    PKI 实体配置屏幕

  5. “设置” > “PKI 实体 ” 页面上,验证您添加的 PKI 实体的 状态 是否 有效

    PKI 实体配置屏幕

为 DigiCert 托管 PKI 创建凭据提供程序

  1. 在 Symantec PKI Manager 控制台中,从证书模板中复制证书配置文件 OID

    Symantec PKI Manager 配置屏幕

  2. 在 Endpoint Management 控制台中,转到 设置 > 凭据提供程序,单击 添加,然后按如下方式配置设置。

    • 名称: 为新提供程序配置键入唯一名称。此名称用于在 Endpoint Management 控制台的其他部分引用该配置。

    • 说明: 凭据提供程序的说明。尽管此字段为可选字段,但当您需要有关凭据提供程序的详细信息时,说明很有用。

    • 颁发实体: 选择证书颁发实体。

    • 颁发方法: 选择签名作为系统用于从已配置的实体中获取客户端证书的方法。

    • certParams: 添加以下值:commonName=${user.mail},otherNameUPN=${user.userprincipalname},mail=${user.mail}

    • certificateProfileid: 粘贴您在步骤 1 中复制的证书配置文件 OID。

    “凭据提供程序”配置屏幕

  3. 单击下一步。在其余的每个页面(“证书签名请求”到“续订”)上,接受默认设置。完成后,单击保存

测试配置和对配置进行故障排除

  1. 创建凭据设备策略:转到 “ 配置” > “设备策略”,单击 “ 添加”,开始键入 “ 凭据” 一词,然后单击 “ 凭据”。

  2. 指定策略名称

  3. 按如下所示配置平台设置:

    • 凭据类型: 选择凭据提供程序

    • 凭据提供程序: 选择 Symantec 提供程序。

    “凭据提供程序”配置屏幕

  4. 完成平台设置后,转至分配页面,将策略分配给交付组,然后单击保存

  5. 要检查策略是否部署到设备,请转到 管理 > 设备,选择设备,单击 编辑,然后单击分 配的策略。以下示例显示了一个成功的策略部署。

    管理设备配置屏幕

    如果策略未部署,请登录到 Windows Server 并检查 WSDL 是否正确加载。

    Windows Server 屏幕图

有关故障排除详细信息,请查看 <tomcat dir>\logs\catalina.<current date> 中的 Tomcat 日志。

Entrust PKI 适配器

作为 DigiCert 托管 PKI 的替代方案,您可以安装 Entrust PKI 适配器。在安装适配器之前,请参阅本文的 DigiCert 托管 PKI 部分中有关在 Windows Server 上安装 Java 和 Apache Tomcat 的步骤。

确保同时安装了 Citrix Cloud Connector。有关 Cloud Connector 的详细信息,请参阅 Citrix Cloud Connector

安装 Entrust PKI 适配器

  1. 下载 Entrust PKI Adapter 文件:
    1. https://www.citrix.com/downloads
    2. 导航到 Citrix Endpoint Management(和 Citrix XenMobile Server)> XenMobile Server(本地)> 产品软件 > XenMobile Server 10 > 工具
    3. Entrust PKI Adapter 磁贴上,单击下载文件
    4. 从下载的 .zip 文件中提取 entrust.war 文件,并将其放置在 C:\Program Files (x86)\Apache Software Foundation\Tomcat 8.5\webapps 目录中。
  2. 在中 C:\Program Files (x86)\Apache Software Foundation\Tomcat 8.5\webapps\Entrust\WEB-INF\classes,编辑 entrust_adapter.properties 并将自定义属性设置为 c:\\zenprise\\custom_entrust_adapter.properties管理设备配置屏幕
  3. 在 C: 驱动器中,创建以下目录和文件名: zenprise/custom_entrust_adapter.properties
  4. 使用以下内容编辑文件,并注意适当替换 Entrust.MdmSvc.URL、AdminUserId 和 AdminPassword。

        # 将以下内容设置为 AS/IG 的正确 URL
        Entrust.MdmSvc.Url=https://pki.yourcorp.com:19443/mdmws/services/AdminServiceV8
    
        # 如果使用 IG 并且用户不存在,请设置为 1 或 true,以强制从传递的用户和组参数创建用户
        CreateUser=
    
        # 设置端点的凭据
        AdminUserId=[User ID]
        AdminPassword=[password]
    
    
    #客户端证书身份验证的密钥库
    #keyStore=
    #keyStorePassword=
    #keyStoreType:JKS、JCEKS 和 PKCS12  -- .p12 和 .jks 文件不需要
    
