Provedores de credenciais
Os provedores de credenciais são as configurações reais de certificado que você usa em várias partes do sistema XenMobile. Provedores de credenciais definem as origens, parâmetros e ciclos de vida de seus certificados. Essas operações ocorrem se os certificados fizerem parte das configurações do dispositivo ou se forem independentes (isto é, enviados como estão para o dispositivo).
O registro do dispositivo restringe o ciclo de vida do certificado. Ou seja, o XenMobile não emite certificados antes do registro, embora ele possa emitir alguns certificados como parte do processo de registro. Além disso, os certificados emitidos da PKI interna no contexto de um registro são revogados quando o processo de registro é revogado. Depois que o relacionamento de gerenciamento é encerrado, nenhum certificado válido permanece.
Você pode usar uma configuração de provedor de credenciais em vários locais para que uma configuração possa reger qualquer número de certificados ao mesmo tempo. A unidade está no recurso de implantação e na implantação. Por exemplo, se o provedor de credenciais P for implantado para o dispositivo D como parte da configuração C, as configurações de emissão para P determinam o certificado que é implantado em D. Da mesma forma, as configurações de renovação de D se aplicam quando C é atualizada. E as configurações de revogação de D também se aplicam quando C é excluída ou quando D é revogado.
De acordo com essas regras, a configuração do provedor de credenciais no XenMobile determina o seguinte:
- A origem de certificados.
- O método pelo qual os certificados são obtidos: assinando um novo certificado ou obtendo (recuperando) um certificado e um par de chaves existentes.
- Os parâmetros para emissão ou recuperação. Por exemplo, os parâmetros de CSR (Solicitação de Assinatura de Certificado), como tamanho da chave, algoritmo de chave e extensões de certificado.
- A forma como os certificados são entregues ao dispositivo.
- Condições de revogação. Embora todos os certificados sejam revogados no XenMobile quando o relacionamento de gerenciamento é interrompido, a configuração pode especificar uma revogação anterior. Por exemplo, a configuração pode especificar a revogação de um certificado quando a configuração do dispositivo associado é excluída. Além disso, sob algumas condições, a revogação do certificado associado no XenMobile pode ser enviada para a infraestrutura de chave pública (PKI) de back-end. Ou seja, a revogação de certificados no XenMobile pode causar a revogação de certificados na PKI.
- Configurações de renovação. Os certificados obtidos por meio de um determinado provedor de credenciais podem ser renovados automaticamente quando estão próximos do vencimento. Ou, separadamente dessa situação, as notificações podem ser emitidas quando essa expiração se aproximar.
A disponibilidade das opções de configuração depende principalmente do tipo de Entidade PKI e do método de emissão que você selecionar para um provedor de credenciais.
Métodos de emissão de certificado
Você pode obter um certificado, conhecido como método de emissão, por assinatura.
Com esse método, a emissão envolve a criação de uma nova chave privada, a criação de uma CSR e o envio da CSR para uma Autoridade de Certificação (AC) para assinatura. O XenMobile é compatível com o método de assinatura para entidades de Serviços de Certificado da Microsoft e entidades de CA discricionárias.
Um provedor de credenciais usa o método de emissão Assinar.
Entrega de certificado
Dois modos de entrega de certificado estão disponíveis no XenMobile: centralizado e distribuído. O modo distribuído usa o Protocolo de Registro de Certificado Simples (SCEP) e está disponível somente nas situações em que o cliente é compatível com o protocolo (somente iOS). O modo distribuído é obrigatório em algumas situações.
Para que um provedor de credenciais seja compatível com a entrega distribuída (assistida por SCEP), é necessária uma etapa de configuração especial: Configurar certificados de Autoridade de Registro (RA). Os certificados de RA são necessários porque, ao usar o protocolo SCEP, o XenMobile age como um representante (um registrador) da AC real. O XenMobile precisa comprovar para o cliente que ele tem autoridade para agir como tal. Essa autoridade é estabelecida fazendo o upload para o XenMobile dos certificados anteriormente mencionados.
São necessárias duas funções de certificado diferentes (embora um único certificado possa atender a ambos os requisitos): assinatura de RA e criptografia de RA. As restrições dessas funções são as seguintes:
- O certificado de assinatura RA deve ter a assinatura digital de uso de chave X.509.
- O certificado de criptografia RA deve ter a codificação de chave de uso de chave X.509.
Para configurar os certificados de RA do provedor de credenciais, você carrega os certificados para o XenMobile e cria links para eles no provedor de credenciais.
