Citrix Endpoint Management

Authentification certificat client ou certificat + domaine

La configuration par défaut pour Citrix Endpoint Management est l’authentification par nom d’utilisateur et mot de passe. Pour ajouter une autre couche de sécurité pour l’inscription et l’accès à l’environnement Citrix Endpoint Management, vous pouvez utiliser l’authentification basée sur certificats. Dans l’environnement Citrix Endpoint Management, cette configuration est la meilleure combinaison de sécurité et d’expérience utilisateur. L’authentification par certificat plus domaine offre les meilleures possibilités d’authentification unique associées à la sécurité fournie par l’authentification à deux facteurs sur NetScaler Gateway.

Pour une utilisabilité optimale, vous pouvez combiner l’authentification par certificat plus domaine avec le code PIN Citrix et la mise en cache du mot de passe Active Directory. Dans ce cas, les utilisateurs n’ont pas à entrer leurs noms d’utilisateur et mots de passe LDAP à plusieurs reprises. Les utilisateurs doivent entrer leurs noms et mots de passe lors de l’inscription, de l’expiration du mot de passe et du verrouillage du compte.

Important :

Citrix Endpoint Management ne prend pas en charge le passage du mode d’authentification, de l’authentification de domaine à un autre mode d’authentification, une fois que les utilisateurs ont inscrit des appareils dans Citrix Endpoint Management.

Si vous n’autorisez pas LDAP et utilisez des cartes à puce ou méthodes similaires, la configuration des certificats vous permet de représenter une carte à puce auprès de Citrix Endpoint Management. Les utilisateurs s’inscrivent alors à l’aide d’un code PIN unique généré par Citrix Endpoint Management. Une fois qu’un utilisateur a accès, Citrix Endpoint Management crée et déploie le certificat utilisé pour s’authentifier auprès de l’environnement Citrix Endpoint Management.

Vous pouvez utiliser l’assistant NetScaler pour XenMobile pour procéder à la configuration requise pour Citrix Endpoint Management lors de l’utilisation de l’authentification par certificat NetScaler Gateway ou certificat + domaine. Vous ne pouvez exécuter l’assistant NetScaler pour XenMobile qu’une seule fois.

Dans les environnements hautement sécurisés, l’utilisation d’informations d’identification LDAP en dehors d’une organisation dans des réseaux publics ou non sécurisés est considérée comme une menace de sécurité majeure pour l’entreprise. Pour les environnements hautement sécurisés, il est possible d’opter pour l’authentification à deux facteurs à l’aide d’un certificat client et d’un jeton de sécurité. Pour de plus amples informations, consultez la section Configuration de Citrix Endpoint Management pour l’authentification par certificat et jeton de sécurité.

L’authentification par certificat client est disponible pour les appareils inscrits à MAM et MDM+MAM. Pour utiliser l’authentification par certificat client pour ces appareils, vous devez configurer le serveur Microsoft, Citrix Endpoint Management et NetScaler Gateway. Suivez ces étapes générales, décrites dans cet article.

Sur le serveur Microsoft :

  1. Ajoutez un composant logiciel enfichable pour les certificats dans la console Microsoft Management Console.
  2. Ajoutez le modèle à l’autorité de certification (CA).
  3. Créez un certificat PFX depuis le serveur CA.

Sur Citrix Endpoint Management :

  1. Chargez le certificat sur Citrix Endpoint Management.
  2. Créez l’entité PKI pour l’authentification par certificat.
  3. Configurez les fournisseurs d’informations d’identification.
  4. Configurez NetScaler Gateway afin de fournir un certificat utilisateur pour l’authentification.

