产品文档
Secure Hub
查看 PDF

Citrix Secure Hub™

May 6, 2026
投稿者: 
C C

Citrix Secure Hub 是 Citrix Endpoint Management™(以前称为 XenMobile)体验的启动板。用户在 Secure Hub 中注册其设备以访问应用商店。通过应用商店,他们可以添加 Citrix 开发的移动生产力应用程序和第三方应用程序。

有关 Secure Hub 和其他移动生产力应用程序的系统要求,请参阅系统要求

管理 Secure Hub

您在 Endpoint Management 的初始配置期间执行与 Secure Hub 相关的大多数管理任务。要使 Secure Hub 可供 iOS 和 Android 用户使用,请将 Secure Hub 上载到 iOS App Store 和 Google Play Store。

除了为 Citrix 应用程序提供门户之外,当用户在通过 Citrix Gateway 身份验证后续订其 Citrix Gateway 会话时,Secure Hub 还会刷新 Endpoint Management 中存储的已安装应用程序的大多数 MDX 策略。

重要提示:

更改以下任何策略都需要用户删除并重新安装应用程序才能应用更新的策略:安全组、启用加密和 Secure Mail Exchange Server。

Citrix PIN

  • 您可以将 Secure Hub 配置为使用 Citrix PIN,这是一项在 Endpoint Management 控制台的 “设置” > “客户端属性” 中启用的安全功能。此设置要求已注册的移动设备用户登录 Secure Hub 并使用个人识别码 (PIN) 激活任何 MDX 封装的应用程序。

Citrix PIN 功能简化了用户登录安全封装应用程序时的身份验证体验。用户无需重复输入其他凭据,例如其 Active Directory 用户名和密码。

  • 首次登录 Secure Hub 的用户必须输入其 Active Directory 用户名和密码。登录期间,Secure Hub 会在用户设备上保存 Active Directory 凭据或客户端证书,然后提示用户输入 PIN。当用户再次登录时,他们输入 PIN 即可安全地访问其 Citrix 应用程序和应用商店,直到活动用户会话的下一个空闲超时期限结束。相关的客户端属性使您能够使用 PIN 加密机密、指定 PIN 的密码类型以及指定 PIN 强度和长度要求。有关详细信息,请参阅客户端属性

  • 启用指纹身份验证后,当由于应用程序不活动而需要脱机身份验证时,用户可以使用指纹登录。用户在首次登录 Secure Hub、重新启动设备以及不活动计时器到期后仍必须输入 PIN。有关启用指纹身份验证的信息,请参阅指纹或触控 ID 身份验证

  • 证书锁定

  • 适用于 iOS 和 Android 的 Secure Hub 支持 SSL 证书锁定。此功能可确保当 Citrix 客户端与 Endpoint Management 通信时,使用由您的企业签名的证书。当设备上安装的根证书危及 SSL 会话时,证书锁定可防止客户端与 Endpoint Management 建立连接。当 Secure Hub 检测到服务器公钥的任何更改时,Secure Hub 会拒绝连接。

  • 自 Android N 起,操作系统不再允许用户添加的证书颁发机构 (CA)。Citrix 建议使用公共根 CA 来代替用户添加的 CA。

升级到 Android N 的用户如果使用私有或自签名 CA,可能会遇到问题。在以下情况下,Android N 设备上的连接会中断:

  • 私有/自签名 CA,并且 AutoDiscovery Service 中的 Endpoint Management 所需的受信任 CA 选项设置为 ON。有关详细信息,请参阅 Endpoint Management AutoDiscovery Service
  • 私有/自签名 CA,并且 AutoDiscovery Service (ADS) 不可访问。出于安全考虑,当 ADS 不可访问时,即使最初设置为 OFF,所需的受信任 CA 也会变为 ON

在注册设备或升级 Secure Hub 之前,请考虑启用证书锁定。此选项默认情况下为 Off,并由 Endpoint Management Auto Discovery Service (ADS) 管理。启用证书锁定后,用户无法使用自签名证书注册到 Endpoint Management。如果用户尝试使用自签名证书注册,他们将收到证书不受信任的警告。如果用户不接受证书,则注册失败。

要使用证书锁定,请请求 Citrix 将证书上载到 Citrix ADS 服务器。使用 Citrix 支持门户 打开技术支持案例。然后,提供以下信息:

  • 包含用户将注册的帐户的域。
  • Endpoint Management 完全限定域名 (FQDN)。
  • Endpoint Management 实例名称。默认情况下,实例名称为 zdm,并且区分大小写。
  • 用户 ID 类型,可以是 UPN 或 Email。默认情况下,类型为 UPN。
  • 如果将 iOS 注册的端口号从默认端口 8443 更改,则为该端口。
  • 如果将 Endpoint Management 接受连接的端口号从默认端口 443 更改,则为该端口。
  • 您的 Citrix Gateway 的完整 URL。
  • 可选:您的 Endpoint Management 管理员的电子邮件地址。
  • 要添加到域的 PEM 格式证书。

