Fournisseur d’identités
Les Fournisseurs d’informations d’identification sont les configurations de certificat réelles que vous utilisez dans différentes parties du système Citrix Endpoint Management. Les fournisseurs d’informations d’identification définissent les sources, les paramètres et les cycles de vie de vos certificats. Ces opérations se produisent que les certificats fassent partie des configurations de l’appareil ou soient autonomes (c’est-à-dire, envoyés tels quels sur l’appareil).
L’inscription d’appareil limite le cycle de vie du certificat. En effet, Citrix Endpoint Management ne délivre pas de certificats avant l’inscription, bien qu’il puisse en émettre certains dans le cadre de l’inscription. En outre, les certificats émis par la PKI interne dans le cadre d’une inscription sont révoqués lorsque l’inscription est révoquée. Après la fin de la relation de gestion, aucun certificat valide n’est conservé.
Une configuration de fournisseur d’identités peut être utilisée à plusieurs endroits, par conséquent une configuration peut régir un grand nombre de certificats simultanément. L’unité existe alors sur la ressource de déploiement et le déploiement. Par exemple, si le fournisseur d’identités P est déployé sur l’appareil D dans le cadre de la configuration C : les paramètres d’émission pour P déterminent le certificat qui est déployé sur D. De même, les paramètres de renouvellement pour D s’appliquent lorsque C est mis à jour. Les paramètres de révocation pour D s’appliquent également lorsque C est supprimé ou que D est révoqué.
Selon ces règles, la configuration du fournisseur d’identités détermine ce qui suit dans Citrix Endpoint Management :
- La source des certificats.
- La méthode grâce à laquelle les certificats sont obtenus : signature d’un nouveau certificat ou récupération d’un certificat existant et d’une paire de clés.
- Les paramètres d’émission de certificats ou de restauration : par exemple, les paramètres de requête de signature de certificat (CSR), tels que la taille de la clé, l’algorithme de clé et les extensions de certificat.
- La façon dont les certificats sont mis à disposition sur l’appareil.
- Bien que tous les certificats soient révoqués dans Citrix Endpoint Management lorsque la relation de gestion est rompue, la configuration peut spécifier une révocation antérieure. Par exemple, la configuration peut spécifier de révoquer un certificat lorsque la configuration d’appareil associée est supprimée. En outre, dans certaines conditions, il se peut que la révocation du certificat associé dans Citrix Endpoint Management puisse être envoyée à l’infrastructure interne à clé publique (PKI) principale. Autrement dit, la révocation de certificats dans Citrix Endpoint Management peut entraîner la révocation de certificats sur la PKI.
- Paramètres de renouvellement : les certificats obtenus via un fournisseur d’informations d’identification donné peuvent être automatiquement renouvelés lorsqu’ils arrivent à expiration. Ou, des notifications peuvent être émises lorsque cette expiration approche.
La disponibilité des options de configuration dépend principalement du type d’entité PKI et de la méthode d’émission que vous sélectionnez pour un fournisseur d’identités.
Méthode d’émission de certificats
Vous pouvez obtenir un certificat, connu sous le nom de méthode d’émission, par signature.
Avec cette méthode, l’émission implique la création d’une nouvelle clé privée, la création d’une demande de signature de certificat (CSR) et la soumission de la demande de signature de certificat à une autorité de certification (CA) pour signature. Citrix Endpoint Management prend en charge la méthode de signature pour les entités Services de certificats Microsoft et les entités CA discrétionnaires.
Un fournisseur d’identités utilise la méthode d’émission par signature.
Mise à disposition de certificats
Deux modes de mise à disposition de certificats sont disponibles dans Citrix Endpoint Management : centralisée et distribuée. Le mode Distribué utilise le protocole d’inscription du certificat simple (SCEP) et est uniquement disponible dans les situations dans lesquelles le client prend en charge le protocole (iOS uniquement). Le mode distribué est obligatoire dans certains cas.
