产品文档
移动生产力应用程序
查看 PDF

Citrix Secure Hub™

May 6, 2026
投稿者: 
C C

Citrix Secure Hub 是 Citrix Endpoint Management™(以前称为 XenMobile)体验的启动板。用户在 Secure Hub 中注册其设备以访问应用商店。通过应用商店,他们可以添加 Citrix 开发的移动生产力应用程序和第三方应用程序。

有关 Secure Hub 和其他移动生产力应用程序的系统要求,请参阅系统要求

管理 Secure Hub

您在 Endpoint Management 的初始配置期间执行与 Secure Hub 相关的大多数管理任务。要使 Secure Hub 可供 iOS 和 Android 用户使用,请将 Secure Hub 上载到 iOS App Store 和 Google Play Store。

当用户通过 Citrix Gateway 身份验证后,其 Citrix Gateway 会话续订时,Secure Hub 会刷新 Endpoint Management 中存储的已安装应用程序的大多数 MDX 策略。

重要提示:

对以下任何策略的更改都要求用户删除并重新安装应用程序以应用更新的策略:安全组、启用加密和 Secure Mail Exchange Server。

Citrix PIN

  • 您可以将 Secure Hub 配置为使用 Citrix PIN,这是一项在 Endpoint Management 控制台的 “设置” > “客户端属性” 中启用的安全功能。此设置要求已注册的移动设备用户登录 Secure Hub 并使用个人识别码 (PIN) 激活任何 MDX 封装的应用程序。

Citrix PIN 功能简化了用户登录安全封装应用程序时的身份验证体验。用户无需重复输入其他凭据,例如其 Active Directory 用户名和密码。

  • 首次登录 Secure Hub 的用户必须输入其 Active Directory 用户名和密码。登录期间,Secure Hub 会在用户设备上保存 Active Directory 凭据或客户端证书,然后提示用户输入 PIN。当用户再次登录时,他们输入 PIN 即可安全访问其 Citrix 应用程序和应用商店。他们直到活动用户会话的下一个空闲超时期限结束时才再次使用 PIN。相关的客户端属性使您能够使用 PIN 加密机密、指定 PIN 的密码类型以及指定 PIN 强度和长度要求。有关详细信息,请参阅客户端属性

  • 启用指纹(触控 ID)身份验证后,当由于应用程序不活动而需要脱机身份验证时,用户可以使用指纹登录。首次登录 Secure Hub、重新启动设备以及不活动计时器到期后,用户仍然必须输入 PIN。有关启用指纹身份验证的信息,请参阅指纹或触控 ID 身份验证

  • 证书锁定

  • 适用于 iOS 和 Android 的 Secure Hub 支持 SSL 证书锁定。此功能可确保当 Citrix 客户端与 Endpoint Management 通信时,使用由您的企业签名的证书。当设备上安装的根证书危及 SSL 会话时,证书锁定可阻止客户端与 Endpoint Management 建立连接。当 Secure Hub 检测到服务器公钥的任何更改时,Secure Hub 会拒绝连接。

  • 从 Android N 开始,操作系统不再允许用户添加的证书颁发机构 (CA)。Citrix 建议使用公共根 CA 来代替用户添加的证书颁发机构。

如果用户使用私有或自签名 CA,则升级到 Android N 的用户可能会遇到问题。在以下情况下,Android N 设备上的连接会中断:

  • 私有/自签名 CA,并且 AutoDiscovery Service 中的 Endpoint Management 的“所需受信任 CA”选项设置为 ON。有关详细信息,请参阅Endpoint Management AutoDiscovery Service
  • 私有/自签名 CA,并且 Endpoint Management AutoDiscovery Service (ADS) 不可访问。出于安全考虑,当 ADS 不可访问时,“所需受信任 CA”将变为 ON,即使其最初设置为 OFF 也是如此。

