派生凭据

派生凭据提供适用于移动设备的加强的身份验证。从智能卡派生的凭据驻留在移动设备上,而非智能卡上。智能卡为个人身份验证 (Personal Identity Verification, PIV) 卡。

派生凭据为包含用户标识符(例如 UPN)的注册证书。XenMobile 将从凭据提供程序获取的凭据保存在设备上一个安全的保管库中。

XenMobile 可以将派生凭据用于设备注册和身份验证。如果配置为使用派生凭据,XenMobile 将不支持注册邀请或其他注册模式。Citrix 支持在 iOS 注册过程中使用派生凭据应用程序。

体系结构

进行注册时,XenMobile Server 将连接到各组件,如下图所示。

派生凭据注册体系结构图

  • 设备注册期间,Secure Hub 从派生凭据应用程序获取证书。
  • 派生凭据应用程序在注册过程中与凭据管理服务器进行通信。
  • 可以为凭据管理服务器和第三方 PKI 提供程序使用相同或不同的服务器。
  • XenMobile Server 连接到您的第三方 PKI 服务器以获取证书。

要求

  • 下载并安装 Citrix Secure Hub。
  • 根据您的派生凭据解决方案,下载并配置应用程序:

    • 对于 Entrust Datacard:
      • 在 XenMobile 中注册之前,在您的设备上下载并安装 Citrix Derived Credential Manager 应用程序。Derived Credential Manager 应用程序是面向 Citrix 的身份提供程序应用程序。下面是该应用程序的徽标。 派生凭据应用程序徽标示意图

        注意:

        Citrix Derived Credential Manager 应用程序仅支持新注册。设备用户必须重新注册。

      • XenMobile Server 10.8 或更高版本。
      • 对于企业模式,必须配置 XenMobile Server。
    • 其他派生凭据提供程序: 虽然大多数其他凭据解决方案可能都与 XenMobile 兼容,但请在将其部署到生产环境之前测试集成。
  • 必须具有向凭据提供程序服务器颁发证书的颁发机构的根证书。该设置使 XenMobile 在注册过程中能够接受数字签名的证书。有关添加证书的信息,请参阅证书和身份验证
    • 如果用户电子邮件域与 LDAP 域不同,请在设置 > LDAP 下的域别名设置中包括该电子邮件域。例如,如果电子邮件地址的域为 citrix.com,LDAP 域名为 sample.com,请将域别名设置为 sample.com, citrix.com
    • XenMobile 不支持对共享设备使用派生凭据。
  • 用户标识证书:
    • “使用者备用名称”字段中的用户名的格式必须为 SubjectAltName 扩展的 otherName、rfc822Name 或 dNSName 字段。其他字段不受支持。有关使用者备用名称的详细信息,请参阅 RFC https://www.ietf.org/rfc/rfc5280.txt
    • “电子邮件”或“CN”中“使用者”字段中的用户标识不受支持。
  • Citrix Gateway 配置为进行证书身份验证或证书加安全令牌身份验证

启用派生凭据

默认情况下,XenMobile 控制台不包括设置 > 派生凭据页面。

要为派生凭据启用接口,请执行以下操作:

  • 转至设置 > 服务器属性,添加 derived.credentials.enable 作为服务器属性并将该属性值设置为 true

“服务器属性”配置屏幕图

配置派生凭据

这假定您的计划与 XenMobile 集成的派生凭据提供程序具有有效配置。可以将 XenMobile 配置为与该服务器进行通信。也可以选择已添加到 XenMobile 的派生凭据 CA 证书或导入证书。

可以激活对该 CA 证书的联机证书状态协议 (OCSP) 支持。有关 OCSP 的详细信息,请参阅 PKI 实体中的“任意 CA”。

  1. 在 XenMobile 控制台中,转至设置 > 适用于 iOS 的派生凭据

  2. 对于选择派生凭据提供程序,请选择其他(针对 Entrust Datacard)。在应用程序 URL (iOS) 中键入 dcapp://mode=SecureHub

    派生凭据配置屏幕图

  3. 可选参数: 某些派生凭据提供程序可能要求您提供连接参数。例如,某个供应商可能要求您指定后端服务器的 URL。单击添加可提供参数。

  4. 指定派生凭据的证书:如果证书已上载到 XenMobile,请从颁发者 CA 中选择该证书。否则,请单击导入以添加证书。此时将显示导入证书对话框。

  5. 导入证书对话框中,单击浏览导航到该证书。然后单击浏览导航到私钥文件。

    派生凭据配置屏幕图

  6. 配置设置。
    • 对于 Citrix Derived Credential Manager 应用程序:用户标识符字段使用者备用名称用户标识符类型userPrincipalName
    • 请联系其他派生凭据提供商以获取其信息。
  7. 可以选择性使用 OCSP 响应者执行证书吊销检查。出于安全目的,Citrix 建议您使用 OCSP 响应者。默认情况下,OSP 检查设置为

