部署指南:Citrix 联合身份验证服务和 Sectigo MS Agent

概述

Sectigo Certificate Manager (SCM) 是一个通用平台,专门用于颁发和管理数字证书的生命周期。SCM 通过单一界面保护企业中的每个用户和计算机身份。
借助 SCM,您可以自动颁发和管理 Sectigo 证书以及来自其他公共可信证书颁发机构 (CA) 和私有 CA 的证书,包括 Microsoft ADCS、Google 云端平台 (GCP) 和 AWS 云服务。

为了发现和注册证书,Sectigo MS Agent 安装在 Active Directory 服务器上。SCM 使用 MS Agent 执行以下操作:

  • 发现证书-安装在加入域的 Windows 服务器上的代理可以发现 Active Directory 中的网络服务器、域名和证书等资产。
  • 将 MS 注册协议代理到 SCM - 安装在加入域的 Windows 服务器上的代理可以使用映射到 SCM 证书配置文件的 MS AD 证书模板作为代理来颁发私有和公共证书。

作为一项冗余措施,SCM 允许您创建安装在不同服务器上的 MS Agent 群集,以充当单个代理。如果任何代理出现故障,群集中的其他代理将无缝地继续进行证书发现和注册。

Citrix 联合身份验证服务 (FAS) 是一个特权组件,旨在与 Active Directory 证书服务集成。它动态地为用户颁发证书,以便用户能够登录到 Active Directory 环境,就如同他们具有智能卡一样。
这使得 StoreFront 能够使用范围更广的身份验证选项,例如安全声明标记语言 (SAML) 声明。SAML 常用于替代 Internet 上的传统 Windows 用户帐户。

架构图

FAS 概述

安装

必备条件

  • Microsoft Windows Server 2019 或 Microsoft Windows Server 2022。
  • 一个 Active Directory 域控制器 (DC)。
  • 活跃的 Sectigo Certificate Manager 帐户 (SCM)
    • 在 SCM 中创建的组织。
    • 专用 CA 后端已启用。
    • MS Agent 已启用。
  • 安装在 Active Directory DC 或域服务器上的 Sectigo MS 代理。
  • 建议在配置 Citrix FAS 时,将该规则称为默认规则,而不是任意规则,因为这是 Citrix Cloud 用来联系 Citrix FAS 服务器的规则。
  • Sectigo CA 证书必须受到域控制器的信任(生成最终用户证书的 CA 必须受到这些证书所使用的域的信任)。如本文中所述)。

MS Agent 安装

具有主注册机构官员 (MRAO) 角色的管理员可以使用 SCM 上的集成 > MS Agent 页面管理 MS Agent。

有关 MS Agent 的安装要求,请参阅《Sectigo Certificate Manager 管理员指南》。

MS Agent 安装

Citrix FAS 安装

为了安全起见,Citrix 建议在受域控制器或证书颁发机构保护的专用服务器上安装联合身份验证服务 (FAS)。Citrix FAS 可以通过以下任一方式安装:

  • Citrix Virtual Apps and Desktops 安装程序(通过插入 ISO 时自动运行闪屏上的联合身份验证服务按钮),或
  • 独立 FAS 安装程序文件作为 MSI 文件在 Citrix 下载中提供

使用 MS Agent 进行 Citrix FAS 配置

Citrix FAS 管理控制台:

  • 您必须以域用户身份运行,并且是本地管理员。您必须选择“以管理员身份运行”,具体取决于您的 Windows 设置。
  • 这里的许多步骤都可以从 Citrix FAS 管理控制台执行。这是一个简单的 GUI,足以满足大多数客户的需求。它通常安装在 C:\Program Files\Citrix\Federated Authentication Service\fasadminconsole.exe
  • Citrix FAS 控制台每 2 秒轮询一次 Citrix FAS 服务器以获取其最新配置;即使在使用 PowerShell cmdlet 时,保持 Citrix FAS 管理控制台处于打开状态也会有所帮助。

注意: Citrix FAS 管理控制台中涉及与 AD 通信的前两个步骤只有在单击右上角的“刷新”后才会更新。

FAS 安装

  1. 部署证书模板。选择“部署”将以下三个证书模板部署到 AD:
    • Citrix_RegistrationAuthority_ManualAuthorization
    • Citrix_RegistrationAuthority
    • Citrix_SmartcardLogon
  2. 设置证书颁发机构。此模板需要获得 CA 管理员的批准。
    • 导航到服务器管理器 > 工具 > 证书颁发机构 > 证书模板 > 管理 > Citrix_RegistrationAuthority_ManualAuthorization
    • 选中 CA 证书管理器审批,然后单击“确定”