Pour qu’un fournisseur d’identités prenne en charge la mise à disposition (assisté par SCEP) distribuée, une étape de configuration spéciale est nécessaire : configuration des certificats de l’autorité d’inscription (RA). Les certificats RA sont requis, car lors de l’utilisation du protocole SCEP, Citrix Endpoint Management agit comme un délégué (registre) pour l’autorité de certification réelle. Citrix Endpoint Management doit prouver au client qu’il dispose de l’autorité d’agir en tant que tel. Cette autorité est établie par le chargement vers Citrix Endpoint Management des certificats mentionnés plus haut.
Deux rôles de certificat distincts sont requis (bien qu’un seul certificat puisse remplir les deux rôles) : la signature RA et le chiffrement RA. Les contraintes pour ces rôles sont les suivantes :
- Le certificat de signature RA doit posséder une signature numérique d’utilisation de clé X.509.
- Le certificat de chiffrement RA doit posséder un chiffrement de clé d’utilisation de clé X.509.
Pour configurer les certificats RA du fournisseur d’identités, vous chargez les certificats sur Citrix Endpoint Management, puis les associer au fournisseur d’identités.
Un fournisseur d’identités est considéré comme pouvant uniquement prendre en charge une mise à disposition distribuée s’il possède un certificat configuré pour les rôles de certificat. Vous pouvez configurer chaque fournisseur d’identités pour privilégier au choix le mode centralisé, le mode distribué ou pour requérir le mode distribué. Le résultat réel dépend du contexte : si le contexte ne prend pas en charge le mode distribué, mais que le fournisseur d’identités requiert ce mode, le déploiement échoue. De même, si le contexte requiert le mode distribué, mais que le fournisseur d’identités ne le prend pas en charge, le déploiement échoue. Dans tous les autres cas, le paramètre préféré est appliqué.
Le tableau suivant présente la distribution SCEP via Citrix Endpoint Management :
Contexte | SCEP pris en charge | SCEP requis |
---|---|---|
Service de profil iOS | Oui | Oui |
Inscription à la gestion des appareils mobiles iOS | Oui | Non |
Profils de configuration iOS | Oui | Non |
Inscription SHTP | Non | Non |
Configuration de SHTP | Non | Non |
Inscription de Windows Tablet | Non | Non |
Configuration de Windows Tablet | Non, à l’exception de la stratégie de réseau qui est prise en charge pour Windows 10 et Windows 11 | Non |
Révocation de certificats
Il existe trois types de révocation.
- Révocation interne : la révocation interne du certificat affecte le statut du certificat géré par Citrix Endpoint Management. Citrix Endpoint Management vérifie ce statut lors de l’évaluation d’un certificat présenté ou lors de la fourniture d’informations de statut OCSP pour un certificat. La configuration du fournisseur d’identités détermine la manière dont le statut est affecté par plusieurs conditions. Par exemple, le fournisseur d’identités peut spécifier que les certificats soient marqués comme révoqués lorsqu’ils ont été supprimés de l’appareil.
- Révocation propagée en externe : également appelée révocation Citrix Endpoint Management, ce type de révocation s’applique aux certificats obtenus à partir d’une PKI externe. Le certificat est révoqué sur la PKI lorsque le certificat est révoqué en interne par Citrix Endpoint Management, sous les conditions définies par la configuration du fournisseur d’identités.
- Révocation induite en interne : également appelée PKI de révocation, ce type de révocation s’applique uniquement aux certificats obtenus à partir d’une PKI externe. Chaque fois que Citrix Endpoint Management évalue le statut d’un certificat donné, Citrix Endpoint Management interroge la PKI afin de déterminer ce statut. Si le certificat est révoqué, Citrix Endpoint Management révoque le certificat en interne. Ce mécanisme utilise le protocole OCSP.
Ces trois types ne sont pas exclusifs, mais s’appliquent ensemble. Une révocation externe ou une observation indépendante peut entraîner une révocation interne. Une révocation interne affecte potentiellement une révocation externe.
Renouvellement de certificat
Un renouvellement du certificat est la combinaison de révocation d’un certificat existant et de l’émission d’un autre certificat.
