XenMobile® Server

Proveedores de credenciales

April 16, 2026

Contribución de:

Los proveedores de credenciales son las configuraciones de certificado reales que utilizas en las distintas partes del sistema XenMobile®. Los proveedores de credenciales definen las fuentes, los parámetros y los ciclos de vida de tus certificados. Estas operaciones se producen tanto si los certificados forman parte de las configuraciones de los dispositivos como si son independientes (es decir, se envían tal cual al dispositivo).

La inscripción de dispositivos restringe el ciclo de vida de los certificados. Es decir, XenMobile no emite certificados antes de la inscripción, aunque XenMobile podría emitir algunos certificados como parte de la inscripción. Además, los certificados emitidos desde la PKI interna en el contexto de una inscripción se revocan cuando se revoca la inscripción. Una vez que finaliza la relación de administración, no queda ningún certificado válido.

Puedes usar una configuración de proveedor de credenciales en varios lugares, de modo que una configuración puede regir cualquier número de certificados al mismo tiempo. La unidad se encuentra entonces en el recurso de implementación y en la implementación. Por ejemplo, si el proveedor de credenciales P se implementa en el dispositivo D como parte de la configuración C: La configuración de emisión para P determina el certificado que se implementa en D. Del mismo modo, la configuración de renovación para D se aplica cuando se actualiza C. Y la configuración de revocación para D también se aplica cuando se elimina C o cuando se revoca D.

Según esas reglas, la configuración del proveedor de credenciales en XenMobile determina lo siguiente:

La fuente de los certificados.
El método para obtener certificados: Firmar un nuevo certificado o recuperar un par de claves y certificados existentes.
Los parámetros de emisión o recuperación. Por ejemplo, los parámetros de la solicitud de firma de certificado (CSR), como el tamaño de la clave, el algoritmo de clave y las extensiones de certificado.
La forma en que se entregan los certificados al dispositivo.
Condiciones de revocación. Aunque todos los certificados se revocan en XenMobile cuando se interrumpe la relación de administración, la configuración podría especificar una revocación anterior. Por ejemplo, la configuración puede especificar que se revoque un certificado cuando se elimina la configuración del dispositivo asociada. Además, bajo algunas condiciones, la revocación del certificado asociado en XenMobile podría enviarse a la infraestructura de clave pública (PKI) de back-end. Es decir, la revocación de certificados en XenMobile puede causar la revocación de certificados en la PKI.
Configuración de renovación. Los certificados obtenidos a través de un proveedor de credenciales determinado pueden renovarse automáticamente cuando se acercan a su vencimiento. O, independientemente de esa situación, se pueden emitir notificaciones cuando se acerca ese vencimiento.

La disponibilidad de las opciones de configuración depende principalmente del tipo de entidad PKI y del método de emisión que selecciones para un proveedor de credenciales.

Métodos de emisión de certificados

Puedes obtener un certificado, lo que se conoce como el método de emisión por firma.

Con este método, la emisión implica crear una nueva clave privada, crear una CSR y enviar la CSR a una autoridad de certificación (CA) para su firma. XenMobile admite el método de firma tanto para entidades de servicios de certificados de MS como para entidades de CA discrecionales.

Un proveedor de credenciales utiliza el método de emisión por firma.

Entrega de certificados

En XenMobile hay dos modos de entrega de certificados disponibles: centralizado y distribuido. El modo distribuido utiliza el Protocolo simple de inscripción de certificados (SCEP) y solo está disponible en situaciones en las que el cliente admite el protocolo (solo iOS). El modo distribuido es obligatorio en algunas situaciones.

Para que un proveedor de credenciales admita la entrega distribuida (asistida por SCEP), es necesario un paso de configuración especial: la configuración de certificados de la autoridad de registro (RA). Los certificados de RA son necesarios porque, si utilizas el protocolo SCEP, XenMobile actúa como un delegado (un registrador) de la autoridad de certificación real. XenMobile debe demostrar al cliente que tiene la autoridad para actuar como tal. Esa autoridad se establece cargando los certificados mencionados anteriormente en XenMobile.