    FAS 安装

    FAS 获得带有此模板的证书后,它会立即将其用作授权,向 Citrix_RegistrationAuthority 申请证书。然后删除 Citrix_RegisrationAuthority_ManualAuthorization 证书。此两阶段授权流程旨在支持 RA 证书的自动续订,但仍必须实现此功能。Citrix_RegistrationAuthority 是授权 Citrix FAS 充当 RA 的 RA 证书模板。

    它具有以下扩展密钥用法:

    FAS 安装

  3. 配置 Citrix_SmartcardLogon
    • Citrix FAS 使用此模板“即时”生成用户证书,这样 Citrix FAS 就可以为用户执行单点登录。
    • 其颁发要求将 RA 证书指定为授权。

      FAS 安装

    • 模板可以自定义,也可以在不使用以下模板的情况下使用 RA 证书配置 Citrix FAS。

      FAS 安装

禁用 AD 集成

默认情况下,Citrix_SmartcardLogon 模板指示 CA 查询 AD 以填充证书中的字段。但是,Citrix FAS 在证书请求中提供了足够的信息,因此可以在请求中将此设置更改为提供。这样,CA 就不需要查询 AD 了。

FAS 安装

FAS 安装

注意: FAS 不读取模板。

  • 创建证书请求时,模板的名称是请求的一部分。
  • 但是,FAS 不会读取模板。例如,要使用的密钥长度是 FAS 配置的一部分。FAS 不会从模板中读取最小密钥大小。

授权此服务

要使用 RA 证书配置 FAS,请执行以下操作:

  1. Citrix FAS 管理控制台中 ,单击“授权”。

注意: 要删除授权,请单击取消授权

  1. CA 管理员通过转到“服务器管理器”>“工具”>“证书颁发机构”>“待处理”来批准请求。FAS 对 CA 进行轮询,等待响应,FAS 管理员控制台会在请求仍处于待处理状态时显示一个微调器。

  2. CA 管理员右键单击待处理的请求,然后选择“批准”以颁发 RA 证书。

  3. Citrix FAS 管理控制台将该服务显示为已授权

创建规则

使用 RA 证书配置 FAS 后,完成其余的 FAS 配置。

  1. 单击创建

  2. 按照安装向导进行操作;对于大多数屏幕,单击“下一步”。

    • 出现提示时,提供以下内容:
      • FAS 用来申请用户证书的模板 (Citrix_SmartcardLogon)。
      • CA FAS 联系申请用户证书。

    FAS 安装

    现在,Citrix FAS 已与 MS Agent 完全集成,用于证书颁发。

    FAS 安装

适用于 Citrix 模板的 SCM 上的 MS AD 证书模板映射

在颁发证书之前,请确保 Citrix_SmartCardLogon、域控制器和域控制器身份验证模板映射到 SCM 帐户上的 SCM 证书配置文件。

创建 MS AD 证书模板映射

FAS 安装

要在 SCM 证书配置文件和 MS AD 模板之间创建 MS AD 证书模板映射,请执行以下操作:

  1. 在 SCM 上,导航到 注册 > MS AD 证书模板映射

  2. 单击添加 (+)

  3. 参照下表完成“添加 MS AD 证书模板映射”对话框。

    SCM

  4. 单击“保存”。

    SCM

创建用户证书

PowerShell Cmdlet 用于管理 Citrix FAS 和证书创建。

  1. 设置 PowerShell Cmdlet。打开 PowerShell 命令,Windows 以管理员身份运行,然后运行以下命令:

    Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1 $CitrixFasAddress=[Get-FasServer](0).Address
    <!--NeedCopy-->
    
  2. 在 Active Directory 上设置 FAS 身份验证
  3. 命令注册证书。SCM 证书模板要求客户证书使用用户主体名称 (UPN)。在 AD 示例中为用户设置 UPN:admin@wwco.net

  4. 运行以下 PowerShell 命令注册用户证书:

    Test-FasCertificateSigningRequest -UserPrincipalName "<admin@wwco.net>" -Rule default
    <!--NeedCopy-->
    

    您可以从 SCM 控制面板查看证书:

    SCM

  5. 要查看证书的详细信息,请导航到证书 > 客户端证书,然后选择查看 > 信任链

    SCM

引用

部署指南:Citrix 联合身份验证服务和 Sectigo MS Agent