上载、更新和续订证书
我们建议您列出部署 Citrix Endpoint Management 所需的证书。使用列表跟踪证书到期日期和密码。本文帮助您在证书的整个生命周期内管理证书。
您的环境中可能包含以下证书:
- Citrix Endpoint Management 服务器
- MDM FQDN 的 SSL 证书(如果您从 XenMobile Server 迁移到 Citrix Endpoint Management,则需要使用;否则,Citrix 将管理此证书)
- SAML 证书(适用于 Citrix Files)
- 用于以上证书和任何其他内部资源(StoreFront/代理等)的根证书和中间 CA 证书
- 用于 iOS 设备管理的 APNs 证书
- 用于连接到 PKI 的 PKI 用户证书(如果您的环境需要基于证书的身份验证,则需要)
- MDX Toolkit
- Apple 开发人员证书
- Apple 预配配置文件(按应用程序)
- Apple APNs 证书(用于 Citrix Secure Mail)
- Android 密钥库文件
MAM SDK 不封装应用程序,因此不需要证书。
- NetScaler Gateway
- 用于 MDM FQDN 的 SSL 证书
- 用于网关 FQDN 的 SSL 证书
- 用于 ShareFile SZC FQDN 的 SSL 证书
- 用于 Exchange 负载平衡(卸载配置)的 SSL 证书
- 用于 StoreFront 负载平衡的 SSL 证书
- 用于上述证书的根和中间 CA 证书
注意:
客户端设备必须具有所需的根/中间证书,才能与颁发服务器证书的证书颁发机构建立信任。否则,您可能会收到 SSL 错误 61。要解决此问题,请执行以下操作:
- 下载或获取由您的 SSL 证书提供商颁发的 SSL 根/中间证书文件(.crt 或 .cer)。通常,根/中间/服务器证书存在于您的 SSL 服务提供商提供的证书包中。
- 在客户端设备上安装根/中间证书。
- 如果客户端设备上安装了防病毒软件,请确保防病毒软件信任证书。
上载证书
您上载的每个证书在证书表中都有一个条目,其中包括其内容摘要。配置需要证书的 PKI 集成组件时,请选择满足该条件的服务器证书。例如,您可能需要将 Citrix Endpoint Management 配置为与您的 Microsoft 证书颁发机构 (CA) 集成。与 Microsoft CA 的连接必须通过使用客户端证书进行身份验证。
Citrix Endpoint Management 可能不拥有给定证书的私钥。同样,Citrix Endpoint Management 可能不需要私钥即可上载证书。
本节介绍了上载证书的常规过程。有关创建、上载和配置客户端证书的详细信息,请参阅客户端证书或证书加域身份验证。
您有两个用于上载证书的选项:
- 将证书单独上载到控制台。
- 使用 REST API 执行证书批量上载。此选项仅适用于 iOS 设备。
将证书上载到控制台时,您可以:
- 导入密钥库。然后,您在密钥库存储库中找出要安装的条目,除非您要上载 PKCS #12 格式。
- 导入证书。
您可以上载 CA 用于对请求进行签名的 CA 证书(不带私钥)。您还可以上载用于客户端身份验证的 SSL 客户端证书(带私钥)
在配置 Microsoft CA 实体时,您指定 CA 证书。您从属于 CA 证书的所有服务器证书列表中选择 CA 证书。同样,在配置客户端身份验证时,您可以从 Citrix Endpoint Management 拥有私钥的所有服务器证书列表中进行选择。
导入密钥库
密钥库是安全证书的存储库。按照设计,密钥库可以包含多个条目。从密钥库加载时,必须指定用于识别要加载的条目的条目别名。如果未指定别名,则将加载库中的第一个条目。由于 PKCS #12 文件通常仅包含一个条目,当选择 PKCS #12 作为密钥库类型时,不会显示别名字段。
-
在 Citrix Endpoint Management 控制台中,单击主机右上角的齿轮图标。使用搜索栏可查找并打开证书设置。
-
单击导入。将出现“导入”对话框。
-
配置以下设置:
- 导入: 选择密钥库。
- 密钥库类型: 在列表中,单击 PKCS #12。
-
用作: 在列表中,单击您计划使用证书的方式。可用选项如下:
- 服务器:服务器 证书是 Citrix Endpoint Management 在功能上使用的证书。您将服务器证书上载到 Citrix Endpoint Management Web 控制台。这些证书包括 CA 证书、RA 证书以及用于您基础结构其他组件的客户端身份验证的证书。此外,您还可以使用服务器证书来存储您要部署到设备的证书。此用法特别适用于在设备上建立信任所使用的 CA。
- SAML: 安全声明标记语言 (SAML) 身份验证允许您提供对服务器、Web 站点和应用程序的 SSO 访问权限。
