XenMobile Server

Entidades de PKI

La configuración de una entidad de infraestructura de clave pública (PKI) de XenMobile representa un componente que lleva a cabo operaciones de PKI (emisión, revocación e información de estado). Estos componentes son internos o externos a XenMobile. Los componentes internos se conocen como discrecionales. Los componentes externos forman parte de su infraestructura corporativa.

XenMobile admite los siguientes tipos de entidades de infraestructura PKI:

  • Servicios de certificados de Microsoft

  • Entidades de certificación discrecionales (CA)

XenMobile admite el uso de estos servidores de CA:

  • Windows Server 2019
  • Windows Server 2016

Nota:

Los Windows Servers 2012 R2, 2012 y 2008 R2 ya no reciben asistencia porque han llegado a su fin de vida. Para obtener más información, consulte la documentación sobre el ciclo de vida de los productos de Microsoft.

Conceptos comunes de infraestructura de clave pública

Independientemente de su tipo, cada entidad de infraestructura de clave pública (PKI) tiene un subconjunto de las siguientes funciones:

  • Sign: Emitir un nuevo certificado a partir de una solicitud de firma de certificado (CSR).
  • Fetch: Recuperar un par de claves y un certificado existentes.
  • Revoke: Revocar un certificado de cliente.

Acerca de los certificados de CA

Cuando configure una entidad de infraestructura PKI, deberá indicar a XenMobile el certificado de CA que va a actuar como firmante de los certificados que esta entidad emita (o de aquellos certificados que se recuperen de ella). Esa entidad PKI puede devolver certificados (ya sean recuperados o recién firmados) que haya firmado una cantidad indefinida de entidades de certificación (CA).

Debe proporcionar el certificado de cada una de estas entidades de certificación cuando configure la entidad de infraestructura PKI. Para ello, cargue los certificados en XenMobile y, a continuación, remita a ellos en la entidad de infraestructura PKI. Para las entidades de certificación discrecionales, el certificado es implícitamente el certificado de firma de CA. Para las entidades externas, debe especificar manualmente el certificado.

Importante:

Cuando cree plantillas de entidad para Servicios de certificados de Microsoft, para evitar posibles problemas de autenticación en los dispositivos inscritos, no use caracteres especiales en el nombre de las plantillas. Por ejemplo, no use: ! : $ ( ) # % + * ~ ? | { } [ ]

Servicios de certificados de Microsoft

XenMobile interactúa con Servicios de certificados de Microsoft a través de su interfaz de inscripción web. XenMobile admite solo la emisión de certificados nuevos a través de esa interfaz. Si la CA de Microsoft genera un certificado de usuario de Citrix Gateway, Citrix Gateway admite la renovación y la revocación de esos certificados.

Para crear una entidad de certificación de infraestructura PKI de Microsoft en XenMobile, debe especificar la URL base de la interfaz Web de los Servicios de servidor de certificados. Si lo prefiere, utilice la autenticación SSL de cliente para proteger la conexión entre XenMobile y la interfaz Web de los Servicios de servidor de certificados.

Agregar una entidad de Servicios de certificados de Microsoft

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha de la consola. A continuación, haga clic en Entidades PKI.

  2. En la página Entidades PKI, haga clic en Agregar.

    Aparecerá un menú con los tipos de entidad de infraestructura de clave pública.

  3. Haga clic en Entidad de Servicios de certificados de Microsoft.

    Aparecerá la página Entidad de Servicios de certificados de Microsoft: Información general.

  4. En la página Entidad de Servicios de certificados de Microsoft: Información general, configure estos parámetros:

    • Nombre: Escriba un nombre para la nueva entidad; es el nombre que utilizará para hacer referencia a esa entidad. Los nombres de entidad deben ser únicos.
    • URL raíz del servicio de inscripción web: Especifique la URL base del servicio de inscripción web de la entidad de certificación de Microsoft (por ejemplo, https://192.0.2.13/certsrv/). La URL puede usar HTTP sin formato o HTTP sobre SSL.
    • certnew.cer page name: El nombre de la página certnew.cer. Use el nombre predeterminado a menos que se le haya cambiado el nombre por algún motivo.
    • certfnsh.asp: El nombre de la página certfnsh.asp. Use el nombre predeterminado a menos que se le haya cambiado el nombre por algún motivo.
    • Tipo de autenticación: Elija el método de autenticación que se va a utilizar.
      • Ninguno
      • HTTP básica: Proporcione el nombre de usuario y la contraseña necesarios para la conexión.
      • Certificado del cliente: Seleccione el certificado SSL de cliente correspondiente.
  5. Haga clic en Probar conexión para comprobar que el servidor está accesible. Si no se puede establecer la conexión, aparecerá un mensaje donde se indica que falló la conexión. Compruebe los parámetros de configuración.

