配置客户端证书身份验证

登录到 Citrix Gateway 虚拟服务器的用户也可以根据提供给虚拟服务器的客户端证书的属性进行身份验证。客户端证书身份验证也可以与其他身份验证类型(如 LDAP 或 RADIUS)一起使用,以提供双重身份验证。

要根据客户端证书属性对用户进行身份验证,应在虚拟服务器上启用客户端身份验证,并应请求客户端证书。必须将根证书绑定到 Citrix 网关上的虚拟服务器。

当用户登录到 Citrix Gateway 虚拟服务器时,身份验证后,将从证书的指定字段中提取用户名信息。通常,此字段是主题:CN。如果成功提取用户名,则会对用户进行身份验证。如果用户在安全套接字层 (SSL) 握手期间未提供有效证书,或者用户名提取失败,则身份验证将失败。

您可以通过将默认身份验证类型设置为使用客户端证书,基于客户端证书对用户进行身份验证。您还可以创建证书操作,该操作定义基于客户端 SSL 证书的身份验证期间要执行的操作。

将客户端证书配置为默认身份验证类型

  1. 在配置实用程序中的 “配置” 选项卡的导航窗格中,展开 Citrix 网关,然后单击 “全局设置”。
  2. 在详细信息窗格的 “设置” 下,单击 “更改身份验证设置”。
  3. 在 “最大用户数” 中,键入可以使用客户端证书进行身份验证的用户数。
  4. 在 “默认身份验证类型” 中,选择 “证书”。
  5. 在 “用户名字段” 中,选择用于保存用户名的证书字段的类型。
  6. 在 “组名称字段” 中,选择保存组名称的证书字段的类型。
  7. 在默认授权组中,键入默认组的名称,然后单击确定。

从客户端证书中提取用户名

如果在 Citrix Gateway 上启用了客户端证书身份验证,则会根据客户端证书的某些属性对用户进行身份验证。身份验证成功完成后,将从证书中提取用户名或用户和组名称,并应用为该用户指定的任何策略。