    #使用自签名根 CA 的服务器的信任存储区
    #trustStore=
    #trustStorePassword=
    #trustStoreType:JKS、JCEKS 和 PKCS12  -- .p12 和 .jks 文件不需要
    <!--NeedCopy-->
    
  5. 重新启动 Tomcat 服务。导航到 C:\Program Files (x86)\Apache Software Foundation\Tomcat 8.5\logs 并打开 Catalina_201x-MM-DD.log。验证没有错误并显示以下行: 13-Nov-2018 09:02:35.319 INFO [localhost-startStop-1] org.apache.cxf.endpoint.ServerImpl.initDestination Setting the server's publish address to be /EntrustGpkiAdapter
  6. 导航到 http://localhost:8080/Entrust/EntrustGpkiAdapter?wsdl 或服务器的公共 URL。然后验证是否正确显示 XML。 管理设备配置屏幕

为 Entrust PKI 适配器配置 Endpoint Management

  1. 登录到 Endpoint Management 控制台,然后导航到 “ 设置” > “PKI 实体”。单击 添加 > 通用 PKI 实体
  2. 输入以下信息:
    • 名称: 输入 PKI 实体的名称。
    • WSDL URL: 如果您使用的是 Citrix Cloud Connector,请输入 http://localhost:8080/Entrust/EntrustGpkiAdapter?wsdl。如果您没有使用 Citrix Cloud Connector,请输入服务器的公共 URL。
    • 身份验证类型: 选择要使用的身份验证方法。
      • HTTP Basic: 键入连接所需的用户名和密码。
      • 客户端证书: 选择正确的 SSL 客户端证书。
    • 使用 Cloud Connector: ,具体取决于您是否使用 Citrix Cloud Connector。
    • 资源位置: 选择我的资源位置
    • 允许使用的相对路径: 输入 /Entrust/*
  3. 配置完 PKI 实体后,返回 设置 页面并添加 凭据提供程序
  4. 常规选项卡上,选择您的 Entrust 实体作为颁发实体,选择 SIN 作为颁发方法
  5. 证书签名请求选项卡上,按如下所示配置设置:
    • 密钥算法: RSA
    • 密钥尺寸: 2048
    • 签名算法 SHA256withRSA
    • 使用者名称: cd=$user.username
    • 使用者备用名称: 可选。我们的建议如下:
      • 类型: 用户主体名称
      • 值: $user.userprincipalname

    注意:

    如果更改适配器上的任何设置,请按照以下步骤重新配置凭据提供程序。

  6. 配置完凭据提供程序后,导航到 配置 > 设备策 略并添加凭证策略。
  7. 为计划使用的操作系统配置策略。在每个操作系统配置页面上,对于凭据类型,请选择凭据提供程序。对于凭据提供程序菜单,请选择之前配置的凭据提供程序。

Microsoft 证书服务

Endpoint Management 通过其 Web 注册界面与 Microsoft Certificate Services 交互。Endpoint Management 仅支持通过该界面颁发新证书(相当于 GPKI 签名功能)。如果 Microsoft CA 生成 Citrix Gateway 用户证书,Citrix Gateway 将支持续订和吊销这些证书。

要在 Endpoint Management 中创建 Microsoft CA PKI 实体,必须指定证书服务 Web 界面的基本 URL。如果选择此项,则使用 SSL 客户端身份验证保护 Endpoint Management 与证书服务 Web 界面之间的连接。

添加 Microsoft 证书服务实体

  1. 在 Endpoint Management 控制台中,单击控制台右上角的齿轮图标,然后单击 PKI 实体

  2. PKI 实体页面上,单击添加

    此时将显示一个 PKI 实体类型菜单。

  3. 单击 Microsoft 证书服务实体

    此时将显示 Microsoft 证书服务实体: 常规信息页面。

  4. Microsoft 证书服务实体: 常规信息页面上,配置以下设置:

    • 名称: 为新实体键入名称,此名称以后将用于指代该实体。实体名称必须唯一。
    • Web 注册服务根 URL: 键入 Microsoft CA Web 注册服务的基本 URL。例如:https://192.0.0.1/certsrv/。该 URL 可使用纯 HTTP 或 HTTP-over-SSL。
    • certnew.cer 页面名称: certnew.cer 页面的名称。若非因为某些原因重命名了此页面,请使用默认名称。
    • certfnsh.asp: certfnsh.asp 页面的名称。若非因为某些原因重命名了此页面,请使用默认名称。
    • 身份验证类型: 选择要使用的身份验证方法。
      • HTTP Basic: 键入连接所需的用户名和密码。
      • 客户端证书: 选择正确的 SSL 客户端证书。
    • 使用 Cloud Connector: 选择可使用 Cloud Connector 连接到 PKI 服务器。然后,指定资源位置以及连接的允许使用的相对路径