- APNs: Apple 提供的 APNs 证书支持通过 Apple Push 网络进行移动设备管理。
- SSL 侦听器: 安全套接字层 (SSL) 侦听器向 Citrix Endpoint Management 通知 SSL 加密活动。
- 密钥库文件: 浏览以查找要导入的密钥库。密钥库是一个 .p12 或 .pfx 文件。选择文件,然后单击打开。
- 密码: 键入分配给证书的密码。
- 说明: (可选)键入密钥库的说明,以帮助您将其与其他密钥库区分开。
-
单击导入。密钥库将添加到证书表中。
导入证书
导入证书时,Citrix Endpoint Management 会尝试根据输入构建证书链。Citrix Endpoint Management 导入链中的所有证书,为每个证书创建服务器证书条目。仅当文件或密钥库条目中的证书形成链时,才可执行此操作。证书链中的每个后续证书都必须是前一个证书的颁发者。
您可以为导入的证书添加可选说明。此说明将仅附加到链中的第一个证书上。可在以后更新提醒说明。
-
在 Citrix Endpoint Management 控制台中,单击主机右上角的齿轮图标。使用搜索栏可查找并打开证书设置。
-
在证书页面上,单击导入。将出现“导入”对话框。配置以下设置:
- 导入: 单击证书。
-
用作: 选择您计划使用证书的方式。可用选项如下:
- 服务器:服务器 证书是 Citrix Endpoint Management 在功能上使用的证书。您将服务器证书上载到 Citrix Endpoint Management Web 控制台。这些证书包括 CA 证书、RA 证书以及用于您基础结构其他组件的客户端身份验证的证书。此外,您还可以使用服务器证书来存储您要部署到设备的证书。此选项特别适用于在设备上建立信任所使用的 CA。
- SAML: 安全声明标记语言 (SAML) 身份验证允许您提供对服务器、Web 站点和应用程序的单点登录 (SSO) 访问权限。
- SSL 侦听器: 安全套接字层 (SSL) 侦听器向 Citrix Endpoint Management 通知 SSL 加密活动。
- 证书导入: 浏览以查找要导入的证书。选择文件,然后单击打开。
- 私钥文件: 浏览以查找证书的可选私钥文件。私钥用于与证书一起使用以便进行加密和解密。选择文件,然后单击打开。
- 说明: 键入证书的说明(可选),以帮助您将其与其他证书区分开。
-
单击导入。证书将添加到证书表中。
使用 REST API 批量上载证书
有时一次上载一个证书并不合理。在这些情况下,请使用 REST API 批量上载证书。此方法支持 .p12 格式的证书。有关 REST API 的详细信息,请参阅 REST API。
-
以
device_identity_value.p12格式重命名每个证书文件。device_identity_value可以是每个设备的 IMEI、序列号或 MEID。例如,您选择使用序列号作为标识方法。一台设备具有序列号
A12BC3D4EFGH,因此将您希望在该设备上安装的证书文件命名为A12BC3D4EFGH.p12。 -
创建一个文本文件以存储 .p12 证书的密码。在该文件中,在新行中键入每个设备的设备标识符和密码。使用格式
device_identity_value=password。请参阅以下内容:A12BC3D4EFGH.p12=password1! A12BC3D4EFIJ.p12=password2@ A12BC3D4EFKL.p12=password3# <!--NeedCopy--> - 将所有证书和您创建的文本文件打包到 .zip 文件中。
- 启动您的 REST API 客户端,登录 Citrix Endpoint Management 并获取身份验证令牌。
-
导入您的证书,确保您将以下内容放入消息正文中:
{ "alias": "", "useAs": "device", "uploadType": "keystore", "keystoreType": "PKCS12", "identityType":"SERIAL_NUMBER", # identity type can be "SERIAL_NUMBER","IMEI","MEID" "credentialFileName":"credential.txt" # The credential file name in .zip } <!--NeedCopy-->
- 使用凭据类型 Always on IKEv2(始终启用 IKEv2)和设备身份验证方法基于设备标识的设备证书创建 VPN 策略。选择您的证书文件名中使用的设备标识类型。请参阅 VPN 设备策略。
-
注册 iOS 设备并等待部署 VPN 策略。通过检查设备上的 MDM 配置来确身份验证书安装。您还可以在 Citrix Endpoint Management 控制台中查看设备详细信息。
