Certificados y autenticación
Existen varios componentes que desempeñan un papel en la autenticación durante las operaciones de XenMobile:
-
XenMobile Server: La seguridad y la experiencia de la inscripción se definen en XenMobile Server. Las opciones para incorporar usuarios son:
- Elaborar una inscripción abierta para todos o solo por invitación.
- Requerir la autenticación de dos o tres factores. A través de las propiedades de cliente en XenMobile, puede habilitar la autenticación con PIN de Citrix y configurar la complejidad y el tiempo de caducidad de ese PIN.
- Citrix ADC: Con Citrix ADC, puede finalizar sesiones SSL de micro VPN. Asimismo, puede proteger la seguridad de los datos en tránsito en la red y definir la experiencia de autenticación cada vez que un usuario acceda a una aplicación.
-
Secure Hub: Secure Hub y XenMobile Server funcionan conjuntamente en las operaciones de inscripción. Presente en el dispositivo, Secure Hub es la entidad que se comunica con Citrix ADC. Cuando una sesión caduca, Secure Hub obtiene un tíquet de autenticación de Citrix ADC y lo envía a las aplicaciones MDX. Citrix recomienda usar fijación de certificados, que impide ataques de intermediarios (ataques de tipo “Man in the middle”). Para obtener más información, consulte la sección Fijación de certificados en el artículo Secure Hub.
Asimismo, Secure Hub favorece a la seguridad del contenedor MDX, ya que envía directivas, crea sesiones con Citrix ADC cuando se agota el tiempo de espera de las aplicaciones y define el tiempo de espera y la experiencia de autenticación MDX. Secure Hub también se encarga de detectar la liberación por jailbreak, así como de comprobar la geolocalización y las directivas que se apliquen.
- Directivas MDX: Las directivas MDX crean la caja fuerte de datos en el dispositivo. Las directivas MDX dirigen las conexiones de micro VPN de vuelta a Citrix ADC, aplican las restricciones del modo sin conexión y las directivas de cliente (como los tiempos de espera).
Para obtener más información sobre la configuración de la autenticación, incluida una descripción general de los métodos de autenticación de uno y dos factores, consulte Authentication en el manual “Deployment Handbook”.
En XenMobile, puede usar certificados para crear conexiones seguras y para autenticar usuarios. En el resto de este artículo, se describen los certificados. Para obtener información adicional acerca de la configuración, consulte los siguientes artículos:
- Disponibilidad de la autenticación con dominio o dominio y token de seguridad
- Autenticación con certificado de cliente o certificado y dominio
- Entidades de PKI
- Proveedores de credenciales
- Certificados APNs
- SAML para Single Sign-On en Citrix Files
- Parámetros del servidor Microsoft Azure Active Directory
- Para enviar un certificado a dispositivos para autenticarse en el servidor Wi-Fi: Directiva Wi-Fi
- Para enviar un certificado único que no se utiliza para la autenticación, como un certificado raíz de CA interna, o una directiva específica: Directiva Credenciales
Certificados
XenMobile genera un certificado autofirmado de Secure Sockets Layer (SSL) durante la instalación para proteger los flujos de comunicación con el servidor. Debe reemplazar ese certificado SSL por un certificado SSL de confianza procedente de una entidad de certificación (CA) conocida.
XenMobile también usa su propio servicio de infraestructura de clave pública (PKI) u obtiene certificados de la entidad de certificación para los certificados de cliente. Todos los productos Citrix admiten certificados comodín y de nombre alternativo de sujeto (SAN). Para la mayoría de las implementaciones, solo se necesitan dos certificados SAN o comodín.
La autenticación con certificados de cliente proporciona una capa de seguridad adicional para las aplicaciones móviles y permite que los usuarios pueden acceder sin problemas a aplicaciones HDX. Cuando se configura la autenticación con certificados de cliente, los usuarios introducen su PIN de Citrix para acceder mediante Single Sign-On a las aplicaciones habilitadas para XenMobile. El PIN de Citrix también simplifica la experiencia de autenticación del usuario. El PIN de Citrix se usa para proteger un certificado de cliente o para guardar las credenciales de Active Directory localmente en el dispositivo.