    • 如果要激活对该 CA 证书的 OCSP 支持,请选择使用自定义 OCSP URL 对应的选项。默认情况下,XenMobile 从证书中提取 OCSP URL(使用证书定义进行吊销选项)。要指定响应者 URL,请单击使用自定义并键入 URL。
    • 响应者 CA:响应者 CA 中,选择一个证书。或者,单击导入,然后使用导入证书对话框查找证书。
  8. 单击保存。此时将显示启用派生凭据对话框。

    派生凭据配置屏幕图

    • 要启用派生凭据配置,请单击保存。还必须配置注册设置才能使用派生凭据。

    • 要启用派生凭据配置,然后立即转至设置 > 注册,请单击保存并转至“注册”

  9. 要为注册启用派生凭据,请在设置 > 注册页面上的高级注册下,选择派生凭据(仅限 iOS),然后单击启用

    “注册”配置屏幕图

  10. 此时将显示确认对话框。要启用派生凭据,请选中该复选框,然后单击启用

    “注册”配置屏幕图

  11. 要编辑派生凭据注册的选项,请转至设置 > 注册,选择派生凭据(仅限 iOS),然后单击编辑

启用派生凭据后:在设备注册报告中,注册模式列显示 derived_credentials

重要:

添加派生凭据提供程序后,重新启动您的 XenMobile Server。

为 Secure Mail 配置 XenMobile Server

要使 Secure Mail 能够使用派生凭据运行,请添加“LDAP 属性”客户端属性。有关添加客户端属性的信息,请参阅客户端属性

请对客户端属性使用以下信息:

  • 键: SEND_LDAP_ATTRIBUTES
  • 值: userPrincipalName=${user.userprincipalname},sAMAccountNAme=${user.samaccountname},displayName=${user.displayName},mail=${user.mail}

客户端属性配置屏幕图

在 iOS 设备上激活 Entrust Datacard 派生凭据

注意:

使用 Entrust Web 站点时:

  • 当您的程序为 PIV 卡时,请确保 Internet Explorer 浏览器启用了 Java。
  • 更改 PIV 卡时清除浏览器缓存。
  1. 要申请新的智能凭据,请使用桌面或任何设备登录 Entrust 站点。使用页面底部的智能凭据登录按钮登录。用户将智能卡插入连接到其桌面的读卡器。

    Entrust 登录页面示意图

  2. Self-Administration Actions(自助管理操作)中,选择 I’d like to enroll for a derived mobile smart credential(我希望注册以获取派生的移动智能凭据)并单击 Done(完成)。

    Entrust 管理操作示意图

  3. Derived Mobile Smart Credential(派生移动智能凭据)屏幕上,提供 Identity Name(身份名称)。用户可以选择一个唯一的名称,例如用户名或 ID 号。
  4. 从“Derived credential”(派生凭据)应用程序菜单中,选择 Citrix DCAPP 并单击 OK(确定)。

    派生移动智能凭据示意图

    此时将显示“QR code Activation”(QR 代码激活)屏幕,并提示用户使用其移动设备扫描代码。

    注意:

    默认情况下,派生凭据 QR 代码在 3 分钟内过期。

  5. 在设备上使用 Derived Credential Manager 应用程序扫描 QR 代码以完成激活。

    派生移动智能凭据 QR 代码激活示意图

设备注册

完成本文中前面所述的设置后,用户可以使用派生凭据注册其设备。

注意:

本部分中的屏幕截图以 Entrust Datacard 为例。

  1. 轻按以打开 Secure Hub。系统提示时,键入 XenMobile Server 的完全限定域名,然后单击下一步
  2. 单击是,注册。在 Secure Hub 中的设备注册将开始运行。

    Secure Hub 注册示意图

    如果 XenMobile Server 支持派生凭据,Secure Hub 将提示用户创建并确认 Citrix PIN。

    Secure Hub PIN 确认示意图

    确认 Citrix PIN 后,将显示派生凭据安装程序初始屏幕。请按照说明进行操作,激活智能凭据。

  3. 轻按扫描代码。移动电话相机将激活。

    初始屏幕示意图

    注意:

    要扫描 QR 代码,请确保您的相机和麦克风处于启用状态,并且具有所需的访问权限。

  4. 在派生凭据应用程序中,扫描在前述步骤中创建的 QR 代码。

    扫描 QR 代码示意图

  5. 扫描 QR 代码后,在导入新证书屏幕中将显示一个密码对话框,请输入密码并单击确定

    证书密码示意图

    此时将显示导入新证书屏幕,其中的字段已自动填充。

    新证书示意图

  6. 成功添加证书后,在派生凭据屏幕中单击开始注册

    开始注册示意图

  7. 在 Secure Hub 中,系统提示时输入新 PIN。

    对该 PIN 进行身份验证后,Secure Hub 将下载证书。请按照提示进行操作,完成注册。

要在 XenMobile 控制台中查看设备信息,请执行以下操作:

  • 转至管理 > 设备,然后选择一个设备以显示命令框。单击显示更多
  • 转至分析 > 控制板