  6. Haga clic en Siguiente.

    Aparece la página Entidad de Servicios de certificados de Microsoft: Plantillas. En esta página, especifique los nombres internos de las plantillas que admite la entidad de certificación de Microsoft. Cuando cree proveedores de credenciales, seleccione una plantilla de la lista definida aquí. Todos los proveedores de credenciales que utilicen esta entidad se valen de una plantilla exactamente igual.

    Para conocer los requisitos de plantillas de Servicios de certificados de Microsoft, consulte la documentación de Microsoft referente a su versión de servidor Microsoft. XenMobile no presenta requisitos para los certificados que distribuye, salvo los formatos de certificado indicados en Certificados.

  7. En la página Entidad de Servicios de certificados de Microsoft: Plantillas, haga clic en Agregar, escriba el nombre de la plantilla y, a continuación, haga clic en Guardar. Repita este paso para cada plantilla a agregar.

  8. Haga clic en Siguiente.

    Aparece la página Entidad de Servicios de certificados de Microsoft: Parámetros HTTP. En esta página, puede especificar parámetros personalizados que XenMobile debe agregar a la solicitud HTTP para la interfaz de inscripción web de Microsoft. Los parámetros personalizados son útiles solo para scripts personalizados que se ejecutan en la CA.

  9. En la página Entidad de Servicios de certificados de Microsoft: Parámetros HTTP, haga clic en Agregar, escriba el nombre y el valor de los parámetros HTTP a agregar. A continuación, haga clic en Siguiente.

    Aparece la página Entidad de Servicios de certificados de Microsoft: Certificados de CA. En esta página, debe indicar a XenMobile los firmantes de los certificados que el sistema va a obtener a través de esta entidad. Cuando se renueve el certificado de CA, actualícelo en XenMobile. XenMobile aplica el cambio a la entidad de forma transparente.

  10. En la página Entidad de Servicios de certificados de Microsoft: Certificados de CA, seleccione los certificados que se van a utilizar para la entidad.

  11. Haga clic en Guardar.

    La entidad se muestra en la tabla “Entidades PKI”.

Lista de revocación de certificados (CRL) de Citrix ADC

XenMobile solo admite la lista de revocación de certificados (CRL) cuando se trata de una entidad de certificación (CA) de terceros. Si dispone de una entidad de certificación de Microsoft configurada, XenMobile utiliza Citrix ADC para administrar la revocación.

Al configurar la autenticación por certificados de cliente, plantéese si debe configurar el parámetro de lista de revocación de certificados (CRL) de Citrix ADC, Enable CRL Auto Refresh. Este paso garantiza que el usuario de un dispositivo en modo solo MAM no pueda autenticarse con un certificado existente en el dispositivo.

XenMobile vuelve a emitir un certificado nuevo, porque no impide que un usuario genere otro certificado de usuario tras revocarse uno. Este parámetro aumenta la seguridad de las entidades PKI cuando la lista de revocación de certificados comprueba si hay entidades PKI caducadas.

Entidades de certificación (CA) discrecionales

Se crea una entidad de certificación discrecional al proporcionar a XenMobile un certificado de CA y la clave privada asociada. XenMobile gestiona la emisión, la revocación y la información de estado de certificados internamente en función de los parámetros especificados.