Citrix Endpoint Management tente tout d’abord d’obtenir le nouveau certificat avant de révoquer le certificat précédent, afin d’éviter une discontinuité du service lorsque l’émission échoue. Pour la mise à disposition distribuée (prise en charge par SCEP), la révocation ne se produit également qu’une fois le certificat installé sur l’appareil. Sinon, la révocation a lieu avant que le nouveau certificat soit envoyé à l’appareil. Cette révocation est indépendante du succès ou de l’échec de l’installation du certificat.
La configuration de la révocation nécessite que vous spécifiiez une certaine durée (en jours). Lorsque l’appareil se connecte, le serveur vérifie que la date du certificat NotAfter
est postérieure à la date actuelle, moins la durée spécifiée. Si le certificat remplit cette condition, Citrix Endpoint Management tente de renouveler le certificat.
Créer un fournisseur d’identités
La configuration d’un fournisseur d’identités varie principalement en fonction de l’entité d’émission et de la méthode d’émission sélectionnées pour le fournisseur d’identités. Vous pouvez faire la distinction entre les fournisseurs d’identités qui utilisent une entité interne ou une entité externe :
-
Une entité discrétionnaire, qui est interne à Citrix Endpoint Management, est une entité interne. La méthode d’émission pour une entité discrétionnaire est toujours la signature. La signature signifie qu’avec chaque opération d’émission, Citrix Endpoint Management signe une nouvelle paire de clés avec le certificat d’autorité de certification sélectionné pour l’entité. L’emplacement où la paire de clés est générée (l’appareil où le serveur) dépend de la méthode de distribution sélectionnée.
-
Une entité externe, qui fait partie de votre infrastructure d’entreprise, inclut une autorité de certification Microsoft.
-
Dans la console Citrix Endpoint Management, cliquez sur l’icône d’engrenage dans le coin supérieur droit, puis cliquez sur Paramètres > Fournisseurs d’informations d’identification.
-
Sur la page Fournisseurs d’informations d’identification, cliquez sur Ajouter.
La page Fournisseurs d’informations d’identification : informations générales s’affiche.
-
Sur la page Fournisseurs d’informations d’identification : informations générales, procédez comme suit :
- Nom : entrez un nom unique pour la nouvelle configuration du fournisseur. Ce nom sera utilisé par la suite pour faire référence à la configuration dans d’autres parties de la console Citrix Endpoint Management.
- Description : décrivez le fournisseur d’identités. Bien que ce champ soit facultatif, une description peut être utile pour vous fournir des détails sur ce fournisseur d’identités.
- Entité émettrice : cliquez sur l’entité qui émet le certificat.
- Méthode d’émission : cliquez sur Signer ou Récupérer pour choisir la méthode que le système utilise pour obtenir des certificats auprès de l’entité configurée. Pour l’authentification de certificat client, utilisez Signer.
-
Si la liste Modèle est disponible, sélectionnez le modèle que vous avez ajouté sous l’entité PKI pour le fournisseur d’identités.
Ces modèles deviennent disponibles lorsque les entités Services de certificats Microsoft sont ajoutées sur Paramètres > Entités PKI.
-
Cliquez sur Suivant.
La page Fournisseur d’identités : demande de signature de certificat s’affiche.
-
Sur la page Fournisseurs d’identités : demande de signature de certificat, configurez les éléments suivants en fonction de votre configuration de certificat :
-
Algorithme de clé : choisissez l’algorithme de clé pour la nouvelle paire de clés. Les valeurs disponibles sont RSA, DSA et ECDSA.
-
Taille de la clé : entrez la taille en octets de la paire de clés. Ce champ est obligatoire.
Les valeurs autorisées dépendent du type de clé. Par exemple, la taille maximale des clés DSA est de 2048 bits. Pour éviter de faux résultats négatifs, qui dépendent du matériel ou du logiciel sous-jacent, Citrix Endpoint Management n’exige pas l’utilisation d’une taille de clé particulière. Vous devez toujours tester les configurations de fournisseur d’identités dans un environnement de test avant de les activer dans un environnement de production.
-
Algorithme de signature : cliquez sur une valeur pour le nouveau certificat. Les valeurs dépendent de l’algorithme de clé.
