XenMobile® Server

Provedores de credenciais

April 16, 2026

Contribuição de:

Provedores de credenciais são as configurações de certificado reais que você usa nas várias partes do sistema XenMobile®. Provedores de credenciais definem as fontes, parâmetros e ciclos de vida dos seus certificados. Essas operações ocorrem independentemente de os certificados fazerem parte das configurações do dispositivo ou serem autônomos (ou seja, enviados como estão para o dispositivo).

O registro do dispositivo restringe o ciclo de vida do certificado. Ou seja, o XenMobile não emite certificados antes do registro, embora possa emitir alguns certificados como parte do registro. Além disso, os certificados emitidos pela PKI interna no contexto de um registro são revogados quando o registro é revogado. Após o término da relação de gerenciamento, nenhum certificado válido permanece.

Você pode usar uma configuração de provedor de credenciais em vários locais, de modo que uma única configuração pode governar qualquer número de certificados ao mesmo tempo. A unidade então está no recurso de implantação e na implantação. Por exemplo, se o Provedor de Credenciais P for implantado no dispositivo D como parte da configuração C: As configurações de emissão para P determinam o certificado que é implantado em D. Da mesma forma, as configurações de renovação para D se aplicam quando C é atualizado. E as configurações de revogação para D também se aplicam quando C é excluído ou quando D é revogado.

De acordo com essas regras, a configuração do provedor de credenciais no XenMobile determina o seguinte:

A fonte dos certificados.
O método pelo qual os certificados são obtidos: Assinar um novo certificado ou buscar (recuperar) um certificado e par de chaves existentes.
Os parâmetros para emissão ou recuperação. Por exemplo, parâmetros de Solicitação de Assinatura de Certificado (CSR), como tamanho da chave, algoritmo da chave e extensões de certificado.
A maneira como os certificados são entregues ao dispositivo.
Condições de revogação. Embora todos os certificados sejam revogados no XenMobile quando a relação de gerenciamento é interrompida, a configuração pode especificar uma revogação anterior. Por exemplo, a configuração pode especificar para sinalizar certificados como revogados quando os certificados são excluídos do dispositivo. Além disso, sob algumas condições, a revogação do certificado associado no XenMobile pode ser enviada para a infraestrutura de chave pública (PKI) de back-end. Ou seja, a revogação de certificado no XenMobile pode causar a revogação de certificado na PKI.
Configurações de renovação. Os certificados obtidos por meio de um determinado provedor de credenciais podem ser renovados automaticamente quando se aproximam do vencimento. Ou, separadamente dessa situação, notificações podem ser emitidas quando essa expiração se aproxima.

A disponibilidade das opções de configuração depende principalmente do tipo de Entidade PKI e do método de emissão que você seleciona para um provedor de credenciais.

Métodos de emissão de certificado

Você pode obter um certificado, o que é conhecido como método de emissão por assinatura.

Com este método, a emissão envolve a criação de uma nova chave privada, a criação de uma CSR e o envio da CSR para uma Autoridade Certificadora (CA) para assinatura. O XenMobile oferece suporte ao método de assinatura para entidades de Serviços de Certificado MS e entidades de CA Discricionária.

Um provedor de credenciais usa o método de emissão por assinatura.

Entrega de Certificado

Dois modos de entrega de certificado estão disponíveis no XenMobile: centralizado e distribuído. O modo distribuído usa o Protocolo de Registro de Certificado Simples (SCEP) e está disponível apenas em situações em que o cliente oferece suporte ao protocolo (somente iOS). O modo distribuído é obrigatório em algumas situações.

Para que um provedor de credenciais ofereça suporte à entrega distribuída (assistida por SCEP), uma etapa de configuração especial é necessária: Configurar certificados da Autoridade de Registro (RA). Os certificados RA são necessários porque, se você usar o protocolo SCEP, o XenMobile atua como um delegado (um registrador) para a autoridade certificadora real. O XenMobile deve provar ao cliente que tem autoridade para atuar como tal. Essa autoridade é estabelecida pelo upload dos certificados mencionados anteriormente para o XenMobile.