      • 资源位置: 从在 Citrix Cloud Connector 中定义的资源位置进行选择。
      • 允许使用的相对路径: 允许为指定资源位置使用的相对路径。每行请指定一个路径。可以使用星号 (*) 通配符。

        假定资源位置为 https://www.ServiceRoot/certsrv。要提供对该路径中的所有 URL 的访问权限,请在允许使用的相对路径中输入 /*

    PKI 配置屏幕

  5. 单击测试连接以确保服务器可以访问。如果不可访问,则会显示一条消息,指出连接失败。请检查配置设置。

  6. 单击下一步

    此时将显示 Microsoft 证书服务实体: 模板页面。在此页面上,指定 Microsoft CA 所支持模板的内部名称。创建凭据提供程序时,从此处定义的列表中选择模板。使用此实体的每个凭据提供程序仅使用一个此类模板。

    有关 Microsoft 证书服务模板的要求,请参阅您的 Microsoft Server 版本对应的 Microsoft 文档。除了中记录的证书格式之外,Endpoint Management 对其分发的证书没有要求 证书

  7. Microsoft 证书服务实体: 模板页面上,单击添加,键入模板的名称,然后单击保存。为要添加的每个模板重复执行此步骤。

  8. 单击下一步

    此时将显示 Microsoft 证书服务实体: HTTP 参数页面。在此页面上,您可以指定自定义参数以供 Endpoint Management 添加到向 Microsoft Web 注册界面发送的 HTTP 请求。自定义参数仅对 CA 上运行的自定义脚本有用。

  9. Microsoft 证书服务实体: HTTP 参数页面上,单击添加,键入要添加的 HTTP 参数的名称和值,然后单击下一步

    此时将显示 Microsoft 证书服务实体: CA 证书页面。在此页面上,必须将系统通过此实体获取的证书的签署者告知 Endpoint Management。续订 CA 证书后,将在 Endpoint Management 中对其进行更新。Endpoint Management 以透明方式将更改应用于实体。

  10. Microsoft 证书服务实体: CA 证书页面上,选择要用于此实体的证书。

  11. 单击保存

    实体将显示在 PKI 实体表格中。

Citrix Gateway 证书吊销列表 (CRL)

Endpoint Management 仅支持对第三方证书颁发机构使用证书吊销列表 (CRL)。如果您配置了 Microsoft CA,Endpoint Management 将使用 Citrix Gateway 管理吊销。

配置基于客户端证书的身份验证时,请考虑是否要配置 Citrix Gateway 证书吊销列表 (CRL) 设置 Enable CRL Auto Refresh(启用 CRL 自动刷新)。此步骤可确保处于仅 MAM 模式的设备的用户无法使用设备上的现有证书进行身份验证。

Endpoint Management 会重新颁发新证书,因为它不会限制用户在用户证书被吊销后生成用户证书。此设置提高了 CRL 检查过期的 PKI 实体时 PKI 实体的安全性。

任意 CA

向 Endpoint Management 提供 CA 证书及关联的私钥时,将创建任意 CA。Endpoint Management 将根据您指定的参数,在内部处理证书颁发、吊销和状态信息。

配置任意 CA 时,可以为该 CA 激活联机证书状态协议 (OCSP) 支持。如果您启用了 OCSP 支持,CA 将向该 CA 颁发的证书中添加 id-pe-authorityInfoAccess 扩展。该扩展指向以下位置处的 Endpoint Management 内部 OCSP 响应者:

https://<server>/<instance>/ocsp

配置 OCSP 服务时,请为相关任意实体指定 OCSP 签名证书。可以将 CA 证书本身用作签署者。要避免 CA 私钥的不必要暴露(建议避免),请创建一个由 CA 证书签名并包含 id-kp-OCSPSigning extendedKeyUsage 扩展的委派 OCSP 签名证书。

Endpoint Management OCSP Responder Service 支持在请求中使用基本 OCSP 响应及以下散列算法:

  • SHA-256
  • SHA-384
  • SHA-512

响应通过 SHA-256 及签名证书的密钥算法(DSA、RSA 或 ECDSA)进行签名。

为您的 CA 生成和导入证书

  1. 在服务器上,使用本地系统帐户打开 Microsoft 管理控制台 (MMC),然后打开证书管理单元。在右侧窗格中,右键单击,然后单击 所有任务 > 请求新证书