-
Nom du sujet : obligatoire. Tapez le nom unique (DN) du sujet du nouveau certificat. Par exemple :
CN=${user.username}, OU=${user.department}, O=${user.companyname},C=${user.c}\endquotation
For example, for client certificate authentication, use these settings:
- Key algorithm: RSA
- Key size: 2048
- Signature algorithm: SHA256withRSA
-
Subject name:
cn=$user.username
-
Pour ajouter une entrée à la table Noms de sujet alternatifs, cliquez sur Ajouter. Sélectionnez le type de nom alternatif, puis tapez une valeur dans la deuxième colonne.
Pour l’authentification du certificat client, spécifiez :
- Type : nom principal de l’utilisateur
-
Valeur :
$user.userprincipalname
Comme avec le nom du sujet, vous pouvez utiliser les macros Citrix Endpoint Management dans le champ de valeur.
-
-
Cliquez sur Suivant.
La page Fournisseurs d’informations d’identification : distribution s’affiche.
-
Sur la page Fournisseurs d’informations d’identification : distribution, procédez comme suit :
- Dans la liste Certificat émis par l’autorité de certification, cliquez sur le certificat d’autorité de certification proposé. Étant donné que le fournisseur d’identités utilise une entité d’autorité de certification discrétionnaire, le certificat d’autorité de certification du fournisseur d’identités sera toujours le certificat d’autorité de certification configuré sur l’entité elle-même. Le certificat d’autorité de certification est présenté ici pour des raisons de cohérence avec les configurations utilisant des entités externes.
- Dans Sélectionner le mode de distribution, sélectionnez l’une des méthodes de génération et de distribution de clés :
- Préférer mode centralisé : génération de la clé sur le serveur : Citrix recommande cette option centralisée. Ce mode prend en charge toutes les plates-formes prises en charge par Citrix Endpoint Management et est requis lors de l’utilisation de l’authentification NetScaler Gateway. Les clés privées sont générées et stockées sur le serveur et distribuées sur les appareils des utilisateurs.
- Préférer mode distribué : génération de la clé sur l’appareil. Les clés privées sont générées et stockées sur les appareils des utilisateurs. Ce mode distribué utilise SCEP et requiert un certificat de chiffrement RA avec le keyUsage keyEncryption et un certificat de signature RA avec le KeyUsage digitalSignature. Le même certificat peut être utilisé pour le chiffrement et la signature.
- Distribué uniquement : génération de la clé sur l’appareil : cette option fonctionne de la même façon que Préférer mode distribué : génération de la clé sur l’appareil, sauf qu’étant « Uniquement » au lieu de « Préférer », aucune option n’est disponible si la génération de la clé sur l’appareil échoue.
Si vous avez sélectionné Préférer mode distribué : génération de la clé sur l’appareil ou Distribué uniquement : génération de la clé sur l’appareil, cliquez sur le certificat de signature RA et le certificat de chiffrement RA. Le même certificat peut être utilisé pour les deux modes. De nouveaux champs apparaissent pour ces certificats.
-
Cliquez sur Suivant.
La page Fournisseurs d’informations d’identification : révocation Citrix Endpoint Management s’affiche. Sur cette page, vous configurez les conditions dans lesquelles Citrix Endpoint Management marque (en interne) comme révoqué les certificats émis au travers de cette configuration de fournisseur.
-
Sur la page Fournisseurs d’informations d’identification : révocation Citrix Endpoint Management, procédez comme suit :
- Dans Révoquer les certificats émis, sélectionnez l’une des options qui indique quand les certificats doivent être révoqués.
-
Si vous voulez que Citrix Endpoint Management envoie une notification lorsque le certificat est révoqué, définissez la valeur de Envoyer une notification sur Activé et choisissez un modèle de notification.
- Si vous souhaitez révoquer le certificat sur la PKI lorsque le certificat est révoqué de Citrix Endpoint Management, définissez Révoquer le certificat auprès de la PKI sur Activé et cliquez sur un modèle dans la liste Entité. La liste Entité répertorie toutes les entités disponibles avec des capacités de révocation. Lorsque le certificat est révoqué de Citrix Endpoint Management, une demande de révocation est envoyée à la PKI sélectionnée à partir de la liste Entité.