在注册设备或升级 Secure Hub 之前,请考虑启用证书锁定。此选项默认处于 Off 状态。启用证书锁定后,用户无法使用自签名证书在 Endpoint Management 中注册。如果用户尝试使用自签名证书注册,系统会警告他们该证书不受信任。如果用户不接受该证书,则注册将失败。

要使用证书锁定,请请求 Citrix 将证书上载到 Citrix ADS 服务器。使用 Citrix 支持门户 打开技术支持案例。然后,提供以下信息:

  • 包含用户注册所用帐户的域。
  • Endpoint Management 完全限定域名 (FQDN)。
  • Endpoint Management 实例名称。默认情况下,实例名称为 zdm 且区分大小写。
  • 用户 ID 类型,可以是 UPN 或电子邮件。默认情况下,类型为 UPN。
  • 如果您将端口号从默认端口 8443 更改,则用于 iOS 注册的端口。
  • 如果您将端口号从默认端口 443 更改,则 Endpoint Management 接受连接的端口。
  • 您的 Citrix Gateway 的完整 URL。
  • 可选:您的 Endpoint Management 管理员的电子邮件地址。
  • 您要添加到域的 PEM 格式证书。

证书 + 一次性密码身份验证

您可以配置 Citrix ADC,以便 Secure Hub 使用证书加用作一次性密码的安全令牌进行身份验证。此配置提供了一个强大的安全选项,不会在设备上留下 Active Directory 足迹。

要使 Secure Hub 能够使用此类型的身份验证,请在 Citrix ADC 中添加一个重写操作和重写策略,该操作和策略会插入一个格式为 X-Citrix-AM-GatewayAuthType: CertAndRSA 的自定义响应标头,以指示 Citrix Gateway 登录类型。

通常,Secure Hub 使用在 Endpoint Management 控制台中配置的 Citrix Gateway 登录类型。但是,此信息在 Secure Hub 首次完成登录之前不可用。需要自定义标头才能允许 Secure Hub 执行此登录方法。

注意:

如果在 Endpoint Management 和 Citrix ADC 中设置了不同的登录类型,则 Citrix ADC 配置将覆盖该配置。有关详细信息,请参阅Citrix Gateway 和 Endpoint Management

  1. 在 Citrix ADC 中,导航到 “Configuration(配置)” > “AppExpert” > “Rewrite(重写)” > “Actions(操作)”

  2. 单击 “Add(添加)”

    此时将显示 “Create Rewrite Action(创建重写操作)” 屏幕。

  3. 填写以下图所示的每个字段,然后单击 “Create(创建)”

    Create Rewrite Action(创建重写操作)屏幕的图像

  • 以下结果将显示在主 “Rewrite Actions(重写操作)” 屏幕上。

    Rewrite Actions(重写操作)屏幕结果的图像

  1. 将重写操作作为重写策略绑定到虚拟服务器。转至 “Configuration(配置)” > “NetScaler® Gateway” > “Virtual Servers(虚拟服务器)”,然后选择您的虚拟服务器。

    Virtual Servers(虚拟服务器)屏幕的图像

  2. 单击“编辑”。

  3. 在“虚拟服务器配置”屏幕上,向下滚动到“策略”。

    1. 单击“+”以添加策略。

    添加策略选项的图像

    1. 在“选择策略”字段中,选择“重写”。

  1. 在“选择类型”字段中,选择“响应”。

    响应选项的图像

  2. 单击“继续”。

    策略绑定”部分展开。

    策略绑定部分的图像

  3. 单击“选择策略”。

    将显示一个包含可用策略的屏幕。

  • 可用策略的图像

  1. 单击您创建的策略行,然后单击“选择”。“策略绑定”屏幕再次出现,其中填充了您选择的策略。

    所选策略的图像

  2. 单击“绑定”。

    如果绑定成功,将显示主配置屏幕,其中显示已完成的重写策略。

    成功绑定的图像

  3. 要查看策略详细信息,请单击“重写策略”。

    重写策略详细信息的图像

Android 设备连接 ADS 的端口要求

端口配置可确保从 Secure Hub 连接的 Android 设备可以从公司网络内部访问 Endpoint Management 自动发现服务 (ADS)。在下载通过 ADS 提供的安全更新时,访问 ADS 的能力非常重要。ADS 连接可能与您的代理服务器不兼容。在这种情况下,请允许 ADS 连接绕过代理服务器。