Para inscribir y administrar dispositivos iOS con XenMobile, debe configurar y crear un certificado del servicio de notificaciones push de Apple (APNs) proveniente de Apple. Para conocer los pasos a seguir, consulte Certificados APNs.
En la siguiente tabla se muestran los formatos y los tipos de certificado para cada componente de XenMobile:
Componente XenMobile | Formato de certificado | Tipo de certificado requerido |
---|---|---|
Citrix Gateway | PEM (BASE64), PFX (PKCS #12) | SSL, Raíz (Citrix Gateway convierte automáticamente el formato PFX en PEM). |
XenMobile Server | P12 (PFX en equipos basados en Windows) | SSL, SAML, APNs (XenMobile también genera una infraestructura de clave pública completa durante el proceso de instalación.) Importante: XenMobile Server no admite certificados con extensión .pem. Para utilizar un certificado PEM, divida el archivo .pem en un certificado y una clave e importe cada uno en XenMobile Server. |
StoreFront | PFX (PKCS #12) | SSL, raíz |
XenMobile admite los certificados SSL de escucha y certificados de cliente con longitudes de bits de 4096, 2048 y 1024. Los certificados de 1024 bits no son seguros.
Para Citrix Gateway y XenMobile Server, Citrix recomienda obtener certificados de servidor procedentes de una entidad de certificación pública (como VeriSign, DigiCert o Thawte). Puede crear una solicitud de firma de certificado (CSR) desde la herramienta de configuración de Citrix Gateway o de XenMobile. Después de crear la solicitud de firma de certificado, envíela a la entidad de certificación para que la firme. Cuando la entidad de certificación devuelva el certificado firmado, podrá instalarlo en Citrix Gateway o XenMobile.
Importante: Requisitos para certificados de confianza en iOS, iPadOS y macOS
Apple tiene nuevos requisitos para los certificados de servidor TLS. Verifique que todos los certificados cumplen los nuevos requisitos de Apple. Consulte la publicación de Apple: https://support.apple.com/en-us/HT210176.
Apple está reduciendo la duración máxima permitida de los certificados de servidor TLS. Este cambio solo afecta a los certificados de servidor emitidos después de septiembre de 2020. Consulte la publicación de Apple: https://support.apple.com/en-us/HT211025.
Cargar certificados en XenMobile
A cada certificado que cargue, le corresponderá una entrada en la tabla “Certificados”, con un resumen de su contenido. Cuando configure los componentes de integración con PKI que requieran un certificado, deberá elegir un certificado que cumpla los criterios de contexto. Por ejemplo, es posible que quiera configurar XenMobile para integrarlo con la entidad de certificación (CA) de Microsoft. La conexión a la entidad de certificación de Microsoft debe autenticarse con un certificado de cliente.
Esta sección ofrece instrucciones generales para cargar certificados. Para obtener más información sobre cómo crear, cargar y configurar los certificados de cliente, consulte Autenticación de certificado de cliente o certificado + dominio.
Requisitos de clave privada
XenMobile puede contener o no la clave privada de un certificado determinado. Del mismo modo, XenMobile puede requerir o no una clave privada para los certificados cargados.
Cargar certificados
Tiene dos opciones para cargar certificados:
- Cargue los certificados en la consola individualmente.
- Realice una carga en bloque de certificados en dispositivos iOS con la API de REST.
Para cargar certificados en la consola, tiene dos opciones:
- Puede hacer clic para importar un almacén de claves. Luego, debe identificar la entrada en el repositorio del almacén de claves que quiere instalar, a menos que quiera cargar un formato PKCS #12.
- Puede hacer clic para importar un certificado.
Puede cargar el certificado de CA (sin la clave privada) que usa la CA para firmar las solicitudes. También puede cargar un certificado de cliente SSL (con la clave privada) para la autenticación de clientes.
Cuando configure la entidad CA de Microsoft, especifique el certificado de CA. Seleccione el certificado de CA desde una lista de todos los certificados de servidor que sean certificados de CA. Del mismo modo, cuando configure la autenticación de cliente, podrá seleccionar un certificado de servidor de una lista que contiene todos los certificados de servidor para los que XenMobile tiene la clave privada.
