Documentación de productos
Citrix Endpoint Management™
Ver PDF

Autenticación con certificado de cliente o con certificado más dominio

April 21, 2026
Contribución de: 
C C

La configuración predeterminada de Citrix Endpoint Management es la autenticación por nombre de usuario y contraseña. Para agregar otra capa de seguridad para la inscripción y el acceso al entorno de Citrix Endpoint Management, considera la posibilidad de usar la autenticación basada en certificados. En el entorno de Citrix Endpoint Management, esta configuración es la mejor combinación de seguridad y experiencia de usuario. La autenticación con certificado más dominio ofrece las mejores posibilidades de SSO, junto con la seguridad que proporciona la autenticación de dos factores en NetScaler Gateway.

Para una usabilidad óptima, puedes combinar la autenticación con certificado más dominio con el PIN de Citrix y el almacenamiento en caché de contraseñas de Active Directory. Como resultado, los usuarios no tienen que introducir sus nombres de usuario y contraseñas LDAP repetidamente. Los usuarios introducen nombres de usuario y contraseñas para la inscripción, la caducidad de la contraseña y el bloqueo de la cuenta.

Importante:

Citrix Endpoint Management no admite cambiar el modo de autenticación de autenticación de dominio a otro modo de autenticación después de que los usuarios inscriban dispositivos en Citrix Endpoint Management.

Si no permites LDAP y usas tarjetas inteligentes o métodos similares, la configuración de certificados te permite representar una tarjeta inteligente en Citrix Endpoint Management. Los usuarios se inscriben entonces con un PIN único que Citrix Endpoint Management genera para ellos. Una vez que un usuario tiene acceso, Citrix Endpoint Management crea e implementa el certificado utilizado para autenticarse en el entorno de Citrix Endpoint Management.

Puedes usar el asistente de NetScaler para XenMobile para realizar la configuración necesaria para Citrix Endpoint Management cuando uses la autenticación solo con certificado de NetScaler Gateway o la autenticación con certificado más dominio. Puedes ejecutar el asistente de NetScaler para XenMobile una sola vez.

En entornos de alta seguridad, el uso de credenciales LDAP fuera de una organización en redes públicas o inseguras se considera una principal amenaza de seguridad para la organización. Para entornos de alta seguridad, la autenticación de dos factores que usa un certificado de cliente y un token de seguridad es una opción. Para obtener más información, consulta Configurar Citrix Endpoint Management para la autenticación con certificado y token de seguridad.

La autenticación con certificado de cliente está disponible para dispositivos inscritos en MAM y MDM+MAM. Para usar la autenticación con certificado de cliente para esos dispositivos, debes configurar el servidor de Microsoft, Citrix Endpoint Management y, a continuación, NetScaler Gateway. Sigue estos pasos generales, tal como se describe en este artículo.

En el servidor de Microsoft:

    1. Agrega un complemento de certificado a la Consola de administración de Microsoft.
    1. Agrega la plantilla a la Entidad de certificación (CA).
    1. Crea un certificado PFX desde el servidor CA.

  • En Citrix Endpoint Management:

    1. Carga el certificado en Citrix Endpoint Management.
        1. Crea la entidad PKI para la autenticación basada en certificados.
        1. Configura los proveedores de credenciales.
        1. Configura NetScaler Gateway para entregar un certificado de usuario para la autenticación.

Para obtener información sobre la configuración de NetScaler Gateway, consulta estos artículos en la documentación de Citrix ADC:

-  [Autenticación de cliente](/en-us/citrix-adc/12-1/ssl/config-client-auth.html)
-  [Infraestructura de perfiles SSL](/en-us/citrix-adc/12-1/ssl/ssl-profiles/ssl-enabling-the-default-profile.html)
-  [Configurar y vincular una directiva de autenticación de certificado de cliente](/en-us/citrix-gateway/12-1/authentication-authorization/configure-client-cert-authentication/ng-client-cert-vserver-and-bind-tsk.html).