重要提示:

适用于 Android 和 iOS 的 Secure Hub 要求您允许 Android 设备访问 ADS。有关详细信息,请参阅 Endpoint Management 文档中的端口要求。此通信通过出站端口 443 进行。您的现有环境很可能已设计为允许此访问。不保证此通信的客户不建议升级到 Secure Hub 10.2。如果您有任何疑问,请联系 Citrix 支持。

先决条件

  • 收集 Endpoint Management 和 Citrix ADC 证书。证书必须采用 PEM 格式,并且必须是公共证书,而不是私钥。
  • 联系 Citrix 支持并提出启用证书锁定请求。在此过程中,系统会要求您提供证书。

新的证书锁定改进要求设备在注册之前连接到 ADS。首先连接到 ADS 可确保 Secure Hub 能够获取设备注册所在环境的最新安全信息。如果设备无法访问 ADS,Secure Hub 将不允许设备注册。因此,在内部网络中开放 ADS 访问对于启用设备注册至关重要。

要允许 Secure Hub for Android 访问 ADS,请为以下 IP 地址和 FQDN 打开端口 443:

FQDN IP 地址 端口 IP 和端口用法
discovery.mdm.zenprise.com 52.5.138.94 443 Secure Hub - ADS 通信
discovery.mdm.zenprise.com 52.1.30.122 443 Secure Hub - ADS 通信
ads.xm.cloud.com:请注意,Secure Hub 10.6.15 及更高版本使用 ads.xm.cloud.com 34.194.83.188 443 Secure Hub - ADS 通信
ads.xm.cloud.com:请注意,Secure Hub 10.6.15 及更高版本使用 ads.xm.cloud.com 34.193.202.23 443 Secure Hub - ADS 通信

如果启用了证书锁定:

  • Secure Hub 在设备注册期间锁定您的企业证书。

  • 在升级期间,Secure Hub 会丢弃任何当前锁定的证书,然后在已注册用户首次连接时锁定服务器证书。

    注意:

    如果在升级后启用证书锁定,用户必须重新注册。

  • 如果证书公钥未更改,则证书续订不需要重新注册。

证书锁定支持叶证书,不支持中间证书或颁发者证书。证书锁定适用于 Citrix 服务器(例如 Endpoint Management 和 Citrix Gateway),而不适用于第三方服务器。

使用 Secure Hub

用户首先从 Apple 或 Android 应用商店下载 Secure Hub 到其设备上。

Secure Hub 打开后,用户输入公司提供的凭据,以将其设备注册到 Secure Hub。有关设备注册的更多详细信息,请参阅用户、帐户、角色和注册

在适用于 Android 的 Secure Hub 上,在首次安装和注册期间,将显示以下消息:“允许 Secure Hub 访问您设备上的照片、媒体和文件吗?”

此消息来自 Android 操作系统,而非 Citrix。当您点击“允许”时,Citrix 和管理 Secure Hub 的管理员在任何时候都不会查看您的个人数据。但是,如果您与管理员进行远程支持会话,管理员可以在会话中查看您的个人文件。