Se requieren dos roles de certificado distintos (aunque un solo certificado puede cumplir ambos requisitos): firma de RA y cifrado de RA. Las restricciones para estos roles son las siguientes:

El certificado de firma de RA debe tener el uso de clave X.509 de firma digital.
El certificado de cifrado de RA debe tener el uso de clave X.509 de cifrado de clave.

Para configurar los certificados de RA del proveedor de credenciales, carga los certificados en XenMobile y luego enlaza con ellos en el proveedor de credenciales.

Se considera que un proveedor de credenciales admite la entrega distribuida solo si el proveedor tiene un certificado configurado para los roles de certificado. Puedes configurar cada proveedor de credenciales para que prefiera el modo centralizado, el modo distribuido o para que requiera el modo distribuido. El resultado real depende del contexto: si el contexto no admite el modo distribuido, pero el proveedor de credenciales requiere este modo, la implementación falla. Del mismo modo, si el contexto requiere el modo distribuido, pero el proveedor de credenciales no admite el modo distribuido, la implementación falla. En todos los demás casos, se respeta la configuración preferida.

La siguiente tabla muestra la distribución de SCEP en XenMobile:

Contexto	SCEP compatible	SCEP requerido
Servicio de perfiles de iOS	Sí	Sí
Inscripción de administración de dispositivos móviles de iOS	Sí	No
Perfiles de configuración de iOS	Sí	No
Inscripción SHTP	No	No
Configuración SHTP	No	No
Inscripción de tabletas Windows	No	No
Configuración de tabletas Windows	No, excepto para la política de dispositivos Wi-Fi, que es compatible con Windows 10 y Windows 11	No

Revocación de certificados

Hay tres tipos de revocación.

Revocación interna: La revocación interna afecta el estado del certificado tal como lo mantiene XenMobile. XenMobile considera este estado al evaluar un certificado presentado o al proporcionar información de estado OCSP para un certificado. La configuración del proveedor de credenciales determina cómo se ve afectado este estado bajo diversas condiciones. Por ejemplo, el proveedor de credenciales podría especificar que los certificados se marquen como revocados cuando se eliminan del dispositivo.
Revocación propagada externamente: También conocida como Revocación XenMobile, este tipo de revocación se aplica a los certificados obtenidos de una PKI externa. El certificado se revoca en la PKI cuando XenMobile revoca internamente el certificado, bajo las condiciones definidas por la configuración del proveedor de credenciales.
Revocación inducida externamente: También conocida como Revocación PKI, este tipo de revocación también se aplica solo a los certificados obtenidos de una PKI externa. Cada vez que XenMobile evalúa un estado de certificado determinado, XenMobile consulta a la PKI sobre ese estado. Si el certificado se revoca, XenMobile revoca internamente el certificado. Este mecanismo utiliza el protocolo OCSP.

Estos tres tipos no son exclusivos, sino que se aplican conjuntamente. Una revocación externa o un hallazgo independiente pueden causar una revocación interna. Una revocación interna puede afectar potencialmente a una revocación externa.

Renovación de certificados

Una renovación de certificado es la combinación de la revocación del certificado existente y la emisión de otro certificado.

XenMobile intenta primero obtener el nuevo certificado antes de revocar el certificado anterior, para evitar la interrupción del servicio si la emisión falla. Para la entrega distribuida (compatible con SCEP), la revocación también solo ocurre después de que el certificado se haya instalado correctamente en el dispositivo. De lo contrario, la revocación ocurre antes de que el nuevo certificado se envíe al dispositivo. Esa revocación es independiente del éxito o fracaso de la instalación del certificado.

