作为 EPA 组件的设备证书

设备证书可以在 nFate 中配置为 EPA 组件。设备证书可以作为 EPA 的一部分显示为任何因素。

以下是在 nFate 中配置设备证书作为 EPA 组件的好处。

  • 设备证书验证失败不会导致登录失败。根据配置,登录可以继续,用户可以被放置在具有有限访问权限的组中。

  • 由于设备证书检查是策略驱动的,因此您可以根据设备证书身份验证选择性地允许或阻止对企业 Intranet 资源的访问。例如,设备证书身份验证可用于仅在企业托管的笔记本电脑上提供对 Office 365 应用程序的条件访问。

设备证书验证不能作为定期 EPA 扫描的一部分。

在 nFactor 中配置设备证书作为 EPA 组件

要使用命令行界面将 nFate 中的设备证书配置为 EPA 组件,请在命令提示符处键入:

add authentication epaAction epa-act -csecexpr sys.client_expr("device-cert_0_0") -defaultgroup epa_pass -quarantine_group epa_fail

若要使用 Citrix ADC GUI 将 nFate 中的设备证书配置为 VPN 虚拟服务器的 EPA 组件,请执行以下操作:

  1. 在 NetScaler GUI 中,导航到 配置 > 思杰网关 > 虚拟服务器
  2. Citrix 网关虚拟服务器 页面上,选择要修改的虚拟服务器,然后单击 编辑
  3. VPN 虚拟服务器 页面上,单击编辑图标。

    本地化后的图片

  4. 点击 更多

    本地化后的图片

  5. 单击 “设备证书 CA” 部分旁的 “ 添加 ”,然后单击 “确定”。

    本地化后的图片

    请勿选中 “启用设备证书” 复选框。启用它可以在经典 EPA 中进行设备证书验证。

  6. 在 NetScaler GUI 中,导航到 配置 > 安全 > AAA-应用程序流量 > 策略 > 身份验证 > 高级策略 > 操作 > EPA>

  7. 身份验证 EPA 操 作页上,单击 添加 。您可以点击 编辑以编 辑现有的 EPA 操作。

  8. 在 “ 创建身份验证 EPA 操 作” 页面上,提供创建身份验证 EPA 操作所需字段的值,然后单击 EPA 编辑器 链接。

  9. 从 “ 表达式编辑器 ” 下拉菜单中选择 “公 ”。

    本地化后的图片

  10. 从随后出现的下拉菜单中选择 “ 设备证书 ”,然后单击 “ 成” 以完成配置。

    本地化后的图片

要使用 Citrix ADC GUI 将 nFirate 中的设备证书配置为 AAA 虚拟服务器的 EPA 组件,请执行以下操作:

  1. 在 Citrix DC GUI 中,导航到 安全 > AAA 应用程序流量 > 虚拟服务器

  2. Citrix 网关虚拟服务器 页面上,选择要修改的虚拟服务器,然后单击编辑。

  3. 身份验证虚拟服务器 页面上,单击编辑图标。

    本地化后的图片

  4. 点击 更多

    本地化后的图片

  5. 单击 设备证书 CA” 部分旁边的 “添加”。

    本地化后的图片

  6. 选择要添加的证书,然后单 击 “确定 ” 完成配置。

    本地化后的图片

  7. 重复上 一节中列出的步骤 6 到步骤 10 以完成配置。

作为 EPA 组件的设备证书