XenMobile Server

Entités PKI

Une configuration d’entité d’infrastructure de clé publique (PKI) XenMobile représente un composant réalisant des opérations PKI réelles (émission, révocation et informations d’état). Ces composants sont internes ou externes à XenMobile. Les composants internes sont appelés discrétionnaire. Les composants externes font partie de votre infrastructure d’entreprise.

XenMobile prend en charge les types d’entités PKI suivantes :

  • Services de certificats Microsoft

  • Autorités de certification discrétionnaires (CA)

XenMobile prend en charge les serveurs d’autorité de certification suivants :

  • Windows Server 2019
  • Windows Server 2016

Remarque :

Les versions 2012 R2, 2012 et 2008 R2 de Windows Servers ne sont plus prises en charge car elles ont atteint leur fin de vie. Pour en savoir plus, consultez la documentation sur le cycle de vie des produits Microsoft.

Concepts de PKI communs

Quel que soit son type, chaque entité PKI possède un sous-ensemble des fonctionnalités suivantes :

  • Signer : émission d’un nouveau certificat, basé sur une demande de signature de certificat (CSR).
  • Récupérer : récupération d’un certificat existant et d’une paire de clés.
  • Révoquer : révocation d’un certificat client.

À propos des certificats CA

Lorsque vous configurez une entité PKI, informez XenMobile de la nature du certificat d’autorité de certification qui est le signataire des certificats émis par (ou récupérés depuis) cette entité. Cette entité PKI peut renvoyer des certificats signés (récupérés ou nouvellement signés) par un certain nombre d’autorités de certification différentes.

Fournissez le certificat de chacune de ces autorités de certification dans le cadre de la configuration de l’entité PKI. Pour ce faire, chargez les certificats sur XenMobile puis référencez-les dans l’entité PKI. Pour les autorités de certification discrétionnaires, le certificat est implicitement le certificat de l’autorité de certification signataire. Pour les entités externes, vous devez spécifier le certificat manuellement.

Important :

Lorsque vous créez un modèle d’entité Services de certificats Microsoft, évitez les problèmes d’authentification possibles avec des appareils inscrits ; n’utilisez pas de caractères spéciaux dans le nom du modèle. Par exemple, n’utilisez pas : ! : $ ( ) # % + * ~ ? | { } [ ]

Services de certificats Microsoft

XenMobile se connecte avec Microsoft Certificate Services Web par le biais de son interface d’inscription Web. XenMobile prend uniquement en charge l’émission de nouveaux certificats via cette interface. Si l’autorité de certification Microsoft génère un certificat d’utilisateur Citrix Gateway, Citrix Gateway prend en charge le renouvellement et la révocation de ces certificats.

Pour créer une entité PKI Microsoft CA dans XenMobile, vous devez spécifier l’adresse URL de base de l’interface Web des services de certificats. Si vous le souhaitez, utilisez l’authentification de client SSL pour sécuriser la connexion entre XenMobile et l’interface Web des services de certificats.

Ajouter une entité Services de certificats Microsoft

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit de la console, puis cliquez sur Entités PKI.

  2. Sur la page Entités PKI, cliquez sur Ajouter.

    Un menu des types d’entité PKI s’affiche.

  3. Cliquez sur Entité Services de certificats Microsoft.

    La page Entité Services de certificats Microsoft : informations générales s’affiche.

  4. Sur la page Entité Services de certificats Microsoft : informations générales, configurez ces paramètres :

    • Nom : entrez un nom pour votre nouvelle entité, qui sera utilisé plus tard pour faire référence à cette entité. Les noms de l’entité doivent être uniques.
    • URL racine du service d’inscription Web : entrez l’adresse URL de votre service d’inscription Web d’autorité de certification Microsoft ; par exemple, https://192.0.2.13/certsrv/. L’adresse URL peut utiliser un format HTTP ou HTTP-over-SSL.
    • Nom de page certnew.cer : nom de la page certnew.cer. Utilisez le nom par défaut sauf si vous l’avez renommé pour une raison quelconque.
    • certfnsh.asp : nom de la page certfnsh.asp. Utilisez le nom par défaut sauf si vous l’avez renommé pour une raison quelconque.
    • Type d’authentification : choisissez la méthode d’authentification à utiliser.
      • Aucune
      • HTTP basique : entrez le nom d’utilisateur et mot de passe requis pour se connecter.
      • Certificat client : sélectionnez le certificat client SSL correct.
  5. Cliquez sur Tester la connexion pour vous assurer que le serveur est accessible. S’il n’est pas accessible, un message s’affiche, indiquant que la connexion a échoué. Vérifiez vos paramètres de configuration.