La configuración de revocación requiere que especifiques una duración determinada (en días). Cuando el dispositivo se conecta, el servidor verifica si la fecha NotAfter del certificado es posterior a la fecha actual, menos la duración especificada. Si el certificado cumple esa condición, XenMobile intenta renovar el certificado.

Crear un proveedor de credenciales

La configuración de un proveedor de credenciales varía principalmente en función de la entidad emisora y el método de emisión que selecciones para el proveedor de credenciales. Puedes distinguir entre proveedores de credenciales que utilizan una entidad interna o una entidad externa:

Una entidad discrecional, que es interna a XenMobile, es una entidad interna. El método de emisión para una entidad discrecional es siempre una firma. Firma significa que con cada operación de emisión, XenMobile firma un nuevo par de claves con el certificado de CA seleccionado para la entidad. Si el par de claves se genera en el dispositivo o en el servidor depende del método de distribución que selecciones.
Una entidad externa, que forma parte de tu infraestructura corporativa, incluye la CA de Microsoft.

En la consola de XenMobile, haz clic en el icono de engranaje en la esquina superior derecha y luego haz clic en Configuración > Proveedores de credenciales.
En la página Proveedores de credenciales, haz clic en Agregar.

Aparece la página Proveedores de credenciales: Información general.
En la página Proveedores de credenciales: Información general, haz lo siguiente:
- Nombre: Escribe un nombre único para la nueva configuración del proveedor. Este nombre se utiliza más adelante para identificar la configuración en otras partes de la consola de XenMobile.
- Descripción: Describe el proveedor de credenciales. Aunque este campo es opcional, una descripción puede proporcionar detalles útiles sobre este proveedor de credenciales.
- Entidad emisora: Haz clic en la entidad emisora de certificados.
- Método de emisión: Haz clic en Firmar o Recuperar para que sirva como el método que utiliza el sistema para obtener certificados de la entidad configurada. Para la autenticación de certificados de cliente, usa Firmar.
- Si la lista Plantilla está disponible, selecciona la plantilla que agregaste en la entidad PKI para el proveedor de credenciales.
  
  Estas plantillas están disponibles cuando se agregan entidades de servicios de certificados de Microsoft en Configuración > Entidades PKI.
Haz clic en Siguiente.

Aparece la página Proveedores de credenciales: Solicitud de firma de certificado.
En la página Proveedores de credenciales: Solicitud de firma de certificado, configura lo siguiente según tu configuración de certificado:
- Algoritmo de clave: Elige el algoritmo de clave para el nuevo par de claves. Los valores disponibles son RSA, DSA y ECDSA.
- Tamaño de clave: Escribe el tamaño, en bits, del par de claves. Este campo es obligatorio.
  
  Los valores permitidos dependen del tipo de clave. Por ejemplo, el tamaño máximo para las claves DSA es de 1024 bits. Para evitar falsos negativos, que dependen del hardware y software subyacentes, XenMobile no impone tamaños de clave. Prueba siempre las configuraciones de los proveedores de credenciales en un entorno de prueba antes de activarlas en producción.
- Algoritmo de firma: Haz clic en un valor para el nuevo certificado. Los valores dependen del algoritmo de clave.
- Nombre del asunto: Obligatorio. Escribe el nombre distintivo (DN) del nuevo asunto del certificado. Por ejemplo: CN=${user.username}, OU=${user.department}, O=${user.companyname},C=${user.c}\endquotation
  
  Por ejemplo, para la autenticación de certificados de cliente, usa esta configuración:
  - Algoritmo de clave: RSA
  - Tamaño de clave: 2048
  - Algoritmo de firma: SHA256withRSA
  - Nombre del asunto: cn=$user.username
- Para agregar una entrada a la tabla Nombres alternativos del asunto, haz clic en Agregar. Selecciona el tipo de nombre alternativo y luego escribe un valor en la segunda columna.
  