Para importar un almacén de claves
Los almacenes de claves, que son repositorios de certificados de seguridad, están diseñados para que puedan contener entradas múltiples. Al cargar entradas desde un almacén de claves, por lo tanto, se le solicitará que especifique el alias de entrada que identifica la entrada que quiera cargar. Si no se especifica ningún alias, se cargará la primera entrada del almacén. Como los archivos PKCS #12 suelen contener solo una entrada, el campo de alias no aparece cuando se selecciona PKCS #12 como tipo de almacén de claves.
-
En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. Aparecerá la página Parámetros.
-
Haga clic en Certificados. Aparecerá la página Certificados.
-
Haga clic en Importar. Aparecerá el cuadro de diálogo Importar.
-
Configure estos parámetros:
- Importar: Seleccione Almacén de claves en la lista. El cuadro de diálogo Importar cambiará para reflejar las opciones de almacén de claves disponibles.
- Tipo de almacén de claves: Seleccione PKCS #12 en la lista.
-
Usar como: En la lista, haga clic en la forma en que usará el certificado. Las opciones disponibles son:
- Servidor. Los certificados de servidor son aquellos que usa XenMobile Server, que se cargan en la consola Web de XenMobile. En este grupo se incluyen: los certificados de la entidad de certificación (CA), los certificados de la entidad de registro (RA) y los certificados para la autenticación de cliente con los demás componentes de la infraestructura. Además, puede utilizar los certificados de servidor como un almacén para los certificados que quiera implementar en los dispositivos. Este uso se aplica especialmente a certificados de entidades de certificación utilizados para establecer una relación de confianza en el dispositivo.
- SAML. La certificación de SAML (Security Assertion Markup Language) permite ofrecer acceso Single Sign-On a los servidores, los sitios web y las aplicaciones.
- APNs. Los certificados APNs de Apple permiten la administración de dispositivos móviles a través de Apple Push Network.
- Escucha SSL. La escucha de Secure Sockets Layer (SSL) notifica a XenMobile acerca de la actividad de cifrado SSL.
- Archivo de almacén de claves: Busque el almacén de claves que quiere importar del tipo de archivo P12 (o PFX en equipos Windows).
- Contraseña: Escriba la contraseña asignada al certificado.
- Descripción: Escriba una descripción opcional del almacén de claves que le ayude a distinguirlo de otros almacenes.
-
Haga clic en Importar. El almacén de claves se agrega a la tabla “Certificados”.
Para importar un certificado
Al importar un certificado (ya sea mediante un archivo o mediante una entrada del almacén de claves), XenMobile intenta crear una cadena de certificados desde la entrada. XenMobile importa todos los certificados de esa cadena (con lo que crea una entrada de certificado de servidor para cada certificado). Esta operación solo funciona si los certificados del archivo o del almacén de claves forman una cadena. Por ejemplo, si cada certificado de la cadena es el emisor del certificado anterior.
Si lo prefiere, puede agregar una descripción opcional para el certificado importado. La descripción solo se vincula al primer certificado de la cadena. Más tarde, podrá actualizar la descripción de los certificados restantes.
-
En la consola de XenMobile, haga clic en el icono con forma de engranaje, situado en la esquina superior derecha de la consola. A continuación, haga clic en Certificados.
-
En la página Certificados, haga clic en Importar. Aparecerá el cuadro de diálogo Importar.
-
En el cuadro de diálogo Importar, en Importar, si no se ha seleccionado ya, haga clic en Certificado.
-
El cuadro de diálogo Importar cambiará para reflejar las opciones de certificado disponibles. En Usar como, seleccione cómo usará el almacén de claves. Las opciones disponibles son:
- Servidor. Los certificados de servidor son aquellos que usa XenMobile Server, que se cargan en la consola Web de XenMobile. En este grupo se incluyen: los certificados de la entidad de certificación (CA), los certificados de la entidad de registro (RA) y los certificados para la autenticación de cliente con los demás componentes de la infraestructura. Además, puede utilizar los certificados de servidor como un almacén para los certificados que quiera implementar en los dispositivos. Esta opción se aplica especialmente a entidades de certificación utilizadas para establecer una relación de confianza en el dispositivo.
- SAML. La certificación de SAML (Security Assertion Markup Language) permite ofrecer acceso Single Sign-On (SSO) a los servidores, los sitios web y las aplicaciones.
- Escucha SSL. La escucha de Secure Sockets Layer (SSL) notifica a XenMobile acerca de la actividad de cifrado SSL.
