Citrix Gateway

nFactor 中的设备证书作为 EPA 组件

重要:

端点分析旨在根据预先确定的合规性标准分析用户设备,并不强制或验证最终用户设备的安全性。建议使用端点安全系统来保护设备免受本地管理员攻击。

可以在 nFactor 中将设备证书配置为 EPA 组件。设备证书可以作为 EPA 的一部分显示为任何因素。

以下是在 nFactor 中将设备证书配置为 EPA 组件的好处。

  • 设备证书验证失败不会导致登录失败。根据配置,可以继续登录,并且可以将用户置于访问受限的组下。

  • 由于设备证书检查是策略驱动的,因此您可以根据设备证书身份验证有选择地允许或阻止对公司内部网资源的访问。例如,设备证书身份验证可用于仅在公司托管的笔记本电脑上提供对 Office 365 应用程序的条件访问。

设备证书验证不能成为定期 EPA 扫描的一部分。

重要:

  • 默认情况下,Windows 要求管理员权限才能访问设备证书。要为非管理员用户添加设备证书检查,必须在设备上安装与 EPA 插件版本相同的 VPN 插件。
  • 您可以向网关添加多个 CA 证书并验证设备证书。
  • 如果在客户端计算机上安装两个或更多设备证书,则用户必须在登录 Citrix Gateway 时或端点分析扫描运行之前选择正确的证书。
  • 创建设备证书时,它必须是 X.509 证书。
  • 如果您有中间 CA 颁发的设备证书,则必须同时绑定中间 CA 证书和根 CA 证书。
  • 您还必须将 CA 证书绑定到 VPN 虚拟服务器。

将 nFactor 中的设备证书配置为 EPA 组件

要使用 CLI 将 nFactor 中的设备证书配置为 EPA 组件,请执行以下操作:

在命令提示窗口中,键入:

add authentication epaAction epa-act -csecexpr sys.client_expr("device-cert_0_0") -defaultgroup epa_pass -quarantine_group epa_fail

<!--NeedCopy-->

要使用 GUI 将 nFactor 中的设备证书配置为 VPN 虚拟服务器的 EPA 组件,请执行以下操作:

  1. 在 Citrix ADC GUI 中,导航到 配置 > Citrix Gateway > 虚拟服务器
  2. Citrix Gateway 虚拟服务器页面上,选择要修改的虚拟服务器,然后单击编辑
  3. VPN 虚拟服务器 页面上,单击编辑图标。

    VPN 虚拟服务器页面

  4. 单击 More(更多)。

  5. 单击“设备证书的 CA”部分旁边的添加,然后单击“确定”。

    点击添加

    注意:请

    勿选中 启用设备证书 复选框。启用它将启用经典 EPA 中的设备证书验证。

  6. 在 Citrix ADC GUI 中,导航到 配置 > 安全 > AAA — 应用程序流量 > 策略 > 身份验证 > 高级策略 > 操作 > EPA

  7. 身份验证 EPA 操作 页面上,单击 添加。您可以单击 编辑 以编辑现有的 EPA 操作。

  8. 创建身份验证 EPA 操作 页面上,为创建身份验证 EPA 操作的必填字段提供值,然后单击 EPA 编辑器 链接。

  9. 表达式编辑器 菜单中选择“公

    选择普通

  10. 从随后出现的菜单中选择 设备证书 ,然后单击 完成 以完成配置。

    选择设备证书

要使用 GUI 将 nFactor 中的设备证书配置为 Citrix ADC AAA 虚拟服务器的 EPA 组件,请执行以下操作:

  1. 在 Citrix ADC GUI 中,导航到 安全 > AAA 应用程序流量 > 虚拟服务器

  2. Citrix Gateway 虚拟服务器 页面上,选择要修改的虚拟服务器,然后单击编辑。

  3. 身份验证虚拟服务器 页面上,单击编辑图标。
  4. 单击 More(更多)。

  5. 单击 设备证书 CA 部分旁边的添加

    单击“添加”

  6. 选择要添加的证书,然后单击 确定 以完成配置。

    选择设备证书

  7. 重复 步骤 6 到步骤 10 以完成配置。

引用

nFactor 中的设备证书作为 EPA 组件