    申请新证书

  2. 在打开的向导中,单击 下一步 两次。在 请求证书 列表中,选择 从属证书颁发机 构,然后单击 更多信息 链接。

    下属 CA 模板

  3. 在窗口中,键入 主题名称替代名称。单击 OK(确定)。

    下属 CA 模板

  4. 单击 注册,然后单击 完成

  5. 在 MMC 中,右键单击您创建的证书。单击 所有任务 > 导出。将证书导出为带有私钥的 .pfx 文件。

  6. 在 Endpoint Management 控制台中,导航到 设置 > 证书

    证书页

  7. 单击导入。在打开的窗口中,浏览以前导出的证书和私钥文件。

    证书页

  8. 单击导入。证书将添加到表中。

添加任意 CA

  1. 在 Endpoint Management 控制台中,单击控制台右上角的齿轮图标,然后单击 更多 > PKI 实体

  2. PKI 实体页面上,单击添加

    PKI 实体类型

  3. 单击任意 CA

    PKI 一般信息页面

  4. 在 “ 自由裁量 CA:常规信息 ” 页面上,配置以下内容:

    • 名称: 键入任意 CA 的描述性名称。
    • 用于对证书请求进行签名的 CA 证书: 单击任意 CA 用于为证书请求签名的证书。

      此证书列表是从 CA 证书生成的,其中包含您在 “配置” > “设 置” > “证书” 的 Endpoint Management 上传的私钥。

  5. 单击下一步

    PKI 参数页

  6. 在 “ 自由 CA:参数 ” 页面上,配置以下内容:

    • 序列号生成器: 任意 CA 为其颁发的证书生成序列号。从此列表中,单击按顺序不按顺序以确定序列号的生成方式。
    • 下一个序列号: 键入一个用于确定颁发的下一个序列号的值。
    • 证书有效期: 键入证书有效的天数。
    • 密钥用法: 通过将相应的密钥设置为,标识任意 CA 所颁发证书的目的。一旦设置,CA 仅限于为此目的颁发证书。
    • 扩展密钥用法: 要添加更多参数,请单击添加,键入密钥名称,然后单击保存
  7. 单击下一步

    PKI 分发页面

  8. 任意 CA: 分发页面上,选择分发模式:

    • 集中式: 服务器端密钥生成。Citrix 建议使用集中选项。在服务器上生成并存储私钥,然后分发到用户设备。
    • 分布式: 设备端密钥生成。私钥在用户设备上生成。此分布式模式使用 SCEP 并需要采用 keyUsage keyEncryption 扩展名的 RA 加密证书和采用 KeyUsage digitalSignature 扩展名的 RA 签名证书。同一个证书可以同时用于加密和签名。
  9. 单击下一步

    PKI OCSP 页面

  10. 在 “ 自由授权 CA:在线证书状态协议 (OCSP) ” 页面上,配置以下内容:

    • 如果要向此 CA 签名的证书添加 AuthorityInfoAccess (RFC2459) 扩展,请将为此 CA 启用 OCSP 支持设置为。此扩展指向位于 https://<server>/<instance>/ocsp 的 CA OCSP 响应者。
    • 如果启用了 OCSP 支持,请选择 OSCP 签名 CA 证书。此证书列表使用您上载到 Endpoint Management 的 CA 证书生成。

    启用该功能使 Citrix ADC 有机会检查证书的状态。Citrix 建议您启用此功能。

  11. 单击保存

    任意 CA 将显示在 PKI 实体表格中。

配置凭据提供程序

  1. 在 Endpoint Management 控制台中,导航到 设置 > 凭据提供程序,然后单击 添加

  2. 凭据提供程序:常规信息 页面上,配置以下内容:

    凭据提供程序常规页

    • 名称: 为新提供程序配置键入唯一名称。此名称之后将用于在 Endpoint Management 控制台的其他部分标识该配置。
    • 说明: 凭据提供程序的说明。尽管此字段为可选字段,但说明可以提供有关此凭据提供程序的有用详细信息。
    • 发行实体: 选择 自行授权 CA
    • 颁发方法: 单击签名提取以选择系统用于从已配置的实体获取证书的方法。对于客户端证书身份验证,请使用签名
  3. 单击下一步。在凭据提供程序: 证书签名请求页面上,根据您的证书配置来配置以下各项:

    凭据提供程序证书签名请求页

    • 密钥算法: 选择用于获取新密钥对的密钥算法。可用值为 RSADSAECDSA

    • 密钥大小: 键入密钥对的大小(以位为单位)。此字段为必填字段。Citrix 建议使用 2048 位。

    • 签名算法: 单击用于新证书的值。值取决于密钥算法。Citrix 建议 SHA256withRSA

    • 使用者名称: 必填。键入新证书使用者的标识名 (DN)。用 CN=${user.username} 于用户名或 CN=${user.samaccountname} 使用 samAccountName。