Pour plus d’informations sur la configuration de NetScaler Gateway, consultez ces articles dans la documentation de Citrix ADC :

Logiciel requis

  • Lorsque vous créez un modèle d’entité Services de certificats Microsoft, évitez les problèmes d’authentification possibles avec des appareils inscrits, en n’utilisant pas de caractères spéciaux. Par exemple, n’utilisez pas ces caractères dans le nom du modèle : : ! $ () # % + * ~ ? | {} []

  • Pour configurer l’authentification basée sur certificat pour Exchange ActiveSync, consultez la documentation Microsoft sur Exchange Server. Configurez le site de serveur d’autorité de certification (CA) pour Exchange ActiveSync pour exiger des certificats clients.
  • Si vous utilisez des certificats de serveur privé pour sécuriser le trafic ActiveSync avec le serveur Exchange, assurez-vous que tous les certificats racine et intermédiaires ont été installés sur les appareils mobiles. Sinon, l’authentification basée sur certificat échoue lors de la configuration de la boîte aux lettres dans Citrix Secure Mail. Dans la console Exchange IIS, vous devez :
    • Ajouter un site Web à utiliser par Citrix Endpoint Management avec Exchange et lier le certificat de serveur Web.
    • Utiliser le port 9443.
    • Pour ce site Web, vous devez ajouter deux applications, une pour « Microsoft-Server-ActiveSync » et une pour « EWS ». Pour ces deux applications, sous Paramètres SSL, sélectionnez Exiger SSL.

Ajoutez un composant logiciel enfichable pour les certificats dans la console Microsoft Management Console

  1. Ouvrez la console et cliquez sur Ajouter/Supprimer un composant logiciel enfichable.

  2. Ajoutez les composants logiciels enfichables suivants :

    • Modèles de certificats
    • Certificats (ordinateur local)
    • Certificats - Utilisateur actuel
    • Autorité de certification (locale)

    Microsoft Management Console

  3. Développez Modèles de certificats.

    Microsoft Management Console

  4. Sélectionnez le modèle Utilisateur et Dupliquer le modèle.

    Microsoft Management Console

  5. Fournissez le nom du modèle.

    Important :

    Sélectionnez la case Publier le certificat dans Active Directory uniquement si nécessaire. Si cette option est sélectionnée, tous les certificats client utilisateur sont créés dans Active Directory, ce qui pourrait encombrer votre base de données Active Directory.

  6. Sélectionnez Windows 2003 Server comme type de modèle. Dans Windows 2012 R2 Server, sous Compatibilité, sélectionnez Autorité de certification et définissez le destinataire en tant que Windows 2003.

  7. Sous Sécurité, cliquez sur Ajouter, puis sélectionnez le compte utilisateur AD que Citrix Endpoint Management utilisera pour générer des certificats.

    Important :

    ajoutez uniquement l’utilisateur du compte de service ici. Ajoutez l’autorisation Inscrire uniquement pour ce compte utilisateur AD.

    Comme décrit plus loin dans cet article, vous allez créer un certificat utilisateur .pfx à l’aide du compte de service. Pour plus d’informations, consultez la section Création d’un certificat PFX depuis le serveur CA.

    Microsoft Management Console

  8. Sous Cryptographie, assurez-vous de fournir la taille de la clé. Vous entrerez plus tard la taille de la clé lors de la configuration de Citrix Endpoint Management.

    Microsoft Management Console

  9. Sous Nom du sujet, sélectionnez Fournir dans la demande. Appliquez les modifications et enregistrez.

    Microsoft Management Console

Ajout du modèle à l’autorité de certification (CA)

  1. Accédez à Autorité de certification et sélectionnez Modèles de certificats.

  2. Cliquez avec le bouton droit dans le panneau de droite et sélectionnez Nouveau > Modèle de certificat à délivrer.

    Microsoft Management Console

  3. Sélectionnez le modèle que vous avez créé à l’étape précédente et cliquez sur OK pour l’ajouter à l’autorité de certification.

    Microsoft Management Console

Création d’un certificat PFX depuis le serveur CA

  1. Créez un certificat utilisateur .pfx à l’aide du compte de service avec lequel vous vous êtes connecté. Ce fichier .pfx est chargé dans Citrix Endpoint Management, qui demande ensuite un certificat utilisateur de la part des utilisateurs qui inscrivent leurs appareils.