  Para la autenticación de certificados de cliente, especifica:
  - Tipo: Nombre principal de usuario
  - Valor: $user.userprincipalname
    
    Al igual que con el nombre del asunto, puedes usar macros de XenMobile en el campo de valor.
Haz clic en Siguiente.

Aparece la página Proveedores de credenciales: Distribución.
En la página Proveedores de credenciales: Distribución, haz lo siguiente:
- En la lista Certificado de CA emisor, haz clic en el certificado de CA ofrecido. Debido a que el proveedor de credenciales utiliza una entidad de CA discrecional, el certificado de CA para el proveedor de credenciales es siempre el certificado de CA configurado en la propia entidad. El certificado de CA se presenta aquí para mantener la coherencia con las configuraciones que utilizan entidades externas.
- En Seleccionar modo de distribución, haz clic en una de las siguientes formas de generar y distribuir claves:
  - Preferir centralizado: Generación de claves en el servidor: Citrix recomienda esta opción centralizada. Es compatible con todas las plataformas compatibles con XenMobile y es obligatoria cuando se utiliza la autenticación de Citrix Gateway. Las claves privadas se generan y almacenan en el servidor y se distribuyen a los dispositivos de los usuarios.
  - Preferir distribuido: Generación de claves en el dispositivo: Las claves privadas se generan y almacenan en los dispositivos de los usuarios. Este modo distribuido utiliza SCEP y requiere un certificado de cifrado de RA con el uso de clave keyEncryption y un certificado de firma de RA con el uso de clave digitalSignature. Se puede usar el mismo certificado para cifrado y firma.
  - Solo distribuido: Generación de claves en el dispositivo: Esta opción funciona igual que Preferir distribuido: Generación de claves en el dispositivo, excepto que, al ser “Solo” en lugar de “Preferir”, no hay ninguna opción disponible si la generación de claves en el dispositivo falla o no está disponible.
Si seleccionaste Preferir distribuido: Generación de claves en el dispositivo o Solo distribuido: Generación de claves en el dispositivo, haz clic en el certificado de firma de RA y en el certificado de cifrado de RA. Se puede usar el mismo certificado para ambos. Aparecen nuevos campos para estos certificados.
Haz clic en Siguiente.

Aparece la página Proveedores de credenciales: Revocación de XenMobile. En esta página, configuras las condiciones bajo las cuales XenMobile marca internamente como revocados los certificados emitidos a través de esta configuración de proveedor.
En la página Proveedores de credenciales: Revocación de XenMobile, haz lo siguiente:
- En Revocar certificados emitidos, selecciona una de las opciones que indican cuándo revocar certificados.
- Para indicar a XenMobile que envíe una notificación cuando se revoque el certificado: Establece el valor de Enviar notificación en Activado y elige una plantilla de notificación.
- Para revocar el certificado en la PKI cuando el certificado se revoca de XenMobile: Establece Revocar certificado en PKI en Activado y, en la Lista de entidades, haz clic en una plantilla. La lista de entidades muestra todas las entidades disponibles con capacidades de revocación. Cuando el certificado se revoca de XenMobile, se envía una llamada de revocación a la PKI seleccionada de la lista de entidades.
Haz clic en Siguiente.

Aparece la página Proveedores de credenciales: Revocación de PKI. En esta página, identificas las acciones que se deben realizar en la PKI si se revoca el certificado. También tienes la opción de crear un mensaje de notificación.
En la página Proveedores de credenciales: Revocación de PKI, haz lo siguiente si quieres revocar certificados de la PKI:
- Cambia la configuración de Habilitar comprobaciones de revocación externa a Activado. Aparecen más campos relacionados con la revocación de PKI.
- En la lista Certificado de CA del respondedor OCSP, haz clic en el nombre distintivo (DN) del asunto del certificado.
  