Requisitos previos

-  Cuando crees una plantilla de entidad de Servicios de certificados de Microsoft, evita posibles problemas de autenticación con los dispositivos inscritos excluyendo caracteres especiales. Por ejemplo, no uses estos caracteres en el nombre de la plantilla: `: ! $ () # % + * ~ ? | {} []`

-  Para configurar la autenticación basada en certificados para Exchange ActiveSync, consulta la [documentación de Microsoft sobre Exchange Server](https://docs.microsoft.com/es-es/Exchange/exchange-server?view=exchserver-2019). Configura el sitio del servidor de la entidad de certificación (CA) para que Exchange ActiveSync requiera certificados de cliente.
-  Si usas certificados de servidor privados para proteger el tráfico de ActiveSync al servidor de Exchange, asegúrate de que los dispositivos móviles tengan todos los certificados raíz/intermedios. De lo contrario, la autenticación basada en certificados fallará durante la configuración del buzón en Citrix Secure Mail. En la Consola IIS de Exchange, debes:
-  Agregar un sitio web para el uso de Citrix Endpoint Management con Exchange y vincular el certificado del servidor web.
-  Usar el puerto 9443.
-  Para ese sitio web, debes agregar dos aplicaciones, una para "Microsoft-Server-ActiveSync" y otra para "EWS". Para ambas aplicaciones, en **Configuración SSL**, selecciona **Requerir SSL**.

Agrega un complemento de certificado a la Consola de administración de Microsoft

  1. Abre la consola y, a continuación, haz clic en Agregar o quitar complementos.

  2. Agrega los siguientes complementos:

    • Plantillas de certificado
    • Certificados (equipo local)
    • Certificados - Usuario actual
    • Entidad de certificación (local)

    Microsoft Management Console

  3. Expande Plantillas de certificado.

    Microsoft Management Console

  4. Selecciona la plantilla Usuario y Duplicar plantilla.

    Microsoft Management Console

  5. Proporciona el nombre para mostrar de la plantilla.

    Importante:

    No se recomienda seleccionar la opción Publicar certificado en Active Directory. Si se selecciona esta opción, se crean certificados de cliente para todos los usuarios de Active Directory, lo que podría abarrotar la base de datos de Active Directory.

  6. Selecciona Windows 2003 Server para el tipo de plantilla. En el servidor Windows 2012 R2, en Compatibilidad, selecciona Entidad de certificación y establece el destinatario como Windows 2003.

  7. En Seguridad, configura lo siguiente:

    1. Haz clic en Agregar y, a continuación, selecciona la cuenta de usuario de AD que Citrix Endpoint Management usa para generar certificados.

      Importante:

      Agrega aquí solo el usuario de la cuenta de servicio. Agrega el permiso de Inscripción solo a esta cuenta de usuario de AD.

      Como se describe más adelante en este artículo, crearás un certificado .pfx de usuario con la cuenta de servicio. Para obtener información, consulta Crear un certificado PFX desde el servidor CA.

      Certificate Test

    2. Revoca el permiso de Inscripción de Usuarios del dominio.

    • Domain User

      1. En Criptografía, asegúrate de proporcionar el tamaño de clave. Introducirás el tamaño de clave más adelante durante la configuración de Citrix Endpoint Management.
    • Microsoft Management Console

  8. En Nombre del sujeto, selecciona Suministrar en la solicitud. Aplica los cambios y luego guarda.

    Consola de administración de Microsoft

Agregar la plantilla a la entidad de certificación

-  1.  Ve a **Entidad de certificación** y selecciona **Plantillas de certificado**.

-  1.  Haz clic con el botón derecho en el panel derecho y luego selecciona **Nuevo > Plantilla de certificado para emitir**.

-  ![Consola de administración de Microsoft](/en-us/citrix-endpoint-management/media/add-template-to-ca-1.png)

  1. Selecciona la plantilla que creaste en el paso anterior y luego haz clic en Aceptar para agregarla a la Entidad de certificación.