-
Busque el almacén de claves que quiere importar del tipo de archivo P12 (o PFX en equipos Windows).
-
Busque el archivo de clave privada optativa del certificado. Junto con el certificado, la clave privada se usa para el cifrado y el descifrado.
-
Si quiere, escriba una descripción del certificado que le ayude a distinguirlo de otros certificados.
-
Haga clic en Importar. El certificado se agrega a la tabla “Certificados”.
Cargar en bloque certificados en dispositivos iOS con la API de REST
Si no es práctico cargar los certificados de uno en uno, puede cargar en bloque los dispositivos iOS con la API de REST. Este método admite certificados en el formato P12. Para obtener más información acerca de la API de REST, consulte API de REST.
-
Cambie el nombre de cada uno de los archivos de certificado en el formato
device_identity_value.p12
.device_identity_value
puede ser el IMEI, el número de serie o el MEID de cada dispositivo.A modo de ejemplo, elija utilizar números de serie como método de identificación. Hay un dispositivo con el número de serie
A12BC3D4EFGH
, así que el nombre del archivo de certificado que espera instalar en ese dispositivo deberá serA12BC3D4EFGH.p12
. -
Cree un archivo de texto para almacenar las contraseñas de los certificados P12. En ese archivo, escriba el identificador de dispositivo y la contraseña de cada dispositivo en una línea nueva. Utilice el formato
device_identity_value=password
. Observe a continuación:A12BC3D4EFGH.p12=password1! A12BC3D4EFIJ.p12=password2@ A12BC3D4EFKL.p12=password3# <!--NeedCopy-->
- Empaquete todos los certificados y el archivo de texto que ha creado en un archivo ZIP.
- Inicie su cliente con API de REST, inicie sesión en XenMobile y obtenga un token de autenticación.
-
Importe los certificados, poniendo lo siguiente en el cuerpo del mensaje:
{ "alias": "", "useAs": "device", "uploadType": "keystore", "keystoreType": "PKCS12", "identityType":"SERIAL_NUMBER", # identity type can be "SERIAL_NUMBER","IMEI","MEID" "credentialFileName":"credential.txt" # The credential file name in .zip } <!--NeedCopy-->
- Cree una directiva de VPN con el tipo de credencial Always on IKEv2 y el método de autenticación de dispositivo Certificado de dispositivo basado en la identidad del dispositivo. Seleccione el tipo de identidad de dispositivo que utilizó en los nombres de los archivos de certificado. Consulte Directiva de VPN.
-
Inscriba un dispositivo iOS y espere a que se implemente la directiva de VPN. Para confirmar la instalación del certificado, compruebe la configuración de MDM en el dispositivo. También puede comprobar los detalles del dispositivo en la consola de XenMobile.
También puede eliminar certificados en bloque mediante la creación de un archivo de texto con el valor device_identity_value
listado para cada certificado que quiere eliminar. En la API de REST, llame a la API de eliminación y use esta solicitud, y sustituya device_identity_value
por el identificador correspondiente:
```
{
"identityType"="device_identity_value"
}
<!--NeedCopy--> ```
Actualizar un certificado
XenMobile solo permite un certificado por clave pública en el sistema a la vez. Si intenta importar un certificado del mismo par de claves que un certificado ya importado, podrá reemplazar la entrada existente o eliminarla.
En la consola de XenMobile, la forma más eficaz de actualizar los certificados es: Haga clic en el icono con forma de engranaje ubicado en la esquina superior derecha de la consola para abrir la página Parámetros y, a continuación, haga clic en Certificados. En el cuadro de diálogo Importar, importe el nuevo certificado.
Cuando se actualice un certificado del servidor, los componentes que utilizaban el certificado anterior empiezan automáticamente a utilizar el nuevo. Del mismo modo, si ha implementado el certificado de servidor en dispositivos, el certificado se actualizará automáticamente en la siguiente implementación.
Renovar un certificado
XenMobile Server utiliza internamente las siguientes entidades de certificación (CA) para PKI: CA raíz, CA del dispositivo y CA del servidor. Esas CA se clasifican como un grupo lógico y se les proporciona un nombre de grupo. Cuando se aprovisiona una nueva instancia de XenMobile Server, se generan las tres CA y se les asigna el nombre de grupo “predeterminado”.