  Puedes usar macros de XenMobile para los valores del campo DN. Por ejemplo: CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation
- En la lista Cuando se revoca el certificado, haz clic en una de las siguientes acciones que se deben realizar en la entidad PKI cuando se revoca el certificado:
  - No hacer nada.
  - Renovar el certificado.
  - Revocar y borrar el dispositivo.
- Para indicar a XenMobile que envíe una notificación cuando se revoque el certificado: Establece el valor de Enviar notificación en Activado.
  
  Puedes elegir entre dos opciones de notificación:
- Si seleccionas Seleccionar plantilla de notificación, puedes seleccionar un mensaje de notificación preescrito que luego puedes personalizar. Estas plantillas se encuentran en la lista de plantillas de notificación.
- Si seleccionas Introducir detalles de notificación, puedes escribir tu propio mensaje de notificación. Además de proporcionar la dirección de correo electrónico del destinatario y el mensaje, puedes establecer la frecuencia con la que se envía la notificación.
Haz clic en Siguiente.

Aparece la página Proveedores de credenciales: Renovación. En esta página, puedes configurar XenMobile para que haga lo siguiente:
- Renovar el certificado. Opcionalmente, puedes enviar una notificación de renovación y, opcionalmente, excluir los certificados ya caducados de la operación.
- Emitir una notificación para los certificados que se acercan a su vencimiento (notificación antes de la renovación).
En la página Proveedores de credenciales: Renovación, haz lo siguiente si quieres renovar certificados cuando caduquen:

Establece Renovar certificados cuando caduquen en Activado. Aparecen más campos.
- En el campo Renovar cuando el certificado esté dentro de, escribe cuántos días antes del vencimiento se debe renovar el certificado.
- Opcionalmente, selecciona No renovar certificados que ya hayan caducado. En este caso, “ya caducado” significa que la fecha NotAfter está en el pasado, no que ha sido revocado. XenMobile no renueva los certificados después de que se revocan internamente.
Para indicar a XenMobile que envíe una notificación cuando el certificado se haya renovado: Establece Enviar notificación en Activado. Para indicar a XenMobile que envíe una notificación cuando el certificado se acerque a su vencimiento: Establece Notificar cuando el certificado se acerque a su vencimiento en Activado. Para cualquiera de esas opciones, puedes elegir entre dos opciones de notificación:
- Seleccionar plantilla de notificación: Selecciona un mensaje de notificación preescrito que luego puedes personalizar. Estas plantillas se encuentran en la lista de plantillas de notificación.
- Introducir detalles de notificación: Escribe tu propio mensaje de notificación. Proporciona la dirección de correo electrónico del destinatario, un mensaje y una frecuencia para enviar la notificación.
En el campo Notificar cuando el certificado esté dentro de, escribe cuántos días antes del vencimiento del certificado se debe enviar la notificación.
Haz clic en Guardar.

El proveedor de credenciales aparece en la tabla Proveedor de credenciales.

La versión oficial de este contenido está en inglés. Para mayor comodidad, parte del contenido de la documentación de Cloud Software Group solo tiene traducción automática. Cloud Software Group no puede controlar el contenido con traducción automática, que puede contener errores, imprecisiones o un lenguaje inadecuado. No se ofrece ninguna garantía, ni implícita ni explícita, en cuanto a la exactitud, la fiabilidad, la idoneidad o la precisión de las traducciones realizadas del original en inglés a cualquier otro idioma, o que su producto o servicio de Cloud Software Group se ajusten a cualquier contenido con traducción automática, y cualquier garantía provista bajo el contrato de licencia del usuario final o las condiciones de servicio, o cualquier otro contrato con Cloud Software Group, de que el producto o el servicio se ajusten a la documentación no se aplicará en cuanto dicha documentación se ha traducido automáticamente. Cloud Software Group no se hace responsable de los daños o los problemas que puedan surgir del uso del contenido traducido automáticamente.

¿Le ha resultado útil?

Proveedores de credenciales

April 16, 2026

Contribución de:

April 16, 2026

Contribución de:

¿Le ha resultado útil?