Duas funções de certificado distintas são necessárias (embora um único certificado possa atender a ambos os requisitos): assinatura RA e criptografia RA. As restrições para essas funções são as seguintes:

O certificado de assinatura RA deve ter o uso de chave X.509 de assinatura digital.
O certificado de criptografia RA deve ter o uso de chave X.509 de cifragem de chave.

Para configurar os certificados RA do provedor de credenciais, você faz o upload dos certificados para o XenMobile e, em seguida, os vincula no provedor de credenciais.

Um provedor de credenciais é considerado compatível com a entrega distribuída somente se o provedor tiver um certificado configurado para funções de certificado. Você pode configurar cada provedor de credenciais para preferir o modo centralizado, preferir o modo distribuído ou exigir o modo distribuído. O resultado real depende do contexto: Se o contexto não oferece suporte ao modo distribuído, mas o provedor de credenciais exige esse modo, a implantação falha. Da mesma forma, se o contexto exige o modo distribuído, mas o provedor de credenciais não oferece suporte ao modo distribuído, a implantação falha. Em todos os outros casos, a configuração preferencial é respeitada.

A tabela a seguir mostra a distribuição SCEP em todo o XenMobile:

Contexto	SCEP compatível	SCEP necessário
iOS Profile Service	Sim	Sim
iOS mobile device management enrollment	Sim	Não
iOS configuration profiles	Sim	Não
SHTP enrollment	Não	Não
SHTP configuration	Não	Não
Windows Tablet enrollment	Não	Não
Windows Tablet configuration	Não, exceto para a política de dispositivo Wi-Fi, que é compatível com Windows 10 e Windows 11	Não

Revogação de Certificado

Existem três tipos de revogação.

Revogação interna: A revogação interna afeta o status do certificado conforme mantido pelo XenMobile. O XenMobile considera esse status ao avaliar um certificado apresentado ou ao fornecer informações de status OCSP para um certificado. A configuração do provedor de credenciais determina como esse status é afetado sob várias condições. Por exemplo, o provedor de credenciais pode especificar para sinalizar certificados como revogados quando os certificados são excluídos do dispositivo.
Revogação propagada externamente: Também conhecida como Revogação XenMobile, este tipo de revogação se aplica a certificados obtidos de uma PKI externa. O certificado é revogado na PKI quando o XenMobile revoga internamente o certificado, sob as condições definidas pela configuração do provedor de credenciais.
Revogação induzida externamente: Também conhecida como Revogação PKI, este tipo de revogação também se aplica apenas a certificados obtidos de uma PKI externa. Sempre que o XenMobile avalia um determinado status de certificado, o XenMobile consulta a PKI sobre esse status. Se o certificado for revogado, o XenMobile revoga internamente o certificado. Este mecanismo usa o protocolo OCSP.

Esses três tipos não são exclusivos, mas se aplicam em conjunto. Uma revogação externa ou uma descoberta independente pode causar uma revogação interna. Uma revogação interna pode afetar uma revogação externa.

Renovação de Certificado

A renovação de um certificado é a combinação da revogação do certificado existente e da emissão de outro certificado.

O XenMobile primeiro tenta obter o novo certificado antes de revogar o certificado anterior, para evitar a interrupção do serviço caso a emissão falhe. Para entrega distribuída (compatível com SCEP), a revogação também só ocorre depois que o certificado é instalado com sucesso no dispositivo. Caso contrário, a revogação ocorre antes que o novo certificado seja enviado ao dispositivo. Essa revogação é independente do sucesso ou falha da instalação do certificado.

A configuração de revogação exige que você especifique uma determinada duração (em dias). Quando o dispositivo se conecta, o servidor verifica se a data NotAfter do certificado é posterior à data atual, menos a duração especificada. Se o certificado atender a essa condição, o XenMobile tenta renovar o certificado.