    Consola de administración de Microsoft

Crear un certificado PFX desde el servidor de CA

  1. Crea un certificado .pfx de usuario con la cuenta de servicio con la que iniciaste sesión. El archivo .pfx se carga en Citrix Endpoint Management, que luego solicita un certificado de usuario para los usuarios que inscriben sus dispositivos.

  2. En Usuario actual, expande Certificados.

  3. Haz clic con el botón derecho en el panel derecho y luego haz clic en Solicitar nuevo certificado.

    • Consola de administración de Microsoft

      1. Aparece la pantalla Inscripción de certificado. Haz clic en Siguiente.

    Consola de administración de Microsoft

      1. Selecciona Directiva de inscripción de Active Directory y luego haz clic en Siguiente.
    • Consola de administración de Microsoft

  4. Selecciona la plantilla Usuario y luego haz clic en Inscribir.

    • Consola de administración de Microsoft

  5. Exporta el archivo .pfx que creaste en el paso anterior.

    • Consola de administración de Microsoft

  6. Haz clic en Sí, exportar la clave privada.

    Consola de administración de Microsoft

  7. Selecciona Incluir todos los certificados en la ruta de certificación si es posible y marca la casilla Exportar todas las propiedades extendidas.

    Consola de administración de Microsoft

  8. Establece una contraseña para usar al cargar este certificado en Citrix Endpoint Management.

    Consola de administración de Microsoft

  9. Guarda el certificado en tu disco duro.

Cargar el certificado en Citrix Endpoint Management

-  1.  En la consola de Citrix Endpoint Management, haz clic en el icono de engranaje en la esquina superior derecha. Aparece la pantalla **Configuración**.

-  1.  Haz clic en **Certificados** y luego en **Importar**.

  1. Introduce los siguientes parámetros:

    • Importar: Almacén de claves
    • Tipo de almacén de claves: PKCS #12
    • Usar como: Servidor
    • Archivo de almacén de claves: Haz clic en Explorar para seleccionar el certificado .pfx que creaste.
    • Contraseña: Introduce la contraseña que creaste para este certificado.

    Pantalla de configuración de certificados

  2. Haz clic en Importar.

  3. Verifica que el certificado se haya instalado correctamente. Un certificado instalado correctamente se muestra como un certificado de usuario.

Crear la entidad PKI para la autenticación basada en certificados

  1. En Configuración, ve a Más > Administración de certificados > Entidades PKI.

  2. Haz clic en Agregar y luego haz clic en Entidad de servicios de certificados de Microsoft. Aparece la pantalla Entidad de servicios de certificados de Microsoft: Información general.

  3. Introduce los siguientes parámetros:

    • Nombre: Escribe cualquier nombre.
    • URL raíz del servicio de inscripción web: https://RootCA-URL/certsrv/ (Asegúrate de agregar la última barra, /, en la ruta de la URL).
    • Nombre de la página certnew.cer: certnew.cer (valor predeterminado)
    • certfnsh.asp: certfnsh.asp (valor predeterminado)
    • Tipo de autenticación: Certificado de cliente
    • Certificado de cliente SSL: Selecciona el certificado de usuario que se utilizará para emitir el certificado de cliente de Citrix Endpoint Management. Si no existe ningún certificado, sigue el procedimiento de la sección anterior para cargar certificados.

    Pantalla de configuración de certificados

  4. En Plantillas, agrega la plantilla que creaste al configurar el certificado de Microsoft. No agregues espacios.

    Pantalla de configuración de certificados

  5. Omite los parámetros HTTP y luego haz clic en Certificados de CA.

    1. Selecciona el nombre de la CA raíz que corresponda a tu entorno. Esta CA raíz forma parte de la cadena importada del certificado de cliente de Citrix Endpoint Management.

    Pantalla de configuración de certificados

  1. Haz clic en Guardar.

Configuración de proveedores de credenciales

  1. En Configuración, ve a Más > Administración de certificados > Proveedores de credenciales.

  2. Haz clic en Agregar.

  3. En General, introduce los siguientes parámetros:

    • Nombre: Escribe cualquier nombre.
    • Descripción: Escribe cualquier descripción.
    • Entidad emisora: Selecciona la entidad PKI creada anteriormente.
    • Método de emisión: SIGN
    • Plantillas: Selecciona la plantilla agregada en la entidad PKI.

