Citrix Gateway

nFactor 中的设备证书作为 EPA 组件

设备证书可以在 nFactor 中配置为 EPA 组件。设备证书可以作为 EPA 的一部分显示为任何因素。

以下是在 nFactor 中配置设备证书作为 EPA 组件的好处。

  • 设备证书验证失败不会导致登录失败。根据配置,登录可以继续,用户可以被放置在具有有限访问权限的组中。

  • 由于设备证书检查是策略驱动的,因此您可以根据设备证书身份验证选择性地允许或阻止对企业 Intranet 资源的访问。例如,设备证书身份验证可用于仅在企业托管的笔记本电脑上提供对 Office 365 应用程序的条件访问。

设备证书验证不能作为定期 EPA 扫描的一部分。

重要提示: 默认情况下,Windows 授权访问设备证书的管理员权限。要为非管理员用户添加设备证书检查,您必须在设备上安装与 EPA 插件版本相同的 VPN 插件。

在 nFactor 中配置设备证书作为 EPA 组件

要使用命令行界面将 nFactor 中的设备证书配置为 EPA 组件,请在命令提示符处键入:

add authentication epaAction epa-act -csecexpr sys.client_expr("device-cert_0_0") -defaultgroup epa_pass -quarantine_group epa_fail

<!--NeedCopy-->

若要使用 Citrix ADC GUI 将 nFactor 中的设备证书配置为 VPN 虚拟服务器的 EPA 组件,请执行以下操作:

  1. 在 NetScaler GUI 中,导航到配置 > Citrix Gateway > 虚拟服务器
  2. Citrix Gateway 虚拟服务器 页面上,选择要修改的虚拟服务器,然后单击 编辑
  3. VPN 虚拟服务器 页面上,单击编辑图标。

    本地化后的图片

  4. 点击 更多

    本地化后的图片

  5. 单击“设备证书 CA”部分旁的“添加”,然后单击“确定”。

    本地化后的图片

    不要选中“启用设备证书”复选框。启用它可以在经典 EPA 中进行设备证书验证。

  6. 在 NetScaler GUI 中,导航到配置 > 安全 > AAA-应用程序流量 > 策略 > 身份验证 > 高级策略 > 操作 > EPA>

  7. 身份验证 EPA 操作页上,单击添加。您可以单击编辑以编辑现有 EPA 操作。

  8. 在“创建身份验证 EPA 操作”页面上,提供创建身份验证 EPA 操作所需字段的值,然后单击 EPA 编辑器链接。

  9. 从“表达式编辑器”列表 中选择“公 ”。

    本地化后的图片

  10. 从显示的后续列表中选择“设备证书”,然后单击“ 成”以完成配置。

    本地化后的图片

要使用 Citrix ADC GUI 将 nFactor 中的设备证书配置为 AAA 虚拟服务器的 EPA 组件,请执行以下操作:

  1. 在 Citrix DC GUI 中,导航到 安全 > AAA 应用程序流量 > 虚拟服务器

  2. Citrix Gateway 虚拟服务器 页面上,选择要修改的虚拟服务器,然后单击编辑。

  3. 在“身份验证虚拟服务器”页上,单击“编辑”图标。

    本地化后的图片

  4. 点击 更多

    本地化后的图片

  5. 单击“**设备证书 CA”部分旁边的**“添加”。

    本地化后的图片

  6. 选择要添加的证书,然后单 击“确定”完成配置。

    本地化后的图片

  7. 重复上 一节中列出的步骤 6 到步骤 10 以完成配置。

nFactor 中的设备证书作为 EPA 组件