Criar um provedor de credenciais

A configuração de um provedor de credenciais varia principalmente em função da entidade emissora e do método de emissão que você seleciona para o provedor de credenciais. Você pode distinguir entre provedores de credenciais que usam uma entidade interna ou uma entidade externa:

Uma entidade discricionária, que é interna ao XenMobile, é uma entidade interna. O método de emissão para uma entidade discricionária é sempre uma assinatura. Assinar significa que, a cada operação de emissão, o XenMobile assina um novo par de chaves com o certificado CA selecionado para a entidade. Se o par de chaves é gerado no dispositivo ou no servidor depende do método de distribuição que você seleciona.
Uma entidade externa, que faz parte da sua infraestrutura corporativa, inclui a CA da Microsoft.

No console do XenMobile, clique no ícone de engrenagem no canto superior direito e, em seguida, clique em “Configurações” > “Provedores de Credenciais”.
Na página “Provedores de Credenciais”, clique em “Adicionar”.

A página “Provedores de Credenciais: Informações Gerais” é exibida.
Na página “Provedores de Credenciais: Informações Gerais”, faça o seguinte:
- Nome: Digite um nome exclusivo para a nova configuração do provedor. Este nome é usado posteriormente para identificar a configuração em outras partes do console do XenMobile.
- Descrição: Descreva o provedor de credenciais. Embora este campo seja opcional, uma descrição pode fornecer detalhes úteis sobre este provedor de credenciais.
- Entidade emissora: Clique na entidade emissora do certificado.
- Método de emissão: Clique em “Assinar” ou “Buscar” para servir como o método que o sistema usa para obter certificados da entidade configurada. Para autenticação de certificado de cliente, use “Assinar”.
- Se a lista “Modelo” estiver disponível, selecione o modelo que você adicionou na entidade PKI para o provedor de credenciais.
  
  Esses modelos ficam disponíveis quando as Entidades de Serviços de Certificado da Microsoft são adicionadas em “Configurações” > “Entidades PKI”.
Clique em “Avançar”.

A página “Provedores de Credenciais: Solicitação de Assinatura de Certificado” é exibida.
Na página “Provedores de Credenciais: Solicitação de Assinatura de Certificado”, configure o seguinte de acordo com a sua configuração de certificado:
- Algoritmo da chave: Escolha o algoritmo da chave para o novo par de chaves. Os valores disponíveis são RSA, DSA e ECDSA.
- Tamanho da chave: Digite o tamanho, em bits, do par de chaves. Este campo é obrigatório.
  
  Os valores permitidos dependem do tipo de chave. Por exemplo, o tamanho máximo para chaves DSA é de 1024 bits. Para evitar falsos negativos, que dependem do hardware e software subjacentes, o XenMobile não impõe tamanhos de chave. Sempre teste as configurações do provedor de credenciais em um ambiente de teste antes de ativá-las em produção.
- Algoritmo de assinatura: Clique em um valor para o novo certificado. Os valores dependem do algoritmo da chave.
- Nome do assunto: Obrigatório. Digite o Nome Distinto (DN) do novo assunto do certificado. Por exemplo: CN=${user.username}, OU=${user.department}, O=${user.companyname},C=${user.c}\endquotation
  
  Por exemplo, para autenticação de certificado de cliente, use estas configurações:
  - Algoritmo da chave: RSA
  - Tamanho da chave: 2048
  - Algoritmo de assinatura: SHA256withRSA
  - Nome do assunto: cn=$user.username
- Para adicionar uma entrada à tabela “Nomes alternativos do assunto”, clique em “Adicionar”. Selecione o tipo de nome alternativo e, em seguida, digite um valor na segunda coluna.
  
