配置客户端证书或客户端证书和域身份验证

在使用 Citrix ADC 纯证书身份验证或证书加域身份验证时,可以使用 Citrix 端点管理向导执行 Citrix 端点管理所需的配置。只能运行 Citrix ADC 适用于 Citrix 端点管理向导一次。有关使用向导的信息,请参阅为 Citrix 终端节点管理环境配置设置

如果您已使用该向导,请按照本文中的说明进行客户端证书身份验证或客户端证书加域身份验证所需的附加配置。

若要确保处于 “纯 MAMA” 模式的设备用户无法使用设备上的现有证书进行身份验证,请参阅本文后面的 “Citrix ADC 证书吊销列表 (CRL)”。

手动配置 Citrix 网关以进行客户端证书身份验证

  1. 在 “ 流量管理” > “负载平衡” > “虚拟服务器” 下,转到每个虚拟服务器(443 和 8443),更新 SSL 参数,并将 “ 启用会话重用” 设置为 “禁用”。

    本地化后的图片

  2. 在 Citrix 网关虚拟服务器上,在 “ 启用客户端身份验证”-> “客户端证书” 上,选择 “ 客户端身份验证”,对于 “ 客户端证书”,选择 “ 需”。

    本地化后的图片

  3. 创建新的身份验证证书策略,以便 Citrix 端点管理可以从安全中心提供的客 户端证书中提取用户主体名称SamAccount 到 Citrix 网关。

  4. 为证书配置文件设置以下参数:

    认证类型: CERT

    两个因素: OFF (仅用于证书身份验证)

    用户名字段:主题: CN

    组名字段: 主题名称:主体名称

    本地化后的图片

  5. 仅将证书身份验证策略绑定为 Citrix 网关虚拟服务器中的 主身份验 证。

    本地化后的图片

  6. 绑定根 CA 证书以验证呈现给 Citrix 网关的客户端证书的信任。

    本地化后的图片

为客户端证书和域身份验证手动配置 Citrix 网关

  1. 在 “ 流量管理” > “负载平衡” > “虚拟服务器” 下,转到每个虚拟服务器(443 和 8443),更新 SSL 参数,并将 “ 启用会话重用” 设置为 “ 用”。

    本地化后的图片

  2. 转到 “ 策略” > “身份验证” > “证书”,选择 “ 服务器” 选项卡,然后单击 “ 添加”。

    本地化后的图片

  3. 输入配置文件的 **名称 ,将 两个因子 设置为开,然后从 用户名字段中选择主题名称主体名称 。**

    本地化后的图片

  4. 转到 “ 策略 ” 并单击 “ 添加 ”。

    本地化后的图片

  5. 输入策略的 名称 ,从 服务器 中选择证书配置文件,将表 达式 设置为 ns_true, 然后单击 创建

    本地化后的图片

  6. 转到 虚拟服务器,选择虚拟服务器,然后单击 编辑

    本地化后的图片

  7. 身份验证旁边,单击 + 以添加证书身份验证。

    本地化后的图片

  8. 要选择身份验证方法:从 “ 选择策略” 中,选择 “ 证书”。

    本地化后的图片

  9. 从 “ 选择类型” 中,选择 “ ”。这将证书身份验证绑定为主身份验证,其优先级与 LDAP 身份验证类型相同。

    本地化后的图片

  10. 策略绑定下,单击 单击以选择以选择之前创建的证书策略。

    本地化后的图片

  11. 选择之前创建的证书策略,然后单击 “ 确定”。

    本地化后的图片

  12. 优先级 设置为 100 ,然后单击 绑定 。在后续步骤中配置 LDAP 身份验证策略时,请使用相同的优先级编号。

    本地化后的图片

  13. LDAP 策略的行上,单击 >

    本地化后的图片

  14. 选择策略,然后从 “ 编辑 ” 下拉菜单中单击 “ 编辑绑定 ”。

    本地化后的图片

  15. 输入您为证书策略指定的相同 优先级 值。单击 Bind(绑定)。

    本地化后的图片

  16. 单击关闭

    本地化后的图片

  17. 在 “ 高级” 下,单击 SSL 参数

    本地化后的图片

  18. 选中 “ 客户端身份验证 ” 复选框,从 “ 客户端证书 ” 中选择 “ 强制 ”,然后单 击 “确定 ”。

    本地化后的图片

  19. 单击完成

    本地化后的图片

思杰 ADC 证书吊销列表 (CRL)

Citrix 终端节点管理仅支持第三方证书颁发机构的证书吊销列表 (CRL)。如果您配置了 Microsoft CA,Citrix 端点管理将使用 Citrix ADC 管理吊销。配置基于客户端证书的身份验证时,请考虑是否需要配置 Citrix ADC 证书吊销列表 (CRL) 设置 “ 启用 CRL 自动刷新”。此步骤可确保处于 “仅 MAMA” 模式的设备用户无法使用设备上的现有证书进行身份验证;Citrix 端点管理会重新颁发新证书,因为它不会限制用户在吊销用户证书时生成用户证书。此设置提高了 CRL 检查过期的 PKI 实体时 PKI 实体的安全性。