Um provedor de credenciais é considerado como compatível com entregas distribuídas somente se ele tiver um certificado configurado para funções de certificado. Você pode configurar cada provedor de credenciais para dar preferência ao modo centralizado, ao modo distribuído ou para exigir o modo distribuído. O resultado real depende do contexto: se o contexto não for compatível com o modo distribuído, mas o provedor de credenciais exigir esse modo, a implantação não será realizada. Da mesma forma, quando o contexto exige o modo distribuído, mas o provedor de credenciais não é compatível com ele, a implantação não é realizada. Em todos os outros casos, a configuração preferencial é respeitada.
A seguinte tabela mostra a distribuição SCEP em todo o XenMobile:
Contexto | SCEP com suporte | SCEP necessário |
---|---|---|
Serviço de Perfil do iOS | Sim | Sim |
Registro do gerenciamento de dispositivo móvel do iOS | Sim | Não |
Perfis de configuração do iOS | Sim | Não |
Registro SHTP | Não | Não |
Configuração SHTP | Não | Não |
Registro do Windows Tablet | Não | Não |
Configuração do Windows Tablet | Não, exceto para a política de dispositivo Wi-Fi, que é compatível com Windows 10 e Windows 11 | Não |
Revogação de certificados
Há três tipos de revogação.
- Revogação interna: A revogação interna afeta o status do certificado, conforme mantido pelo XenMobile. O XenMobile considera esse status ao avaliar um certificado apresentado ou ao fornecer informações de status OCSP para um certificado. A configuração do provedor de credenciais determina como o status é afetado sob várias condições. Por exemplo, o provedor de credenciais pode especificar para sinalizar certificados como revogados quando os certificados são excluídos do dispositivo.
- Revogação propagada externamente: Também conhecido como Revogação XenMobile, esse tipo de revogação se aplica aos certificados obtidos de uma PKI externa. O certificado foi revogado na PKI quando o XenMobile o revogou internamente, sob as condições definidas pela configuração do provedor de credenciais.
- Revogação induzida externamente: Também conhecida como Revogação PKI, esse tipo de revogação também se aplica somente aos certificados obtidos de uma PKI externa. Sempre que o XenMobile avalia um determinado status de certificado, ele consulta a PKI quanto a esse status. Se o certificado tiver sido revogado, o XenMobile revoga-o internamente. Esse mecanismo usa o protocolo OCSP.
Esses três tipos não são exclusivos, mas aplicam-se juntos. Uma revogação externa ou descoberta independente pode causar uma revogação interna. Uma revogação interna afeta potencialmente uma revogação externa.
Renovação de certificado
A renovação de certificado é a combinação de uma revogação do certificado existente e uma emissão de outro certificado.
O XenMobile primeiro tenta obter o novo certificado antes de revogar o certificado anterior para evitar a descontinuação do serviço quando a emissão falhar. Para entrega distribuída (suportada pelo SCEP), a revogação também ocorre somente após o certificado ter sido instalado com êxito no dispositivo. Caso contrário, a revogação ocorre antes que o novo certificado seja enviado ao dispositivo. Essa revogação é independente do sucesso ou falha da instalação do certificado.
A configuração de revogação exige que você especifique uma determinada duração (em dias). Quando o dispositivo se conecta, o servidor verifica se a data NotAfter
do certificado é posterior à data atual, menos a duração especificada. Se o certificado atender a essa condição, o XenMobile tentará renovar o certificado.
Criar um provedor de credenciais
Configurar um provedor de credenciais varia principalmente como um fator de qual entidade e método de emissão você seleciona para o provedor de credenciais. Você pode distinguir entre os provedores de credenciais que usam uma entidade interna ou uma entidade externa:
-
Uma entidade discricionária, que é interna para o XenMobile, é uma entidade interna. O método de emissão para uma entidade discricionária é sempre Assinar. Assinar significa que, a cada operação de emissão, o XenMobile assina um novo par de chaves com o certificado de CA selecionado para a entidade. A geração do par de chaves no dispositivo ou no servidor depende do método de distribuição selecionado.
-
Uma entidade externa, que faz parte de sua infraestrutura corporativa, inclui AC da Microsoft.
-
No console XenMobile, clique no ícone de engrenagem no canto superior direito e clique em Configurações > Provedores de credenciais.
-
Na página Provedores de credenciais, clique em Adicionar.
A página Provedores de credenciais: informações gerais é exibida.