  6. Cliquez sur Suivant.

    La page Entité Services de certificats Microsoft : modèles s’affiche. Sur cette page, spécifiez le nom interne des modèles pris en charge par votre autorité de certification Microsoft. Lors de la création de Fournisseurs d’informations d’identification, vous devez sélectionner un modèle dans la liste définie ici. Chaque fournisseur d’identités utilisant cette entité utilise un seul modèle de ce type.

    Pour connaître la configuration requise pour les modèles Services de certificats Microsoft, veuillez consulter la documentation Microsoft relative à votre version de serveur Microsoft. XenMobile ne requiert pas de configuration particulière pour les certificats qu’il distribue autre que les formats de certificat indiqués dans Certificats.

  7. Sur la page Entité Services de certificats Microsoft : modèles, cliquez sur Ajouter, entrez le nom du modèle et cliquez sur Enregistrer. Répétez cette étape pour chaque modèle à ajouter.

  8. Cliquez sur Suivant.

    La page Entité Services de certificats Microsoft : paramètres HTTP s’affiche. Sur cette page, spécifiez des paramètres personnalisés que XenMobile doit ajouter à la requête HTTP auprès de l’interface d’inscription Web de Microsoft. Les paramètres personnalisés ne sont utiles que pour les scripts personnalisés exécutés sur l’autorité de certification.

  9. Sur la page Entité Services de certificats Microsoft : paramètres HTTP, cliquez sur Ajouter, entrez le nom et la valeur des paramètres HTTP que vous souhaitez ajouter, puis cliquez sur Suivant.

    La page Entité Services de certificats Microsoft : certificats CA s’affiche. Sur cette page, vous devez informer XenMobile des signataires des certificats que le système obtient par le biais de cette entité. Lorsque votre certificat CA est renouvelé, mettez-le à jour dans XenMobile. XenMobile applique le changement à l’entité de manière transparente.

  10. Sur la page Entité Services de certificats Microsoft : certificats CA, sélectionnez les certificats que vous voulez utiliser pour cette entité.

  11. Cliquez sur Enregistrer.

    L’entité s’affiche sur le tableau Entités PKI.

Liste de révocation de certificats (CRL) Citrix ADC

XenMobile prend en charge la liste de révocation de certificats (CRL) uniquement pour une autorité de certification tierce. Si vous disposez d’une autorité de certification Microsoft configurée, XenMobile utilise Citrix ADC pour gérer la révocation.

Lorsque vous configurez l’authentification basée sur un certificat client, vous devez décider si vous souhaitez configurer le paramètre Liste de révocation de certificats (CRL) Citrix ADC, Enable CRL Auto Refresh. Cette étape garantit que l’utilisateur d’un appareil en mode MAM exclusif ne peut pas s’authentifier à l’aide d’un certificat existant sur l’appareil.

XenMobile émet un nouveau certificat, car il n’interdit pas à un utilisateur de générer un certificat utilisateur si un certificat est révoqué. Ce paramètre renforce la sécurité des entités PKI lorsque la CRL vérifie la présence d’entités PKI expirées.

Autorités de certification discrétionnaires

Une autorité de certification discrétionnaire est créée lorsque vous fournissez un certificat d’autorité de certification et la clé privée qui lui est associée à XenMobile. XenMobile gère l’émission, la révocation et les informations d’état en interne des certificats, selon les paramètres que vous spécifiez.

Lorsque vous configurez une autorité de certification discrétionnaire, vous pouvez activer la prise en charge du protocole OCSP pour cette autorité de certification. Si, et uniquement si vous activez la prise en charge du protocole OCSP, l’autorité de certification ajoute une extension id-pe-authorityInfoAccess aux certificats qu’elle émet. L’extension pointe vers le répondeur OCSP interne de XenMobile à l’emplacement suivant :

https://<server>/<instance>/ocsp

Lors de la configuration du service OCSP, spécifiez un certificat de signature OCSP pour l’entité discrétionnaire en question. Vous pouvez utiliser le certificat d’autorité de certification lui-même en tant que signataire. Pour éviter la divulgation inutile de la clé privée de votre autorité de certification (recommandé), créez un certificat de signature OCSP délégué, signé par le certificat d’autorité de certification et incluez l’extension suivante : id-kp-OCSPSigning extendedKeyUsage.