还可以通过创建一个包含为每个要删除的证书列出的 device_identity_value 的文本文件来批量删除证书。在 REST API 中,调用删除 API 并使用以下请求,将 device_identity_value 替换为适当的标识符:
```
{
"identityType"="device_identity_value"
}
<!--NeedCopy--> ```
更新证书
Citrix Endpoint Management 仅允许每个公钥同时在系统中存在一个证书。如果尝试为已导入证书的同一密钥对导入证书,您可以:
- 替换现有条目。
- 删除条目。
上载新证书以替换旧证书后,无法删除旧证书。配置 PKI 实体设置时,两个证书都存在于 SSL 客户端证书菜单中。列表中较新的证书位于旧证书下方。
更新证书
-
按照客户端证书或证书加域身份验证中的步骤创建替换证书。
重要:
请勿使用该选项创建使用现有私钥的证书。创建证书以更新过期证书时,私钥也必须是新的。
- 在 Citrix Endpoint Management 控制台中,单击主机右上角的齿轮图标。使用搜索栏可查找并打开证书设置。
- 在导入对话框中,导入新证书。
当更新服务器证书时,使用先前证书的组件将自动切换到使用新证书。同样,如果已经在设备上部署服务器证书,证书将在下一次部署时自动更新。
要更新 APNs 证书,请执行创建证书的步骤,然后转到 Apple Push Certificates Portal。有关详细信息,请参阅续订 APNs 证书。
如果您的 NetScaler Gateway 设置为进行 SSL 卸载,请确保使用新的 cacert.pem 来更新您的负载平衡器。
注意:
如果您已从 XenMobile 本地迁移到 Citrix Endpoint Management,并且正在更新证书,请在完成前面的步骤后与 Citrix 支持部门联系。您需要向他们提供新证书的副本(PFX 格式),包括证书密码。Citrix 支持将更新云端 NetScaler 并重启租户节点以完成证书更新过程。
更新 PKI 服务证书颁发机构 (CA)
您可以请求 Citrix Cloud Operations 在 Citrix Endpoint Management 部署中刷新或重新生成内部 PKI 证书颁发机构 (CA)。为这些请求打开一个技术支持案例。
When the new CAs are available, Cloud Operations lets you know that you can proceed with renewing the device certificates for your users.
续订设备证书
如果设备上的证书过期,证书将变得无效。您无法再在您的环境中运行安全交易,也无法访问 Citrix Endpoint Management 资源。证书颁发机构 (CA) 会在过期日期之前提示您续订 SSL 证书。执行上述步骤以更新证书,然后在已注册的设备上启动证书续订。
对于受支持的 iOS、macOS 和 Android 设备,可以通过安全操作(证书续订)启动证书续订。您可以通过 Citrix Endpoint Management 控制台或公共 REST API 续订设备证书。对于已注册的 Windows 设备,用户必须重新注册其设备才能获得新的设备证书颁发机构 (CA)。
下次设备连接回 Citrix Endpoint Management 时,Citrix Endpoint Management 服务器会根据新 CA 颁发新的设备证书。
使用控制台续订设备证书
- 转到管理 > 设备,然后选择要为其续订设备证书的设备。
-
单击安全,然后单击证书续订。
已注册的设备继续运行而不会中断。当设备重新连接到服务器时,Citrix Endpoint Management 会颁发设备证书。
要查询特定设备证书颁发者 CA 组中的设备,请执行以下操作:
- 在管理 > 设备中,展开过滤器窗格。
-
在过滤器窗格中,展开设备证书颁发者 CA,然后选择要续订的颁发者 CA。
在设备表中,将显示所选颁发者 CA 的设备。
使用 REST API 续订设备证书
Citrix Endpoint Management 在 PKI 内部使用以下证书颁发机构 (CA):根 CA、设备 CA 和服务器 CA。这些 CA 是一个逻辑组并具有组名称。在 Citrix Endpoint Management 配置期间,服务器生成三个 CA,并将组名命名为“默认”。
CA 颁发以下 API 来管理和续订设备证书。已注册的设备继续运行而不会中断。当设备重新连接到服务器时,Citrix Endpoint Management 会颁发设备证书。有关详细信息,请下载 Public API for REST Services(用于 REST 服务的公共 API)PDF。