-
Na página Provedores de credenciais: informações gerais, faça o seguinte:
- Nome: digite um nome exclusivo para a nova configuração do provedor. Este nome é usado mais tarde para identificar a configuração em outras partes do console XenMobile.
- Descrição: descreva o provedor de credenciais. Embora esse campo seja opcional, uma descrição pode fornecer detalhes úteis sobre esse provedor de credenciais.
- Entidade de emissão: clique na entidade de emissão do certificado.
- Método de emissão: clique em Assinar ou Obter para servir como o método que o sistema utiliza para obter certificados da entidade configurada. Para usar a autenticação de certificado de cliente, Assinar.
-
Se a lista de Modelos estiver disponível, selecione o modelo que você adicionou sob a entidade PKI para o provedor de credenciais.
Esses modelos são disponibilizados quando as Entidades de serviços de certificado da Microsoft são adicionadas em Configurações > Entidades PKI.
-
Clique em Avançar.
A página Provedores de credenciais: solicitação de assinatura de certificado é exibida.
-
Na página Credenciais de Fornecedores: solicitação de assinatura de certificado, configure o seguinte de acordo com a configuração do seu certificado:
-
Algoritmo de chave: escolha o algoritmo de chave para o novo par de chaves. Os valores disponíveis são RSA, DSA e ECDSA.
-
Tamanho da chave: digite o tamanho, em bits, do par de chaves. Este campo é obrigatório.
Os valores permitidos dependem do tipo de chave. Por exemplo, o tamanho máximo para chaves DSA é de 1024 bits. Para evitar falsos negativos, o que depende do hardware e do software subjacentes, o XenMobile não impõe tamanhos de chave. Sempre teste as configurações do provedor de credenciais em um ambiente de teste antes de ativá-lo em produção.
-
Algoritmo de assinatura: clique em um valor para o novo certificado. Os valores dependem do algoritmo de chave.
-
Nome de entidade: necessário. Digite o Nome Diferenciado (DN) da entidade do novo certificado. Por exemplo:
CN=${user.username}, OU=${user.department}, O=${user.companyname},C=${user.c}\endquotation
Por exemplo, para a autenticação de certificado de cliente, use estas configurações:
- Algoritmo de chave: RSA
- Tamanho da chave: 2048
- Algoritmo de assinatura: SHA256withRSA
-
Nome de entidade:
cn=$user.username
-
Para adicionar uma entrada à tabela Nomes alternativos de entidade, clique em Adicionar. Selecione o tipo de nome alternativo e digite um valor na segunda coluna.
Para autenticação de certificado de cliente, especifique:
- Tipo: nome UPN
-
Valor:
$user.userprincipalname
Assim como para o nome de entidade, você pode usar macros do XenMobile no campo de valor.
-
-
Clique em Avançar.
A página Provedores de credenciais: distribuição é exibida.
-
Na página Provedores de credenciais: distribuição, faça o seguinte:
- Na lista Emissão de certificado de CA, clique no certificado de CA oferecido. Como o provedor de credenciais usa uma entidade de CA discricionária, o certificado de CA do provedor de credenciais é sempre o certificado de CA configurado na própria entidade. O certificado de CA é apresentado aqui para consistência com configurações que usam entidades externas.
- Em Selecionar modo de distribuição, clique em uma das seguintes formas de gerar e distribuir chaves:
- Preferir modo centralizado: geração de chaves do lado do servidor: a Citrix recomenda essa opção centralizada. Ela é compatível com todas as plataformas compatíveis com o XenMobile e é exigida quando a autenticação do Citrix Gateway é usada. As chaves privadas são geradas e armazenadas no servidor e distribuídas para os dispositivos do usuário.
- Preferir modo distribuído: geração de chaves do lado do dispositivo: as chaves privadas são geradas e armazenadas nos dispositivos do usuário. Esse modo distribuído usa SCEP e requer um certificado de criptografia RA com o keyUsage keyEncryption e um certificado de assinatura RA com o KeyUsage digitalSignature. O mesmo certificado pode ser usado para autenticação e criptografia.
- Somente distribuído: geração de chaves do lado do dispositivo: Essa opção funciona da mesma forma que Preferir modo distribuído: geração de chaves do lado do dispositivo, exceto que, como é “Somente” em vez de “Preferir”, nenhuma opção estará disponível se a geração de chave do lado do dispositivo falhar ou não estiver disponível.
