Citrix Gateway

配置客户端证书或客户端证书和域验证

在使用 Citrix ADC 仅证书身份验证或证书加域身份验证时,可以使用适用于 Citrix Endpoint Management 的 Citrix ADC 执行 Citrix 端点管理所需的配置。您只能运行适用于 Citrix Endpoint Management 的 Citrix ADC 向导一次。有关使用向导的信息,请参阅 为 Citrix Endpoint Management 环境配置设置。

如果您已经使用过向导,请使用本文中的说明了解客户端证书身份验证或客户端证书加域身份验证所需的其他配置。

要确保处于仅 MAM 模式的设备的用户无法使用设备上的现有证书进行身份验证,请参阅本文后面的 “Citrix ADC 证书吊销列表 (CRL)”。

使用 GUI 配置 Citrix Gateway 以进行客户端证书身份验证

  1. 导航到流量管理 > 负载平衡 > 虚拟服务器
  2. 选择 SSL 类型的虚拟服务器,然后在 “SSL参数” 部分中将 “启用会话重用” 设置为已禁用。

    SSL 参数页

  3. 导航到 Citrix Gateway > 虚拟服务器
  4. 选择 SSL类型的虚拟服务器,然后单击 编辑
  5. SSL 参数 部分中,单击编辑图标。
  6. 选择 客户端身份验 证,在 客户端证书中,选择 强制

    SSL 参数详细信息

  7. 创建身份验证证书策略,以便 Citrix Endpoint Management 可以从 Secure Hub 提供给 Citrix Gateway 的客 户端证书中提取用户主体名称SAMAccount

  8. 导航到 Citrix Gateway > 策略 > 身份验证 > CERT

  9. 单击 配置 式选项卡,然后单击 添加

  10. 为证书配置文件设置以下参数:

    身份验证类型:CERT

    两个因素: OFF (仅用于证书身份验证)

    用户名字段:主题: CN

    组名称字段:SubjectAltName:PrincipalName

    资料详情

  11. 在 Citrix Gateway 虚拟服务器中,仅将证书身份验证策略绑定为 主身份验 证。

    绑定策略

  12. 绑定根 CA 证书以验证提供给 Citrix Gateway 的客户端证书的信任度。

使用 GUI 为 Citrix Gateway 配置客户端证书和域身份验证

  1. 导航到流量管理 > 负载平衡 > 虚拟服务器
  2. 选择 SSL 类型的虚拟服务器,然后在 “SSL参数” 部分中将 “启用会话重用” 设置为已禁用。

    SSL 参数页

  3. 转到 Citrix Gateway > 策略 > 身份验证 > 证书

  4. 单击 配置文件 选项卡,单击 添加

    单击以添加证书服务器

  5. 输入配置文件的 名称 ,将 双因素 设置为 ,然后从 用户名字段中选择 SubjectNamePrincipalName

    证书服务器详情

  6. 单击 策略 选项卡,然后单击 添加

  7. 输入策略的 名称 ,从 服务器 中选择证书配置文件,设置表 达式 ,然后单击 创建

    输入表达式

  8. 转到 虚拟服务器,选择 SSL类型的虚拟服务器,然后单击 编辑

  9. 身份验证旁边,单击 + 添加证书身份验证。

  10. 要选择身份验证方法,请在 选择策略中选择 证书,然后在 选择类型 中选择 。这将证书身份验证绑定为主要身份验证,其优先级与 LDAP 身份验证类型相同。

    主身份验证类型

  11. 策略绑定下,单击 单击以选择 以选择之前创建的证书策略。

  12. 选择之前创建的证书策略,然后单击 确定

  13. 优先级 设置为 100 ,然后单击 绑定。在后续步骤中配置 LDAP 身份验证策略时,请使用相同的优先级编号。

    选择优先级

  14. LDAP 策略所在行中,单击 **

  15. 选择策略,然后从 编辑 下拉菜单中单击 编辑绑定

  16. 输入与为证书策略指定的相同 优先级 值。单击 Bind(绑定)。

    输入相同的优先级

  17. 单击 “ 关闭”。

    绑定完成

  18. 单击 SSL 参数 部分中的编辑图标。

  19. 选中 客户端身份验证 复选框,然后在 客户端证书 中选择 强制,然后单击 确定

    强制使用客户端证书

  20. 单击完成

    配置完成

Citrix ADC 证书吊销列表 (CRL)

Citrix Endpoint Management 仅支持第三方证书颁发机构的证书吊销列表 (CRL)。如果您配置了微软 CA,Citrix Endpoint Management 将使用 Citrix ADC 来管理吊销。配置基于客户端证书的身份验证时,请考虑是否需要配置 Citrix ADC 证书吊销列表 (CRL) 设置 Enable CRL Auto Refresh(启用 CRL 自动刷新)。此步骤可确保处于仅 MAM 模式的设备的用户无法使用设备上的现有证书进行身份验证。Citrix Endpoint Management 会重新颁发新证书,因为它不会限制用户在吊销用户证书时生成用户证书。此设置提高了 CRL 检查过期的 PKI 实体时 PKI 实体的安全性。

配置客户端证书或客户端证书和域验证