为 Secure Hub 配置证书 + 一次性密码身份验证

您可以配置 Citrix ADC,以便 Secure Hub 使用证书加用作一次性密码的安全令牌进行身份验证。此配置提供了一个强大的安全选项,不会在设备上留下 Active Directory 痕迹。

要使 Secure Hub 能够使用此类型的身份验证,请在 Citrix ADC 中添加一个重写操作和重写策略,以插入形式为 X-Citrix-AM-GatewayAuthType: CertAndRSA 的自定义响应标头,以指示 Citrix Gateway 登录类型。

通常,Secure Hub 使用在 Endpoint Management 控制台中配置的 Citrix Gateway 登录类型。但是,在 Secure Hub 首次完成登录之前,此信息对 Secure Hub 不可用。因此,需要自定义标头才能允许 Secure Hub 执行此操作。

注意:

如果在 Endpoint Management 和 Citrix ADC 中设置了不同的登录类型,则 Citrix ADC 配置将覆盖该配置。有关详细信息,请参阅Citrix Gateway 和 Endpoint Management

  1. 在 Citrix ADC 中,导航到 Configuration > AppExpert > Rewrite > Actions

  2. 单击 Add

    此时将显示 Create Rewrite Action 屏幕。

  3. 按照下图所示填写每个字段,然后单击 Create

    创建重写操作屏幕的图像

  • 以下结果将显示在主 Rewrite Actions 屏幕上。

    重写操作屏幕结果的图像

  1. 将重写操作作为重写策略绑定到虚拟服务器。转到 Configuration(配置)> NetScaler® Gateway > Virtual Servers(虚拟服务器),然后选择您的虚拟服务器。

    虚拟服务器屏幕的图像

  2. 单击 Edit(编辑)

  3. Virtual Servers configuration(虚拟服务器配置) 屏幕上,向下滚动到 Policies(策略)

    1. 单击 + 以添加策略。

    添加策略选项的图像

    1. Choose Policy(选择策略) 字段中,选择 Rewrite(重写)

  1. Choose Type(选择类型) 字段中,选择 Response(响应)

    响应选项的图像

  2. 单击 Continue(继续)

    Policy Binding(策略绑定) 部分展开。

    策略绑定部分的图像

  3. 单击 Select Policy(选择策略)

    随即显示一个包含可用策略的屏幕。

  • 可用策略的图像

  1. 单击您刚刚创建的策略行,然后单击 Select(选择)Policy Binding(策略绑定) 屏幕再次出现,其中已填入您选择的策略。

    所选策略的图像

  2. 单击 Bind(绑定)

    如果绑定成功,将显示主配置屏幕,其中显示已完成的重写策略。

    成功绑定的图像

  3. 要查看策略详细信息,请单击 Rewrite Policy(重写策略)

    重写策略详细信息的图像

Android 设备 ADS 连接的端口要求

端口配置可确保从 Secure Hub 连接的 Android 设备可以从公司网络内部访问 Citrix ADS。在下载通过 ADS 提供的安全更新时,访问 ADS 的能力非常重要。ADS 连接可能与您的代理服务器不兼容。在这种情况下,允许 ADS 连接绕过代理服务器。

重要提示:

适用于 Android 和 iOS 的 Secure Hub 要求您允许 Android 设备访问 ADS。有关详细信息,请参阅 Endpoint Management 文档中的端口要求。请注意,此通信通过出站端口 443 进行。您的现有环境很可能设计为允许此访问。强烈建议无法保证此通信的客户不要升级到 Secure Hub 10.2。如果您有任何疑问,请联系 Citrix 支持。

要启用证书锁定,您必须完成以下先决条件:

  • 收集 Endpoint Management 和 Citrix ADC 证书。证书必须采用 PEM 格式,并且必须是公共证书,而不是私钥。
  • 联系 Citrix 支持并提出启用证书锁定的请求。在此过程中,系统会要求您提供证书。

新的证书锁定改进要求设备在注册之前连接到 ADS。这可确保 Secure Hub 能够获取设备注册所在环境的最新安全信息。如果设备无法访问 ADS,Secure Hub 将不允许设备注册。因此,在内部网络中开放 ADS 访问对于启用设备注册至关重要。

要允许 Secure Hub for Android 访问 ADS,请为以下 IP 地址和 FQDN 打开端口 443:

FQDN IP 地址 端口 IP 和端口用法
discovery.mdm.zenprise.com 52.5.138.94 443 Secure Hub - ADS 通信
discovery.mdm.zenprise.com 52.1.30.122 443 Secure Hub - ADS 通信
ads.xm.cloud.com:请注意,SecureHub 10.6.15 及更高版本使用 ads.xm.cloud.com 34.194.83.188 443 Secure Hub - ADS 通信
ads.xm.cloud.com:请注意,SecureHub 10.6.15 及更高版本使用 ads.xm.cloud.com 34.193.202.23 443 Secure Hub - ADS 通信

如果启用了证书锁定:

  • Secure Hub 在设备注册期间锁定您的企业证书。

  • 在升级期间,Secure Hub 会丢弃任何当前锁定的证书,然后在已注册用户首次连接时锁定服务器证书。

    备注:

    如果您在升级后启用证书锁定,用户必须重新注册。

  • 只要证书公钥未更改,证书续订就不需要重新注册。

证书锁定支持叶证书,不支持中间证书或颁发者证书。证书锁定适用于 Citrix 服务器(例如 Endpoint Management 和 Citrix Gateway),而不适用于第三方服务器。

Secure Hub 功能

Secure Hub 允许您监视和实施移动策略,同时提供对应用商店和实时支持的访问。用户首先从 Apple、Android 或 Windows 应用商店将 Secure Hub 下载到其设备上。

Secure Hub 打开后,用户输入其公司提供的凭据以将其设备注册到 Secure Hub。有关设备注册的更多详细信息,请参阅用户、帐户、角色和注册

在 Android 版 Secure Hub 上,在首次安装和注册期间,将显示以下消息:允许 Secure Hub 访问您设备上的照片、媒体和文件吗?

请注意,此消息来自 Android 操作系统,而非 Citrix。当您点击允许时,Citrix 和管理 Secure Hub 的管理员在任何时候都不会查看您的个人数据。但是,如果您与管理员进行远程支持会话,管理员可以在会话中查看您的个人文件。

注册后,用户将在其我的应用选项卡中看到您推送的任何应用和桌面。用户可以从应用商店添加更多应用。在手机上,应用商店链接位于左上角的“设置”汉堡包图标下。

应用商店链接的图像

在平板电脑上,应用商店是一个单独的选项卡。

平板电脑上应用商店的图像

当运行 iOS 9 或更高版本的 iPhone 用户从 Endpoint Management 应用商店安装移动生产力应用时,他们会看到一条消息,指出企业开发者 Citrix 在该 iPhone 上不受信任,并且在开发者受信任之前,该应用将无法使用。当此消息出现时,Secure Hub 会提示用户查看一份指南,指导他们完成信任其 iPhone 上的 Citrix 企业应用的过程。

对于仅限 MAM 的部署,您可以配置 Endpoint Management,以便使用电子邮件凭据注册 Secure Hub 的 Android 或 iOS 设备用户自动注册 Secure Mail。用户无需输入更多信息或执行更多步骤即可注册 Secure Mail。

首次使用 Secure Mail 时,Secure Mail 会从 Secure Hub 获取用户的电子邮件地址、域和用户 ID。Secure Mail 使用电子邮件地址进行自动发现。Exchange 服务器通过域和用户 ID 进行识别,这使得 Secure Mail 能够自动验证用户。如果策略设置为不传递密码,系统会提示用户输入密码,但用户无需输入任何其他信息。

要启用此功能,请创建三个属性:

  • 服务器属性 MAM_MACRO_SUPPORT。有关说明,请参阅服务器属性
  • 客户端属性 ENABLE_CREDENTIAL_STORE 和 SEND_LDAP_ATTRIBUTES。有关说明,请参阅客户端属性

如果您想自定义应用商店,请转到设置 > 客户端品牌以更改名称、添加徽标并指定应用的显示方式。

客户端品牌图像

您可以在 Endpoint Management 控制台中编辑应用描述。点击配置,然后点击应用。从表格中选择应用,然后点击编辑。选择您正在编辑描述的应用平台,然后在描述框中键入文本。

描述框的图像

在应用商店中,用户只能浏览您在 Endpoint Management 中配置和保护的应用和桌面。要添加应用,用户点击详细信息,然后点击添加

Secure Hub 还为用户提供了多种获取帮助的方式。在平板电脑上,点击右上角的问号会打开帮助选项。在手机上,用户点击左上角的汉堡包菜单图标,然后点击帮助

帮助屏幕的图像

您的 IT 部门显示您公司帮助台的电话和电子邮件,用户可以直接从应用访问。您可以在 Endpoint Management 控制台中输入电话号码和电子邮件地址。点击右上角的齿轮图标。将显示设置页面。点击更多,然后点击客户端支持。将显示输入信息的屏幕。

客户端支持屏幕的图像

报告问题显示应用列表。用户选择出现问题的应用。Secure Hub 会自动生成日志,然后在 Secure Mail 中打开一条消息,其中包含作为 zip 文件附件的日志。用户添加主题行和问题描述。他们还可以附加屏幕截图。

向 Citrix 发送反馈在 Secure Mail 中打开一条消息,其中已填写 Citrix 支持地址。在消息正文中,用户可以输入改进 Secure Mail 的建议。如果设备上未安装 Secure Mail,则会打开本机邮件程序。

用户还可以点击Citrix 支持,这将打开 Citrix 知识中心。在那里,他们可以搜索所有 Citrix 产品的支持文章。

首选项中,用户可以找到有关其帐户和设备的信息。

Secure Hub 还提供地理位置和地理跟踪策略,例如,如果您想确保公司拥有的设备不超出某个地理范围。有关详细信息,请参阅位置设备策略。此外,Secure Hub 会自动收集和分析故障信息,以便您了解导致特定故障的原因。此功能由 Crashlytics 软件支持。

Citrix Secure Hub™
May 6, 2026
投稿者: 
C C
May 6, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.