-
Cliquez sur Suivant.
La page Fournisseurs d’informations d’identification : révocation PKI s’affiche. Sur cette page, identifiez les actions à effectuer sur la PKI si le certificat est révoqué. Vous avez aussi la possibilité de créer un message de notification.
-
Sur la page Fournisseurs d’informations d’identification : révocation PKI, procédez comme suit si vous souhaitez révoquer les certificats de la PKI :
- Modifiez le paramètre Activer les vérifications de révocation externe sur Activé. Des champs supplémentaires liés à la PKI de révocation apparaissent.
-
Dans la liste Certificat CA du répondeur OCSP, cliquez sur le nom unique (DN) du sujet du certificat.
Vous pouvez utiliser les macros Citrix Endpoint Management pour les valeurs de champ de nom unique. Par exemple :
CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation
-
Dans la liste Lorsque le certificat est révoqué, cliquez sur l’une des actions suivantes à entreprendre sur l’entité PKI lorsque le certificat est révoqué :
- Ne rien faire.
- Renouveler le certificat.
- Révoquer et de réinitialiser l’appareil.
-
Si vous voulez que Citrix Endpoint Management envoie une notification lorsque le certificat est révoqué, définissez la valeur de Envoyer une notification sur Activé.
Vous avez le choix entre deux options de notification :
- Si vous sélectionnez Sélectionner un modèle de notification, vous pouvez sélectionner un message de notification pré-rempli que vous pouvez personnaliser. Ces modèles figurent dans la liste Modèle de notification.
- Si vous sélectionnez Entrer les détails de notification, vous pouvez créer votre propre message de notification. En plus de fournir l’adresse e-mail du destinataire et le message, vous pouvez définir la fréquence à laquelle la notification est envoyée.
-
Cliquez sur Suivant.
La page Fournisseurs d’informations d’identification : renouvellement s’affiche. Sur cette page, vous pouvez configurer Citrix Endpoint Management pour effectuer les opérations suivantes :
- Renouveler le certificat. Vous pouvez envoyer (facultatif) une notification lors du renouvellement et exclure (facultatif) les certificats déjà expirés de l’opération.
- Émettre une notification pour les certificats dont l’expiration approche (avant le renouvellement).
-
Sur la page Fournisseurs d’informations d’identification : renouvellement, procédez comme suit si vous souhaitez renouveler les certificats lorsqu’ils expirent :
Réglez Renouveler les certificats lorsqu’ils expirent sur Activé. Des champs supplémentaires apparaissent.
- Dans le champ Renouveler lorsque le certificat expire dans, entrez quand le renouvellement doit être effectué, en nombre de jours avant l’expiration.
- Si vous le souhaitez, sélectionnez Ne pas renouveler les certificats expirés. Dans ce cas, « expiré » signifie que la date
NotAfter
(fin de validité) est dans le passé, et non pas qu’il a été révoqué. Citrix Endpoint Management ne renouvelle pas les certificats après leur révocation interne.
Si vous voulez que Citrix Endpoint Management envoie une notification lorsque le certificat a été renouvelé, définissez Envoyer une notification sur Activé. Si vous voulez que Citrix Endpoint Management envoie une notification lorsque la certification arrive à échéance, définissez Notifier quand un certificat va expirer sur Activé. Dans tous les cas, vous avez le choix entre deux options de notification :
- Sélectionner un modèle de notification : sélectionnez un message de notification pré-rempli que vous pouvez personnaliser. Ces modèles figurent dans la liste Modèle de notification.
- Entrer les détails de notification : créez votre propre message de notification. Indiquez l’adresse e-mail du destinataire, un message et la fréquence d’envoi de la notification.
Dans le champ Notifier lorsque le certificat expire dans, entrez le nombre de jours avant expiration du certificat après lequel la notification doit être envoyée.
-
Cliquez sur Enregistrer.
Le fournisseur d’identités apparaît dans la table Fournisseur d’identités.