Citrix Gateway

配置客户端证书身份验证

登录 Citrix Gateway 虚拟服务器的用户也可以根据提供给虚拟服务器的客户端证书属性进行身份验证。客户端证书身份验证也可以与其他身份验证类型(例如 LDAP 或 RADIUS)一起使用,以提供双重身份验证。

要根据客户端证书属性对用户进行身份验证,必须在虚拟服务器上启用客户端身份验证,并且必须请求客户端证书。必须在 Citrix Gateway 上将根证书与虚拟服务器绑定在一起。

当用户登录 Citrix Gateway 虚拟服务器时,身份验证后,将从证书的指定字段中提取用户名信息。此字段通常为 Subject:CN。如果成功提取用户名,则用户将通过身份验证。在以下情况下,身份验证失败。

  • 如果用户在安全套接字层 (SSL) 握手期间未提供有效的证书。
  • 用户名提取失败,身份验证失败。

可以通过将默认身份验证类型设置为使用客户端证书,基于客户端证书对用户进行身份验证。还可以基于客户端 SSL 证书创建一个证书操作,用于定义身份验证过程中要执行的操作。

使用 GUI 将客户端证书配置为默认身份验证类型

  1. 转到 “ 配置” > “Citrix Gateway”, 然后单击 “ 全局设置”。
  2. 在详细信息窗格中的 身份验证设置下,单击 更改身份验证证书设置
  3. 选择 以根据需要使用证书启用双重身份验证。
  4. 用户名字段中,选择包含用户名的证书字段的类型。
  5. 组名字段中,选择包含组名的证书字段的类型。
  6. 默认授权组中,键入默认组的名称,然后单击 确定

从客户端证书中提取用户名

如果在 Citrix Gateway 上启用了客户端证书身份验证,则将基于客户端证书的某些属性对用户进行身份验证。身份验证成功后,将从证书中提取用户的用户名或用户名和组名。此外,还会应用为该用户指定的策略。

配置客户端证书身份验证