  2. Sous Utilisateur actuel, développez Certificats.

  3. Cliquez avec le bouton droit dans le panneau de droite et cliquez sur Demander un nouveau certificat.

    Microsoft Management Console

  4. L’écran Inscription de certificats s’affiche. Cliquez sur Suivant.

    Microsoft Management Console

  5. Sélectionnez Stratégie d’inscription à Active Directory et cliquez sur Suivant.

    Microsoft Management Console

  6. Sélectionnez le modèle Utilisateur et cliquez sur Inscrire.

    Microsoft Management Console

  7. Exportez le fichier .pfx que vous avez créé à l’étape précédente.

    Microsoft Management Console

  8. Cliquez sur Oui, exporter la clé privée.

    Microsoft Management Console

  9. Sélectionnez Si possible inclure tous les certificats dans le chemin d’accès de certification si possible et la case Exporter toutes les propriétés étendues.

    Microsoft Management Console

  10. Définissez un mot de passe que vous utiliserez lors du chargement de ce certificat dans Citrix Endpoint Management.

    Microsoft Management Console

  11. Enregistrez le certificat sur votre disque dur.

Chargement du certificat dans Citrix Endpoint Management

  1. Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. L’écran Paramètres s’affiche.

  2. Cliquez sur Certificats et sur Importer.

  3. Entrez les paramètres suivants :

    • Importer : Keystore
    • Type de keystore : PKCS # 12
    • Utiliser en tant que : Serveur
    • Fichier de keystore : cliquez sur Parcourir pour sélectionner le certificat .pfx que vous avez créé.
    • Mot de passe : entrez le mot de passe que vous avez créé pour ce certificat.

    Écran de configuration des certificats

  4. Cliquez sur Importer.

  5. Vérifiez que le certificat a été installé correctement. Un certificat correctement installé s’affiche en tant que certificat utilisateur.

Création de l’entité PKI pour l’authentification par certificat

  1. Dans Paramètres, accédez à Plus > Gestion des certificats > Entités PKI.

  2. Cliquez sur Ajouter et sur Entité Services de certificats Microsoft. L’écran Entité Services de certificats Microsoft : informations générales s’affiche.

  3. Entrez les paramètres suivants :

    • Nom : entrez un nom quelconque.
    • URL racine du service d’inscription Web : https://RootCA-URL/certsrv/ (N’oubliez pas d’ajouter la dernière barre oblique (/) dans l’URL.)
    • Nom de page certnew.cer : certnew.cer (valeur par défaut)
    • certfnsh.asp : certfnsh.asp (valeur par défaut)
    • Type d’authentification : certificat client
    • Certificat SSL : sélectionnez le certificat utilisateur à utiliser pour émettre le certificat client Citrix Endpoint Management. Si aucun certificat n’existe, suivez la procédure décrite dans la section précédente pour télécharger des certificats.

    Écran de configuration des certificats

  4. Sous Modèles, ajoutez le modèle que vous avez créé lors de la configuration du certificat Microsoft. N’ajoutez pas d’espaces.

    Écran de configuration des certificats

  5. Ignorez les paramètres HTTP et cliquez sur Certificats CA.

  6. Sélectionnez le nom de l’autorité de certification racine qui correspond à votre environnement. L’autorité de certification racine fait partie de la chaîne importée depuis le certificat client Citrix Endpoint Management.

    Écran de configuration des certificats

  7. Cliquez sur Enregistrer.

Configuration des Fournisseurs d’informations d’identification

  1. Dans Paramètres, accédez à Plus > Gestion des certificats > Fournisseurs d’informations d’identification.

  2. Cliquez sur Ajouter.

  3. Sous Général, entrez les paramètres suivants :

    • Nom : entrez un nom quelconque.
    • Description : entrez une description quelconque.
    • Entité émettrice : sélectionnez l’entité PKI créée précédemment.
    • Méthode d’émission : SIGNER
    • Modèles : sélectionnez le modèle ajouté sous l’entité PKI.