    Pantalla de configuración de proveedores de credenciales

  4. Haz clic en Solicitud de firma de certificado y luego introduce los siguientes parámetros:

    • Algoritmo de clave: RSA
    • Tamaño de clave: 2048
    • Algoritmo de firma: SHA256withRSA
    • Nombre del asunto: cn=$user.username

    Para Nombres alternativos del asunto, haz clic en Agregar y luego introduce los siguientes parámetros:

    • Tipo: Nombre principal de usuario
    • Valor: $user.userprincipalname

    Pantalla de configuración de proveedores de credenciales

  5. Haz clic en Distribución e introduce los siguientes parámetros:

    • Certificado de CA emisora: Selecciona la CA emisora que firmó el certificado de cliente de Citrix Endpoint Management.
    • Seleccionar modo de distribución: Selecciona Preferir centralizado: Generación de claves en el servidor.

    Pantalla de configuración de proveedores de credenciales

  6. Para las dos secciones siguientes, Revocación de Citrix Endpoint Management y Revocación de PKI, configura los parámetros según sea necesario. En este ejemplo, se omiten ambas opciones.

  7. Haz clic en Renovación.

  8. Habilita Renovar certificados cuando caduquen.

  9. Deja todas las demás configuraciones como predeterminadas o cámbialas según sea necesario.

    Pantalla de configuración de proveedores de credenciales

  10. Haz clic en Guardar.

Configuración de Citrix Secure Mail para usar la autenticación basada en certificados

Cuando agregues Citrix Secure Mail a Citrix Endpoint Management, asegúrate de configurar los ajustes de Exchange en Ajustes de la aplicación.

Pantalla de configuración de aplicaciones

Configuración de la entrega de certificados de NetScaler Gateway en Citrix Endpoint Management

  1. En la consola de Citrix Endpoint Management, haz clic en el icono de engranaje en la esquina superior derecha. Aparece la pantalla Configuración.

  2. En Servidor, haz clic en NetScaler Gateway.

  3. Si NetScaler Gateway aún no está agregado, haz clic en Agregar y especifica los ajustes:

    • Nombre: Un nombre descriptivo para el dispositivo.
    • Alias: Un alias opcional para el dispositivo.
    • URL externa: https://YourCitrixGatewayURL
    • Tipo de inicio de sesión: Selecciona Certificado y dominio
    • Contraseña requerida: Desactivado
    • Establecer como predeterminado: Activado

  4. Para Autenticación y Entregar certificado de usuario para autenticación, selecciona Activado.

    Pantalla de configuración de NetScaler Gateway

  5. Para Proveedor de credenciales, selecciona un proveedor y luego haz clic en Guardar.

  6. Para usar los atributos sAMAccount en los certificados de usuario como alternativa al Nombre principal de usuario (UPN), configura el conector LDAP en Citrix Endpoint Management de la siguiente manera: Ve a Configuración > LDAP, selecciona el directorio y haz clic en Modificar, y selecciona sAMAccountName en Búsqueda de usuario por.

    Pantalla de configuración de LDAP

Habilitar el PIN de Citrix y el almacenamiento en caché de la contraseña de usuario

Para habilitar el PIN de Citrix y el almacenamiento en caché de la contraseña de usuario, ve a Configuración > Propiedades del cliente y selecciona estas casillas: Habilitar autenticación con PIN de Citrix y Habilitar almacenamiento en caché de la contraseña de usuario. Para obtener más información, consulta Propiedades del cliente.