Cuando configure una entidad de certificación discrecional, puede activar el protocolo Online Certificate Status Protocol (OCSP) para esa entidad. Si (y solo si) habilita la compatibilidad con OCSP, la entidad de certificación agrega una extensión id-pe-authorityInfoAccess a los certificados que emita. La extensión apunta al respondedor OCSP interno de XenMobile que reside en la siguiente ubicación:

https://<server>/<instance>/ocsp

Al configurar el servicio OCSP, especifique un certificado de firma de OCSP para la entidad discrecional en cuestión. Puede usar el certificado de CA en sí como firmante. Para evitar una exposición innecesaria de la clave privada de la entidad de certificación (recomendado), cree un certificado de firma de OCSP delegado, firmado por la entidad de certificación, e incluya la extensión id-kp-OCSPSigning extendedKeyUsage.

El servicio de respondedor OCSP de XenMobile admite el uso de respuestas de OCSP básicas y estos algoritmos de hash en las solicitudes:

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

Las respuestas se firman con SHA-256 y el algoritmo de clave del certificado de firma (DSA, RSA o ECDSA).

Agregar entidades de certificación discrecionales

  1. En la consola de XenMobile, haga clic en el icono con forma de engranaje situado en la esquina superior derecha de la consola. A continuación, haga clic en Más > Entidades PKI.

  2. En la página Entidades PKI, haga clic en Agregar.

    Aparecerá un menú con los tipos de entidad de infraestructura de clave pública.

  3. Haga clic en Entidad de certificación (CA) discrecional.

    Aparece la página CA discrecional: Información general.

  4. En la página CA discrecional: Información general, lleve a cabo lo siguiente:

    • Nombre: Escriba un nombre descriptivo para la entidad de certificación discrecional.
    • Certificado de CA para firmar solicitudes de certificado: Haga clic en un certificado de la entidad de certificación discrecional que se utilizará para firmar las solicitudes de certificados.

      Esta lista de certificados se genera a partir de los certificados de CA con las claves privadas que se cargaron en XenMobile, en Configurar > Parámetros > Certificados.

  5. Haga clic en Siguiente.

    Aparece la página CA discrecional: Parámetros.

  6. En la página CA discrecional: Parámetros, lleve a cabo lo siguiente:

    • Generador de números de serie: La entidad de certificación discrecional genera números de serie para los certificados que emite. En esta lista, haga clic en Secuencial o en No secuencial para determinar el modo en que se generan los números.
    • Siguiente número de serie: Escriba un valor para determinar el siguiente número a emitir.
    • Certificado válido para: Escriba la cantidad de días durante los que el certificado será válido.
    • Uso de clave: Identifique el propósito de los certificados emitidos por la entidad de certificación discrecional. Para ello, active las claves apropiadas. Una vez activadas, la entidad de certificación está limitada a la emisión de certificados para esos fines.
    • Uso mejorado de clave: Para agregar más parámetros, haga clic en Agregar, escriba el nombre de la clave y, a continuación, haga clic en Guardar.
  7. Haga clic en Siguiente.

    Aparece la página CA discrecional: Distribución.

  8. En la página CA discrecional: Distribución, seleccione un modo de distribución:

    • Centralizado: generación de claves en el lado del servidor. Citrix recomienda la opción centralizada. Las claves privadas se generan y se almacenan en el servidor para, luego, distribuirse a los dispositivos de usuario.
    • Distribuido: generación de claves en el lado del dispositivo. Las claves privadas se generan en los dispositivos de usuario. El modo distribuido utiliza SCEP y requiere un certificado de cifrado de RA con la extensión keyUsage keyEncryption, así como un certificado de firma de RA con la extensión keyUsage digitalSignature. Se puede usar el mismo certificado para el cifrado y la firma.
  9. Haga clic en Siguiente.

    Aparece la página CA discrecional: Online Certificate Status Protocol (OCSP).

    En la página CA discrecional: Online Certificate Status Protocol (OCSP), lleve a cabo lo siguiente:

    • Para agregar una extensión AuthorityInfoAccess (RFC2459) a los certificados firmados por esta entidad de certificación, establezca Habilitar OCSP para esta CA en . Esta extensión apunta al respondedor OCSP de la entidad de certificación en https://<server>/<instance>/ocsp.
    • Si ha habilitado OCSP, seleccione un certificado de firma de CA OCSP. Esta lista de certificados se genera a partir de los certificados de CA que se cargaron en XenMobile.
  10. Haga clic en Guardar.

    La entidad de certificación discrecional se muestra en la tabla “Entidades PKI”.

Entidades de PKI