  Para autenticação de certificado de cliente, especifique:
  - Tipo: Nome Principal do Usuário
  - Valor: $user.userprincipalname
    
    Assim como no Nome do assunto, você pode usar macros do XenMobile no campo de valor.
Clique em “Avançar”.

A página “Provedores de Credenciais: Distribuição” é exibida.
Na página “Provedores de Credenciais: Distribuição”, faça o seguinte:
- Na lista “Certificado CA emissor”, clique no certificado CA oferecido. Como o provedor de credenciais usa uma entidade CA discricionária, o certificado CA para o provedor de credenciais é sempre o certificado CA configurado na própria entidade. O certificado CA é apresentado aqui para consistência com configurações que usam entidades externas.
- Em “Selecionar modo de distribuição”, clique em uma das seguintes formas de gerar e distribuir chaves:
  - Preferir centralizado: Geração de chave no lado do servidor: A Citrix recomenda esta opção centralizada. Ela oferece suporte a todas as plataformas compatíveis com o XenMobile e é necessária ao usar a autenticação do Citrix Gateway. As chaves privadas são geradas e armazenadas no servidor e distribuídas para os dispositivos dos usuários.
  - Preferir distribuído: Geração de chave no lado do dispositivo: As chaves privadas são geradas e armazenadas nos dispositivos dos usuários. Este modo distribuído usa SCEP e requer um certificado de criptografia RA com o keyUsage keyEncryption e um certificado de assinatura RA com o KeyUsage digitalSignature. O mesmo certificado pode ser usado para criptografia e assinatura.
  - Somente distribuído: Geração de chave no lado do dispositivo: Esta opção funciona da mesma forma que Preferir distribuído: Geração de chave no lado do dispositivo, exceto que, como é “Somente”, em vez de “Preferir”, nenhuma opção está disponível se a geração de chave no lado do dispositivo falhar ou não estiver disponível.
Se você selecionou “Preferir distribuído: Geração de chave no lado do dispositivo” ou “Somente distribuído: Geração de chave no lado do dispositivo”, clique no certificado de assinatura RA e no certificado de criptografia RA. O mesmo certificado pode ser usado para ambos. Novos campos aparecem para esses certificados.
Clique em “Avançar”.

A página “Provedores de Credenciais: Revogação XenMobile” é exibida. Nesta página, você configura as condições sob as quais o XenMobile sinaliza internamente os certificados, emitidos por meio desta configuração de provedor, como revogados.
Na página “Provedores de Credenciais: Revogação XenMobile”, faça o seguinte:
- Em “Revogar certificados emitidos”, selecione uma das opções que indicam quando revogar certificados.
- Para instruir o XenMobile a enviar uma notificação quando o certificado for revogado: Defina o valor de “Enviar notificação” como “Ativado” e escolha um modelo de notificação.
- Para revogar o certificado na PKI quando o certificado for revogado do XenMobile: Defina “Revogar certificado na PKI” como “Ativado” e, na “Lista de entidades”, clique em um modelo. A Lista de entidades mostra todas as entidades disponíveis com recursos de revogação. Quando o certificado é revogado do XenMobile, uma chamada de revogação é enviada para a PKI selecionada na Lista de entidades.
Clique em “Avançar”.

A página “Provedores de Credenciais: Revogação PKI” é exibida. Nesta página, você identifica quais ações tomar na PKI se o certificado for revogado. Você também tem a opção de criar uma mensagem de notificação.
Na página “Provedores de Credenciais: Revogação PKI”, faça o seguinte se quiser revogar certificados da PKI:
- Altere a configuração de “Habilitar verificações de revogação externa” para “Ativado”. Mais campos relacionados à revogação PKI aparecem.
- Na lista “Certificado CA do respondedor OCSP”, clique no nome distinto (DN) do assunto do certificado.
  