Puede renovar las CA para los dispositivos iOS, macOS y Android compatibles desde la consola de XenMobile Server o la API pública de REST. En caso de dispositivos Windows inscritos, los usuarios deben volver a inscribir sus dispositivos para recibir una nueva CA de dispositivo.
Están disponibles las siguientes API para renovar o regenerar las CA de PKI internas en XenMobile Server y renovar los certificados de dispositivo emitidos por estas entidades de certificación.
- Crear entidades de certificación (CA) de grupo.
- Activar nuevas CA y desactivar las antiguas.
- Renovar el certificado de dispositivo en una lista configurada de dispositivos. Los dispositivos ya inscritos continúan funcionando sin interrupciones. Se emite un certificado de dispositivo cuando este se conecta de nuevo al servidor.
- Devolver una lista de dispositivos que todavía usan la CA antigua.
- Eliminar la CA antigua cuando todos los dispositivos tengan la CA nueva.
Para obtener información, consulte las siguientes secciones en el documento PDF denominado Public API for REST Services:
- Sección 3.16.58: Renew Device Certificate (Renovar certificado de dispositivo)
- Sección 3.23: Internal PKI CA Groups (Grupos internos de CA de PKI)
La consola Administrar dispositivos incluye la acción de seguridad Renovación de certificado, que sirve para renovar el certificado de inscripción en un dispositivo.
Requisitos previos
- De forma predeterminada, la función de actualización de certificado está inhabilitada. Para activar la función de actualización de certificado, establezca la propiedad de servidor refresh.internal.ca en el valor verdadero.
Importante:
Si Citrix ADC se ha configurado para la descarga de SSL, tras generar un certificado, debe actualizar el equilibrador de carga con el nuevo cacert.perm. Para obtener más información sobre la configuración de Citrix Gateway, consulte Para usar el modo de descarga SSL para las direcciones VIP de NetScaler.
Opción de CLI para restablecer la contraseña del certificado de CA del servidor para nodos de clúster
Después de generar un certificado de CA del servidor en un nodo de XenMobile Server, use la CLI de XenMobile para restablecer la contraseña del certificado en otros nodos del clúster. Desde el menú principal de la CLI, seleccione System > Advanced Settings > Reset CA certs password. Si intenta restablecer la contraseña cuando no hay ningún certificado de CA nuevo, XenMobile no restablece la contraseña.
Administrar certificados en XenMobile
Se recomienda mantener una lista de los certificados que utilice en la implementación de XenMobile, sobre todo de sus fechas de caducidad y sus contraseñas respectivas. El objetivo de esta sección es facilitarle la tarea de administración de certificados en XenMobile.
Su entorno puede contener alguno o todos los certificados siguientes:
- XenMobile Server
- Certificado SSL para FQDN de MDM
- Certificado SAML (para Citrix Files)
- Certificados de CA raíz e intermedios para los certificados anteriores y otros recursos internos (StoreFront, Proxy, etc.)
- Certificado APNs para la administración de dispositivos iOS
- Certificado APNs interno para notificaciones de Secure Hub en XenMobile Server
- Certificado de usuario PKI para la conectividad con PKI
- MDX Toolkit
- Certificado de desarrollador de Apple
- Perfil de datos de Apple (por aplicación)
- Certificado APNs de Apple (para usar con Citrix Secure Mail)
- Archivo JKS de Android
El SDK de MAM no empaqueta aplicaciones, por lo que no requiere un certificado.
- Citrix ADC
- Certificado SSL para FQDN de MDM
- Certificado SSL para FQDN de Gateway
- Certificado SSL para FQDN de StorageZones Controller de ShareFile
- Certificado SSL para el equilibrio de carga con Exchange (configuración de descarga)
- Certificado SSL para el equilibrio de carga con StoreFront
- Certificados de CA raíz e intermedios para los certificados anteriores
Directiva de caducidad de certificados en XenMobile
Si un certificado caduca, dejará de ser válido. No podrá seguir ejecutando operaciones seguras en su entorno ni acceder a los recursos de XenMobile.
Nota:
La entidad de certificación (CA) le pide que renueve su certificado SSL antes de la fecha de caducidad.