    • 要向使用者备用名称表中添加新条目,请单击添加。选择备用名称的类型,然后在第二列中键入一个值。

      添加以下内容:

      • 类型: 用户主体名称
      • 值: $user.userprincipalname

      与主题名称一样,您可以在值字段中使用 Endpoint Management 宏。

  4. 单击下一步。在 凭据提供程序:分发 页面上,配置以下内容:

    凭据提供商分发页面

    • 颁发 CA 证书: 选择之前添加的自行授权 CA 证书。
    • 选择分发模式: 选择以下生成和分发密钥的方法之一:
      • 首选集中式: 服务器端密钥生成: Citrix 建议采用此集中式选项。它支持 Endpoint Management 支持的所有平台,并且在使用 Citrix Gateway 身份验证时也需要使用此模式。在服务器上生成并存储私钥,然后分发到用户设备。
      • 首选分布式: 设备端密钥生成: 在用户设备上生成并存储私钥。此分布式模式使用 SCEP 并需要采用 keyUsage keyEncryption 的 RA 加密证书和采用 KeyUsage digitalSignature 的 RA 签名证书。同一个证书可以同时用于加密和签名。
      • 仅分布式:设备端密钥生成: 此选项与 “ 首选分布式:设备端密钥生成” 相同,但是如果设备端密钥生成失败或不可用,则没有选项可用。

    如果选择首选分布式: 设备端密钥生成仅限分布式: 设备端密钥生成,请单击 RA 签名证书和 RA 加密证书。同一个证书可用于这两个目的。此时将显示有关这些证书的新字段。

  5. 单击下一步。在 凭据提供程序:吊销 Endpoint Management 页面上,配置 Endpoint Management 内部将通过此提供程序配置颁发的证书标记为已撤销的条件。配置以下设置:

    凭据提供程序撤销页

    • 吊销已颁发的证书中,选择一个表明何时应吊销证书的选项。
    • 要指示 Endpoint Management 在吊销证书时发送通知,请将发送通知的值设置为并选择通知模板。

    • 使用 Endpoint Management 作为自行决定PKI 时,撤销 PKI 上的证书 不起作用。
  6. 单击下一步。在 凭据提供程序:吊销 PKI 页面上,确定如果证书被吊销,应对 PKI 采取哪些操作。您还可以选择创建通知消息。配置以下设置:

    凭据提供商撤销 PKI 页面

    • 启用外部撤销检查: 打开此 置。此时将显示更多与吊销 PKI 相关的字段。
    • OCSP 响应方 CA 证书 列表中,选择证书主题的判别名称 (DN)。

      可以为 DN 字段值使用 Endpoint Management 宏。例如: CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation

    • 吊销证书时列表中,单击吊销证书时对 PKI 实体执行的以下操作之一:

      • 不执行任何操作。
      • 续订证书。
      • 吊销和擦除设备。
    • 要指示 Endpoint Management 在吊销证书时发送通知,请将发送通知的值设置为

      可以从两个通知选项中选择:

      • 如果选择选择通知模板,则可以选择预先写好的通知消息,且之后可以进行自定义。这些模板位于通知模板列表中。
      • 如果选择输入通知详细信息,则可以自行编写通知消息。除了提供收件人的电子邮件地址和消息之外,您还可以设置通知的发送频率。
  7. 单击下一步。在 凭据提供商:续订 页面上,配置以下内容:

    凭据提供商续订页面

    证书过期时续订 设置为 。此时将显示更多字段。

    • 证书在此时间内提供时续订字段中,键入在过期前多少天续订证书。
    • (可选)选择不续订已过期的证书。在此情况下,“已过期”表示证书的“NotAfter”日期在过去,不是指证书已被吊销。Endpoint Management 在内部吊销证书后不会续订证书。

    要指示 Endpoint Management 在续订证书时发送通知,请将发送通知设置为。要指示 Endpoint Management 在证书接近过期时发送通知,请将证书即将过期时通知设置为。 对于其中任一选择方式,可以从两个通知选项中选择:

    • 选择通知模板: 选择预先写好的通知消息,且之后可以进行自定义。这些模板位于通知模板列表中。
    • 输入通知详细信息: 自行编写通知消息。提供收件人的电子邮件地址、消息和发送通知的频率。
  8. 单击保存

PKI 实体