  Você pode usar macros do XenMobile para os valores do campo DN. Por exemplo: CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation
- Na lista “Quando o certificado é revogado”, clique em uma das seguintes ações a serem tomadas na entidade PKI quando o certificado for revogado:
  - Não fazer nada.
  - Renovar o certificado.
  - Revogar e limpar o dispositivo.
- Para instruir o XenMobile a enviar uma notificação quando o certificado for revogado: Defina o valor de “Enviar notificação” como “Ativado”.
  
  Você pode escolher entre duas opções de notificação:
- Se você selecionar “Selecionar modelo de notificação”, você pode selecionar uma mensagem de notificação pré-escrita que pode ser personalizada. Esses modelos estão na lista de modelos de notificação.
- Se você selecionar “Inserir detalhes da notificação”, você pode escrever sua própria mensagem de notificação. Além de fornecer o endereço de e-mail do destinatário e a mensagem, você pode definir a frequência com que a notificação é enviada.
Clique em “Avançar”.

A página “Provedores de Credenciais: Renovação” é exibida. Nesta página, você pode configurar o XenMobile para fazer o seguinte:
- Renovar o certificado. Você pode, opcionalmente, enviar uma notificação na renovação e, opcionalmente, excluir certificados já expirados da operação.
- Emitir uma notificação para certificados que se aproximam do vencimento (notificação antes da renovação).
Na página “Provedores de Credenciais: Renovação”, faça o seguinte se quiser renovar certificados quando eles expirarem:

Defina “Renovar certificados” quando eles expirarem como “Ativado”. Mais campos aparecem.
- No campo “Renovar quando o certificado estiver dentro de”, digite quantos dias antes do vencimento para renovar o certificado.
- Opcionalmente, selecione “Não renovar certificados que já expiraram”. Neste caso, “já expirado” significa que a data NotAfter está no passado, não que tenha sido revogado. O XenMobile não renova certificados depois que são revogados internamente.
Para instruir o XenMobile a enviar uma notificação quando o certificado for renovado: Defina “Enviar notificação” como “Ativado”. Para instruir o XenMobile a enviar uma notificação quando o certificado se aproximar do vencimento: Defina “Notificar quando o certificado se aproximar do vencimento” como “Ativado”. Para qualquer uma dessas escolhas, você pode escolher entre duas opções de notificação:
- Selecionar modelo de notificação: Selecione uma mensagem de notificação pré-escrita que pode ser personalizada. Esses modelos estão na lista de modelos de notificação.
- Inserir detalhes da notificação: Escreva sua própria mensagem de notificação. Forneça o endereço de e-mail do destinatário, uma mensagem e uma frequência para o envio da notificação.
No campo “Notificar quando o certificado estiver dentro de”, digite quantos dias antes do vencimento do certificado para enviar a notificação.
Clique em “Salvar”.

O provedor de credenciais aparece na tabela Provedor de Credenciais.

A versão oficial deste conteúdo está em inglês. Parte do conteúdo da documentação da Cloud Software Group é traduzida automaticamente para sua conveniência. A Cloud Software Group não tem controle sobre o conteúdo traduzido automaticamente, que pode conter erros, imprecisões ou linguagem inadequada. Nenhuma garantia de qualquer tipo, expressa ou implícita, é fornecida quanto à precisão, confiabilidade, adequação ou correção de quaisquer traduções feitas do original em inglês para qualquer outro idioma, ou quanto à conformidade do seu produto ou serviço Cloud Software Group com qualquer conteúdo traduzido automaticamente, e nenhuma garantia fornecida sob o contrato de licença de usuário final aplicável ou os termos de serviço, ou qualquer outro contrato com a Cloud Software Group, de que o produto ou serviço esteja em conformidade com qualquer documentação será aplicável na medida em que essa documentação tenha sido traduzida automaticamente. A Cloud Software Group não se responsabiliza por quaisquer danos ou problemas que possam surgir em decorrência do uso de conteúdo traduzido automaticamente.

Isso foi útil?

Provedores de credenciais

April 16, 2026

Contribuição de:

April 16, 2026

Contribuição de:

Isso foi útil?