Certificado APNs para Citrix Secure Mail
Los certificados Apple Push Notification Service (APNs) caducan cada año. Debe crear un certificado SSL de APNs y actualizarlo en el portal de Citrix antes de que caduque. Si el certificado caduca, los usuarios sufrirán interrupciones del servicio de notificaciones push en Secure Mail. Tampoco podrá seguir enviando notificaciones push a sus aplicaciones.
Certificado APNs para la administración de dispositivos iOS
Para inscribir y administrar dispositivos iOS en XenMobile, debe configurar y crear un certificado del servicio de notificaciones push de Apple (APNs) proveniente de Apple. Si el certificado caduca, los usuarios no podrán inscribirse en XenMobile y usted no podrá administrar sus dispositivos iOS. Para obtener información más detallada, consulte Certificados APNs.
Para ver el estado y la fecha de caducidad del certificado APNs, inicie sesión en el portal Apple Push Certificates Portal. Debe iniciar sesión con el mismo usuario con que creó el certificado.
Asimismo, Apple le enviará una notificación por correo electrónico entre 30 y 10 días antes de la fecha de caducidad. Esa notificación contendrá la siguiente información:
The following Apple Push Notification Service certificate, created for Apple ID CustomerID will expire on Date. Revoking or allowing this certificate to expire will require existing devices to be re-enrolled with a new push certificate.
Please contact your vendor to generate a new request (a signed CSR), then visit https://identity.apple.com/pushcert to renew your Apple Push Notification Service certificate.
Thank You,
Apple Push Notification Service
<!--NeedCopy-->
MDX Toolkit (certificado de distribución iOS)
Una aplicación que se ejecute en un dispositivo iOS físico (aparte de las aplicaciones del App Store de Apple) presenta estos requisitos de firma:
- Debe firmar la aplicación con un perfil de datos.
- Debe firmar la aplicación con un certificado de distribución correspondiente.
Para comprobar que dispone de un certificado de distribución iOS válido, lleve a cabo lo siguiente:
- Desde el portal Apple Enterprise Developer, cree un ID de aplicación explícito para cada aplicación que quiera empaquetar con MDX Toolkit. Un ejemplo de ID de aplicación válido es:
com.CompanyName.ProductName
. - Desde el portal Apple Enterprise Developer, vaya a Provisioning Profiles > Distribution y cree un perfil de datos interno. Repita este paso para cada ID de aplicación que haya creado en el paso anterior.
- Descargue todos los perfiles de datos. Para obtener más información, consulte Empaquetado de aplicaciones móviles iOS.
Para confirmar que todos los certificados de XenMobile Server son válidos, lleve a cabo lo siguiente:
- En la consola de XenMobile, haga clic en Parámetros > Certificados.
- Compruebe que todos los certificados (APNs, escucha de SSL, raíz e intermedio) son válidos.
Almacén de claves Android
El almacén de claves es un archivo que contiene certificados utilizados para firmar las aplicaciones Android. Cuando una clave caduca, los usuarios ya no pueden actualizar fácilmente la aplicación a una nueva versión.
Citrix ADC
Para obtener información detallada sobre cómo gestionar la caducidad de los certificados en Citrix ADC, consulte How to handle certificate expiry on NetScaler en Knowledge Center de Citrix Support.
Un certificado caducado de Citrix ADC impide que los usuarios inscriban sus dispositivos y accedan al almacén. El certificado caducado también impide que los usuarios se conecten al servidor Exchange cuando utilicen Secure Mail. Además, los usuarios no podrán conocer ni abrir las aplicaciones HDX (según el certificado caducado).
Command Center (Centro de comandos) y Expiry Monitor (Centro de supervisión de caducidad) son dos herramientas que pueden ayudarle a hacer un seguimiento de los certificados de Citrix ADC. Command Center le notifica cuándo caduca el certificado. Esas herramientas ayudan a supervisar los siguientes certificados de Citrix ADC:
- Certificado SSL para FQDN de MDM
- Certificado SSL para FQDN de Gateway
- Certificado SSL para FQDN de StorageZones Controller de ShareFile
- Certificado SSL para el equilibrio de carga con Exchange (configuración de descarga)
- Certificado SSL para el equilibrio de carga con StoreFront
- Certificados de CA raíz e intermedios para los certificados anteriores