- 返回仍在使用旧 CA 的设备的列表(请参阅“适用于 REST 的公共 API 服务”PDF 中的第 3.16.2 节)
- 续订设备证书(请参阅第 3.16.58 节)
- 获取所有 CA 组(请参阅第 3.23.1 节)
用于 Citrix Secure Mail 的 APNs 证书
Apple 推送通知服务 (APNs) 证书每年都会过期。请务必在 APNs SSL 证书过期之前创建该证书,并在 Citrix 门户中进行更新。如果证书过期,用户将面临与 Citrix Secure Mail 推送通知不一致的情况。此外,您不能再为您的应用程序发送推送通知。
用于 iOS 设备管理的 APNs 证书
要使用 Citrix Endpoint Management 注册和管理 iOS 设备,请设置并创建 Apple 颁发的 APNs 证书。如果证书过期,用户将无法注册 Citrix Endpoint Management,您也无法管理他们的 iOS 设备。有关详细信息,请参阅 APNs 证书。
可以通过登录 Apple Push Certificates Portal 来查看 APNs 证书状态和过期日期。请务必以创建证书的同一用户身份登录。
在过期日期之前 30 天和 10 天,您还会收到 Apple 发送的电子邮件通知。通知包含以下信息:
The following Apple Push Notification Service certificate, created for Apple ID CustomerID will expire on Date. Revoking or allowing this certificate to expire will require existing devices to be re-enrolled with a new push certificate.
Please contact your vendor to generate a new request (a signed CSR), then visit https://identity.apple.com/pushcert to renew your Apple Push Notification Service certificate.
Thank You,
Apple Push Notification Service
<!--NeedCopy-->
MDX Toolkit(iOS 分发证书)
在物理 iOS 设备上运行的应用程序(Apple App Store 中的应用程序除外)具有以下签名要求:
- 使用预配配置文件为应用程序签名。
- 使用相应的分发证书为应用程序签名。
要验证您的 iOS 分发证书是否有效,请执行以下操作:
- 从 Apple 企业开发人员门户中,为您计划用 MDX 封装的每个应用程序创建一个显式应用程序 ID。可接受的应用程序 ID 示例:
com.CompanyName.ProductName. - 从 Apple 企业开发人员门户中,转到 Provisioning Profiles(预配配置文件)> Distribution(分发),并创建一个内部预配配置文件。对在上一步中创建的每个应用程序 ID 重复此步骤。
- 下载所有预配配置文件。有关详细信息,请参阅封装 iOS 移动应用程序。
要确认所有 Citrix Endpoint Management 服务器证书均有效,请执行以下操作:
- 在 Citrix Endpoint Management 控制台中, 单击“设置”>“证书”。
- 检查包括 APNs、SSL 侦听器、根和中间证书在内的所有证书是否有效。
Android 密钥库
密钥库是指包含用于为您的 Android 应用程序签名的证书的文件。当您的密钥有效期过期后,用户不能再无缝地升级到应用程序的新版本。
NetScaler Gateway
有关如何处理 NetScaler Gateway 的证书到期的详细信息,请参阅 Citrix 支持知识中心中的如何在 NetScaler 上处理证书到期。
过期的 NetScaler Gateway 证书会阻止用户注册和访问应用商店。过期的证书还会阻止用户在使用 Citrix Secure Mail 时连接到 Exchange Server。此外,用户不能枚举和打开 HDX 应用程序(具体取决于哪个证书过期)。
过期监视器和命令中心可以帮助您跟踪您的 NetScaler Gateway 证书。Center 会在证书过期时通知您。这些工具有助于监视以下 NetScaler Gateway 证书:
- 用于 MDM FQDN 的 SSL 证书
- 用于网关 FQDN 的 SSL 证书
- 用于 ShareFile SZC FQDN 的 SSL 证书
- 用于 Exchange 负载平衡(卸载配置)的 SSL 证书
- 用于 StoreFront 负载平衡的 SSL 证书
- 用于上述证书的根和中间 CA 证书