Solución de problemas de la configuración del certificado de cliente

Después de una configuración correcta de la configuración anterior, además de la configuración de NetScaler Gateway, el flujo de trabajo del usuario es el siguiente:

  1. Los usuarios inscriben su dispositivo móvil.

  2. Citrix Endpoint Management solicita a los usuarios que creen un PIN de Citrix.

  3. Los usuarios son redirigidos a la tienda de aplicaciones.

  4. Cuando los usuarios inician Citrix Secure Mail, Citrix Endpoint Management no les solicita credenciales de usuario para la configuración del buzón. En su lugar, Citrix Secure Mail solicita el certificado de cliente a Citrix Secure Hub y lo envía a Microsoft Exchange Server para la autenticación. Si Citrix Endpoint Management solicita credenciales cuando los usuarios inician Citrix Secure Mail, revisa tu configuración.

Si los usuarios pueden descargar e instalar Citrix Secure Mail, pero durante la configuración del buzón Citrix Secure Mail no puede finalizar la configuración:

  1. Si Microsoft Exchange Server ActiveSync utiliza certificados de servidor SSL privados para proteger el tráfico, verifica que los certificados raíz/intermedios estén instalados en el dispositivo móvil.

  2. Verifica que el tipo de autenticación seleccionado para ActiveSync esté configurado como Requerir certificados de cliente.

    Pantalla de propiedades de Microsoft ActiveSync

  3. En Microsoft Exchange Server, comprueba el sitio Microsoft-Server-ActiveSync para verificar que la autenticación de asignación de certificados de cliente esté habilitada. De forma predeterminada, la autenticación de asignación de certificados de cliente está deshabilitada. La opción se encuentra en Editor de configuración > Seguridad > Autenticación.

    Pantalla de configuración de Microsoft ActiveSync

    Después de seleccionar Verdadero, asegúrate de hacer clic en Aplicar para que los cambios surtan efecto.

  4. Revisa la configuración de NetScaler Gateway en la consola de Citrix Endpoint Management: Asegúrate de que Entregar certificado de usuario para autenticación esté Activado y de que Proveedor de credenciales tenga el perfil correcto seleccionado.

Para determinar si el certificado de cliente se entregó a un dispositivo móvil

  1. En la consola de Citrix Endpoint Management, ve a Administrar > Dispositivos y selecciona el dispositivo.

  2. Haz clic en Modificar o Mostrar más.

  3. Ve a la sección Grupos de entrega y busca esta entrada:

    Credenciales de NetScaler Gateway: Credencial solicitada, CertId=

Para validar si la negociación de certificados de cliente está habilitada

  1. Ejecuta este comando netsh para mostrar la configuración del certificado SSL que está vinculada al sitio web de IIS:

    netsh http show sslcert

  2. Si el valor de Negociar certificado de cliente es Deshabilitado, ejecuta el siguiente comando para habilitarlo:

    netsh http delete sslcert ipport=0.0.0.0:443

    netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

    Por ejemplo:

    netsh http add sslcert ipport=0.0.0.0:443 certhash=23498dfsdfhaf98rhkjqf9823rkjhdasf98asfk appid={123asd456jd-a12b-3c45-d678-123456lkjhgf} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

Si no puedes entregar certificados raíz/intermedios a un dispositivo Windows Phone 8.1 a través de Citrix Endpoint Management:

  • Envía archivos de certificados raíz/intermedios (.cer) por correo electrónico al dispositivo Windows Phone 8.1 e instálalos directamente.

Si Citrix Secure Mail no se instala correctamente en Windows Phone 8.1, verifica lo siguiente:

  • El token de inscripción de aplicaciones (archivo .AETX) se entrega a través de Citrix Endpoint Management mediante la directiva de dispositivo Enterprise Hub.
  • El token de inscripción de aplicaciones se creó utilizando el mismo certificado empresarial del proveedor de certificados utilizado para encapsular Citrix Secure Mail y firmar las aplicaciones de Citrix Secure Hub.
  • Se utiliza el mismo ID de editor para firmar y encapsular Citrix Secure Hub, Citrix Secure Mail y el token de inscripción de aplicaciones.
Autenticación con certificado de cliente o con certificado más dominio
April 21, 2026
Contribución de: 
C C
April 21, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.