注册后,用户将在其“我的应用”选项卡中看到您推送的所有应用和桌面。用户可以从“商店”添加更多应用。在手机上,“商店”链接位于左上角的“设置”菜单图标下。

商店链接的图像

在平板电脑上,“商店”是一个单独的选项卡。

平板电脑上的商店图像

当运行 iOS 9 或更高版本的 iPhone 用户从 Endpoint Management 应用商店安装移动生产力应用时,他们会看到一条消息。此消息指出,企业开发者 Citrix 在该 iPhone 上不受信任。该消息还指出,在开发者受信任之前,该应用无法使用。当此消息出现时,Secure Hub 会提示用户查看一份指南,指导他们完成信任其 iPhone 上的 Citrix 企业应用的过程。

自动注册 Secure Mail

对于仅限 MAM 的部署,您可以配置 CEM,以便使用电子邮件凭据注册 Secure Hub 的用户自动注册 Secure Mail。用户无需输入更多信息或执行更多步骤即可注册 Secure Mail。

首次使用 Secure Mail 时,Secure Mail 会从 Secure Hub 获取用户的电子邮件地址、域和用户 ID。Secure Mail 使用电子邮件地址进行自动发现。Exchange 服务器通过域和用户 ID 进行识别,这使得 Secure Mail 能够自动验证用户。如果策略设置为不传递密码,则会提示用户输入密码。在此处,用户无需输入任何其他信息。

要启用此功能,请创建三个属性:

  • 服务器属性 MAM_MACRO_SUPPORT。有关说明,请参阅服务器属性
  • 客户端属性 ENABLE_CREDENTIAL_STORE 和 SEND_LDAP_ATTRIBUTES。有关说明,请参阅客户端属性

自定义商店

如果要自定义“商店”,请转至“设置 > 客户端品牌”以更改名称、添加徽标并指定应用的显示方式。

客户端品牌图像

您可以在 Endpoint Management 控制台中编辑应用说明。点击“配置”,然后点击“应用”。从表格中选择应用,然后点击“编辑”。选择要编辑说明的应用平台,然后在“说明”框中键入文本。

说明框的图像

在“商店”中,用户只能浏览您在 Endpoint Management 中配置和保护的应用和桌面。要添加应用,用户点击“详细信息”,然后点击“添加”。

配置的帮助选项

Secure Hub 还为用户提供了多种获取帮助的方式。在平板电脑上,点击右上角的问号会打开帮助选项。在手机上,用户点击左上角的菜单图标,然后点击“帮助”。

帮助屏幕的图像

您的 IT 部门”显示您公司帮助台的电话和电子邮件,用户可以直接从应用访问。您可以在 Endpoint Management 控制台中输入电话号码和电子邮件地址。点击右上角的齿轮图标。“设置”页面随即显示。点击“更多”,然后点击“客户端支持”。输入信息的屏幕随即显示。

客户端支持屏幕的图像

报告问题”显示应用列表。用户选择出现问题的应用。Secure Hub 会自动生成日志,然后打开 Secure Mail 中的一条消息,并将日志作为 zip 文件附加。用户可以添加主题行和问题描述。他们还可以附加屏幕截图。

向 Citrix 发送反馈”会在 Secure Mail 中打开一条消息,其中已填写 Citrix 支持地址。在消息正文中,用户可以输入改进 Secure Mail 的建议。如果设备上未安装 Secure Mail,则会打开本机邮件程序。

用户还可以点击“Citrix 支持”,这将打开 Citrix 知识中心。用户可以在其中搜索所有 Citrix 产品的支持文章。

在“首选项”中,用户可以找到有关其帐户和设备的信息。

位置策略

Secure Hub 还提供地理位置和地理跟踪策略,例如,如果您想确保公司拥有的设备不超出某个地理范围。有关详细信息,请参阅位置设备策略

崩溃收集和分析

Secure Hub 会自动收集和分析故障信息,以便您了解导致特定故障的原因。Crashlytics 软件支持此功能。

有关适用于 iOS 和 Android 的更多功能,请参阅 Citrix Secure Hub 的按平台划分的功能矩阵。

Citrix Secure Hub™
May 6, 2026
投稿者: 
C C
May 6, 2026
投稿者: 
C C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.