Le service du répondeur OCSP de XenMobile prend en charge les réponses OCSP de base et les algorithmes de hash suivants utilisés dans les requêtes :

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

Les réponses sont signées avec SHA-256 et l’algorithme de clé du certificat de signature (DSA, RSA ou ECDSA).

Ajouter des autorités de certification discrétionnaires

  1. Dans la console XenMobile, cliquez sur l’icône d’engrenage dans le coin supérieur droit de la console, puis cliquez sur Plus > Entités PKI.

  2. Sur la page Entités PKI, cliquez sur Ajouter.

    Un menu des types d’entité PKI s’affiche.

  3. Cliquez sur CA discrétionnaire.

    La page CA discrétionnaire : informations générales s’affiche.

  4. Sur la page CA discrétionnaire : informations générales, procédez comme suit :

    • Nom : entrez un nom descriptif pour la CA discrétionnaire.
    • Certificat CA utilisé pour signer les demandes de certificat : cliquez sur un certificat pour la CA discrétionnaire à utiliser pour signer les demandes de certificats.

      Cette liste de certificats est générée à partir des certificats CA avec des clés privées que vous avez chargées sur XenMobile dans Configure > Paramètres > Certificats.

  5. Cliquez sur Suivant.

    La page CA discrétionnaire : paramètres s’affiche.

  6. Sur la page CA discrétionnaire : paramètres, procédez comme suit :

    • Générateur de numéro de série : la CA discrétionnaire génère des numéros de série pour les certificats qu’elle émet. Dans cette liste, cliquez sur Séquentiel ou Non-séquentiel pour déterminer comment les numéros sont générés.
    • Numéro de série suivant : entrez une valeur pour déterminer le numéro suivant émis.
    • Certificat valide pour : entrez le nombre de jours pendant lesquels le certificat est valide.
    • Utilisation de la clé : identifiez la fonction des certificats émis par l’autorité de certification discrétionnaire en définissant les clés appropriées sur Activé. Une fois cette option définie, l’autorité de certification peut uniquement émettre des certificats aux fins susmentionnées.
    • Utilisation de clé étendue : pour ajouter d’autres paramètres, cliquez sur Ajouter, entrez le nom de clé, puis cliquez sur Enregistrer.
  7. Cliquez sur Suivant.

    La page CA discrétionnaire : distribution s’affiche.

  8. Sur la page CA discrétionnaire : distribution, sélectionnez un mode de distribution :

    • Centralisé : génération de la clé sur le serveur. Citrix recommande l’option centralisée. Les clés privées sont générées et stockées sur le serveur et distribuées sur les appareils des utilisateurs.
    • Distribué : génération de la clé sur l’appareil. Les clés privées sont générées sur les appareils des utilisateurs. Ce mode distribué utilise SCEP et requiert un certificat de chiffrement RA avec l’extension keyUsage keyEncryption et un certificat de signature RA avec l’extension keyUsage digitalSignature. Le même certificat peut être utilisé pour le chiffrement et la signature.
  9. Cliquez sur Suivant.

    La page CA discrétionnaire : protocole OCSP s’affiche.

    Sur la page CA discrétionnaire : protocole OCSP, procédez comme suit :

    • Si vous souhaitez ajouter une extension AuthorityInfoAccess (RFC2459) pour les certificats signés par cette autorité de certification, définissez Activer le support d’OCSP pour cette CA sur Activé. Cette extension pointe vers le répondeur OCSP de l’autorité de certification sur https://<server>/<instance>/ocsp.
    • Si vous avez activé la prise en charge du protocole OCSP, sélectionnez un certificat d’autorité de certification de signature OSCP. Cette liste de certificats est générée à partir des certificats d’autorité de certification que vous avez chargés sur XenMobile.
  10. Cliquez sur Enregistrer.

    L’autorité de certification discrétionnaire s’affiche sur le tableau Entités PKI.

Entités PKI