    Écran de configuration Fournisseurs d’informations d’identification

  4. Cliquez sur Demande de signature de certificat et entrez les paramètres suivants :

    • Algorithme de clé : RSA
    • Taille de la clé : 2048
    • Algorithme de signature : SHA256withRSA
    • Nom du sujet : cn=$user.username

    Pour Noms de sujet alternatifs, cliquez sur Ajouter et entrez les paramètres suivants :

    • Type : nom principal de l’utilisateur
    • Valeur : $user.userprincipalname

    Écran de configuration Fournisseurs d’informations d’identification

  5. Cliquez sur Distribution et entrez les paramètres suivants :

    • Certificat émis par l’autorité de certification : sélectionnez l’autorité de certification émettrice qui a signé le certificat client Citrix Endpoint Management.
    • Sélectionner le mode de distribution : sélectionnez Préférer mode centralisé : génération de la clé sur le serveur.

    Écran de configuration Fournisseurs d’informations d’identification

  6. Pour les deux prochaines sections, Révocation Citrix Endpoint Management et Révocation PKI, définissez les paramètres comme vous le souhaitez. Dans cet exemple, les deux options sont ignorées.

  7. Cliquez sur Renouvellement.

  8. Activez Renouveler les certificats lorsqu’ils expirent.

  9. Laissez tous les autres paramètres par défaut ou modifiez-les comme vous le souhaitez.

    Écran de configuration Fournisseurs d’informations d’identification

  10. Cliquez sur Enregistrer.

Configuration de Citrix Secure Mail pour utiliser l’authentification basée sur certificat

Lorsque vous ajoutez Citrix Secure Mail à Citrix Endpoint Management, n’oubliez pas de configurer les paramètres Exchange sous Paramètres applicatifs.

Écran de configuration des applications

Configuration de la mise à disposition de certificats NetScaler Gateway dans Citrix Endpoint Management

  1. Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit. L’écran Paramètres s’affiche.

  2. Sous Serveur, cliquez sur NetScaler Gateway.

  3. Si NetScaler Gateway n’est pas déjà ajouté, cliquez sur Ajouter et spécifiez les paramètres :

    • Nom : nom descriptif de l’appliance.
    • Alias : alias facultatif de l’appliance.
    • URL externe : https://YourCitrixGatewayURL
    • Type d’ouverture de session : sélectionnez Certificat et domaine
    • Mot de passe requis : Désactivé
    • Définir par défaut : Activé
  4. Pour Authentification et Délivrer un certificat utilisateur pour l’authentification, sélectionnez Activé.

    Écran de configuration de NetScaler Gateway

  5. Pour Fournisseur d’identités, sélectionnez un fournisseur et cliquez sur Enregistrer.

  6. Pour utiliser des attributs sAMAccount dans les certificats utilisateur comme une alternative au nom d’utilisateur principal (UPN), configurez le connecteur LDAP dans Citrix Endpoint Management : accédez à Paramètres > LDAP, sélectionnez le répertoire et cliquez sur Modifier, puis sélectionnez sAMAccountName dans Recherche utilisateur par.

    Écran Configuration du LDAP

Activer le code PIN Citrix et la mise en cache du mot de passe de l’utilisateur

Pour activer le code PIN Citrix et la mise en cache du mot de passe de l’utilisateur, accédez à Paramètres > Propriétés du client et sélectionnez ces cases : Activer l’authentification par code PIN Citrix et Activer la mise en cache du mot de passe de l’utilisateur. Pour de plus amples informations, consultez la section Propriétés du client.