Se você tiver selecionado Preferir modo distribuído: geração de chaves do lado do dispositivo ou Somente distribuído: geração de chaves do lado do dispositivo, clique no certificado de assinatura RA e no certificado de criptografia RA. O mesmo certificado pode ser usado para ambos. Novos campos são exibidos para esses certificados.
-
Clique em Avançar.
A página Provedores de credenciais: revogação XenMobile é exibida. Nessa página, você pode configurar as condições sob as quais o XenMobile sinaliza internamente como revogados os certificados emitidos por essa configuração de provedor.
-
Na página Provedores de credenciais: revogação XenMobile, faça o seguinte:
- Em Revogar certificados emitidos, selecione uma das opções que indicam quando revogar os certificados.
-
Para que o XenMobile envie uma notificação quando o certificado for revogado, defina o valor de Enviar notificação como Ativado e escolha um modelo de notificação.
- Para revogar o certificado na PKI quando ele tiver sido revogado do XenMobile, defina Revogar certificado na PKI como Ativado e, na lista Entidade, clique em um modelo. A lista Entidade mostra todas as entidades disponíveis com capacidades de revogação. Quando o certificado é revogado do XenMobile, uma chamada de revogação é enviada para a PKI selecionada da lista Entidade.
-
Clique em Avançar.
A página Provedores de credenciais: revogação PKI é exibida. Nessa página, identifique as ações a serem tomadas na PKI se o certificado for revogado. Você também tem a opção de criar uma mensagem de notificação.
-
Na página Provedores de credenciais: revogação PKI, faça o seguinte se você deseja revogar os certificados da PKI:
- Altere a configuração de Ativar verificações de revogação externa para Ativado. São exibidos mais campos relacionados à revogação PKI.
-
Na lista Certificado de AC do respondedor OCSP, clique no nome distinto (DN) da entidade do certificado.
Você pode usar macros do XenMobile para os valores de campo de DN. Por exemplo:
CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation
-
Na lista Quando o certificado for revogado, clique em uma das seguintes ações a serem tomadas em relação à entidade PKI quando o certificado é revogado:
- Não fazer nada.
- Renovar o certificado.
- Revogar e apagar o dispositivo.
-
Para que o XenMobile envie uma notificação quando o certificado for revogado, defina o valor de Enviar notificação como Ativado.
Você pode escolher entre duas opções de notificação:
- Se você escolher Selecionar modelo de notificação, poderá selecionar uma mensagem de notificação previamente escrita que poderá personalizar. Esses modelos estão na lista Modelo de notificação.
- Se você selecionar Inserir detalhes da notificação, poderá escrever sua própria mensagem de notificação. Além de fornecer endereço de email do destinatário e a mensagem, você pode definir a frequência com que a notificação é enviada.
-
Clique em Avançar.
A página Provedores de credenciais: renovação é exibida. Nessa página, você pode configurar o XenMobile para fazer o seguinte:
- Renovar o certificado. Você pode, opcionalmente, enviar uma notificação sobre a renovação e, opcionalmente, excluir certificados já expirados da operação.
- Emitir uma notificação para os certificados que estão perto do vencimento (notificação antes da renovação).
-
Na página Provedores de Credenciais: renovação, faça o seguinte se desejar renovar os certificados quando eles expirarem:
Defina Renovar certificados quando eles expirarem para Ativado. Mais campos aparecem.
- No campo Renovar quando o certificado expirar em, digite quantos dias antes da expiração para renovar o certificado.
- Opcionalmente, selecione Não renovar certificados que já expiraram. Nesse caso, “já expiraram” significa que a data
NotAfter
está no passado, não que tenha sido revogada. O XenMobile não renova certificados depois que eles são revogados internamente.
Para que o XenMobile envie uma notificação quando o certificado tiver sido renovado, defina Enviar notificação como Ativado. Para que o XenMobile envie uma notificação quando o certificado estiver prestes a expirar, defina Notificar quando o certificado estiver prestes a expirar como Ativado. Para qualquer uma dessas opções, você pode escolher entre duas opções de notificação:
- Selecionar modelo de notificação: selecione uma mensagem de notificação previamente escrita que você pode personalizar. Esses modelos estão na lista Modelo de notificação.
- Inserir detalhes da notificação: escreva a sua própria mensagem de notificação. Forneça o endereço de e-mail do destinatário, uma mensagem e uma frequência para enviar a notificação.
No campo Notificar quando o certificado expira em, digite quantos dias antes da expiração do certificado a notificação deve ser enviada.
-
Clique em Salvar.
O provedor de credenciais é exibido na tabela Provedor de Credenciais.