Résolution des problèmes de configuration du certificat client

Une fois la configuration précédente et la configuration NetScaler Gateway effectuées avec succès, le workflow de l’utilisateur est le suivant :

  1. Les utilisateurs inscrivent leurs appareils mobiles.

  2. Citrix Endpoint Management invite les utilisateurs à créer un code PIN Citrix.

  3. Les utilisateurs sont redirigés vers le magasin d’applications.

  4. Lorsque les utilisateurs démarrent Citrix Secure Mail, Citrix Endpoint Management ne les invite pas à entrer d’informations d’identification afin de configurer leurs boîtes aux lettres. Au lieu de cela, Citrix Secure Mail demande le certificat client de Citrix Secure Hub et l’envoie à Microsoft Exchange Server pour authentification. Si Citrix Endpoint Management invite les utilisateurs à entrer des informations d’identification lorsqu’ils démarrent Citrix Secure Mail, vérifiez votre configuration.

Si les utilisateurs peuvent télécharger et installer Citrix Secure Mail, mais que Citrix Secure Mail ne termine pas la configuration durant la configuration de la boîte aux lettres :

  1. Si Microsoft Exchange Server ActiveSync utilise des certificats de serveur SSL privé pour sécuriser le trafic, vérifiez que les certificats racine/intermédiaire sont installés sur l’appareil mobile.

  2. Vérifiez que le type d’authentification sélectionné pour ActiveSync est Exiger les certificats clients.

    Écran des propriétés de Microsoft ActiveSync

  3. Sur Microsoft Exchange Server, sélectionnez le site Microsoft-Server-ActiveSync pour vérifier que l’authentification par mappage de certificat client est activée. Par défaut, l’authentification par mappage de certificat client est désactivée. L’option figure sous Éditeur de configuration > Sécurité > Authentification.

    Écran de configuration de Microsoft ActiveSync

    Après avoir sélectionné Vrai, cliquez sur Appliquer pour que les modifications prennent effet.

  4. Vérifiez les paramètres de NetScaler Gateway dans la console Citrix Endpoint Management : assurez-vous que Délivrer un certificat utilisateur pour l’authentification est défini sur Activé et que le profil correct est sélectionné pour Fournisseur d’identités.

Pour déterminer si le certificat client a été délivré à un appareil mobile

  1. Dans la console Citrix Endpoint Management, accédez à Gérer > Appareils et sélectionnez l’appareil.

  2. Cliquez sur Modifier ou Afficher plus.

  3. Accédez à la section Groupes de mise à disposition et recherchez cette entrée :

    Informations d’identification NetScaler Gateway : Requested credential, CertId=

Pour vérifier si la négociation du certificat client est activée

  1. Exécutez cette commande netsh pour afficher la configuration du certificat SSL qui est liée sur le site Web IIS :

    netsh http show sslcert

  2. Si la valeur Négocier le certificat client est désactivée, exécutez la commande suivante pour l’activer :

    netsh http delete sslcert ipport=0.0.0.0:443

    netsh http add sslcert ipport=0.0.0.0:443 certhash=cert_hash appid={app_id} certstorename=store_name verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

    Par exemple :

    netsh http add sslcert ipport=0.0.0.0:443 certhash=23498dfsdfhaf98rhkjqf9823rkjhdasf98asfk appid={123asd456jd-a12b-3c45-d678-123456lkjhgf} certstorename=ExampleCertStoreName verifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=Disable UsageCheck=Enable clientcertnegotiation=Enable

Si vous ne pouvez pas délivrer de certificats racine/intermédiaire à un appareil Windows Phone 8.1 via Citrix Endpoint Management :

  • Envoyez des fichiers de certificats racine/intermédiaire (.cer) par e-mail à l’appareil Windows Phone 8.1 et installez-les directement.

Si Citrix Secure Mail n’est pas installé correctement sur Windows Phone 8.1, vérifiez les points suivants :

  • Le fichier de jeton d’inscription d’application (.AETX) est délivré via Citrix Endpoint Management à l’aide de la stratégie d’hub d’entreprise.
  • Le jeton d’inscription d’application a été créé à l’aide du même certificat d’entreprise que celui du fournisseur de certificats utilisé pour encapsuler Citrix Secure Mail et signer les applications Citrix Secure Hub.
  • Le même ID d’éditeur est utilisé pour signer et encapsuler Citrix Secure Hub, Citrix Secure Mail et le jeton d’inscription d’application.