PKI 实体
Citrix Endpoint Management 公钥基础架构 (PKI) 实体配置表示执行实际公钥基础设施操作(发放、撤销和状态信息)的组件。这些组件是 Citrix Endpoint Management 的内部或外部组件。内部组件称为自主组件。外部组件属于企业基础结构的组成部分。
Citrix Endpoint Management 支持以下类型的 PKI 实体:
-
Microsoft 证书服务
-
任意证书颁发机构 (CA)
Citrix Endpoint Management 支持以下 CA 服务器:
- Windows Server 2016
- Windows Server 2019
注意:
Windows Servers 2012 R2、2012 和 2008 R2 已达到生命周期已结束状态,因此不再受支持。有关详细信息,请参阅 Microsoft 产品生命周期文档。
常见 PKI 概念
无论何种类型,每个 PKI 实体均拥有下列功能的子集:
- 签名: 基于证书签名请求 (CSR) 颁发新证书。
- 提取: 恢复现有证书和密钥对。
- 吊销: 吊销客户端证书。
关于 CA 证书
配置 PKI 实体时,请向 Citrix Endpoint Management 指明哪个 CA 证书是该实体颁发(或从该实体恢复的)证书的签名者。该 PKI 实体可以返回任意多个不同 CA 签名(提取或新签名)的证书。
请在 PKI 实体配置过程中提供其中每个颁发机构的证书。为此,请将证书上载到 Citrix Endpoint Management,然后在 PKI 实体中引用它们。对于任意 CA,证书实际上是签名 CA 证书。对于外部实体,必须手动指定该证书。
重要:
创建 Microsoft 证书服务实体模板时,为避免已注册的设备可能会出现的身份验证问题:请勿在模板名称中使用特殊字符。例如,请勿使用:
! : $ ( ) # % + * ~ ? | { } [ ]
Microsoft 证书服务
Citrix Endpoint Management 通过其网络注册界面与 MS Certificate Services 交互。Citrix Endpoint Management 仅支持通过该接口颁发新证书。如果 Microsoft CA 生成 NetScaler Gateway 用户证书,NetScaler Gateway 将支持续订和吊销这些证书。
要在 Citrix Endpoint Management 中创建 Microsoft CA PKI 实体,必须指定证书服务网络界面的基本 URL。如果您愿意,请使用 SSL 客户端身份验证来保护 Citrix Endpoint Management 与证书服务网络界面之间的连接。
添加 Microsoft 证书服务实体
-
在 Citrix Endpoint Management 控制台中,单击控制台右上角的齿轮图标,然后单击 PKI 实体。
-
在 PKI 实体页面上,单击添加。
此时将显示一个 PKI 实体类型菜单。
-
单击 Microsoft 证书服务实体。
此时将显示 Microsoft 证书服务实体: 常规信息页面。
-
在 Microsoft 证书服务实体: 常规信息页面上,配置以下设置:
- 名称: 为新实体键入名称,此名称以后将用于指代该实体。实体名称必须唯一。
-
Web 注册服务根 URL: 键入 Microsoft CA Web 注册服务的基本 URL。例如:
https://192.0.0.1/certsrv/
。该 URL 可使用纯 HTTP 或 HTTP-over-SSL。 - certnew.cer 页面名称: certnew.cer 页面的名称。若非因为某些原因重命名了此页面,请使用默认名称。
- certfnsh.asp: certfnsh.asp 页面的名称。若非因为某些原因重命名了此页面,请使用默认名称。
-
身份验证类型: 选择要使用的身份验证方法。
- 无
- HTTP Basic: 键入连接所需的用户名和密码。
- 客户端证书: 选择正确的 SSL 客户端证书。
-
使用 Cloud Connector: 选择开可使用 Cloud Connector 连接到 PKI 服务器。然后,指定资源位置以及连接的允许使用的相对路径。
- 资源位置: 从在 Citrix Cloud Connector 中定义的资源位置进行选择。
-
允许使用的相对路径: 允许为指定资源位置使用的相对路径。每行请指定一个路径。可以使用星号 (*) 通配符。
假定资源位置为
https://www.ServiceRoot/certsrv
。要提供对该路径中的所有 URL 的访问权限,请在允许使用的相对路径中输入/*
。
-
单击“测试连接”以确保服务器可访问。如果不可访问,则会显示一条消息,指出连接失败。请检查配置设置。
-
单击下一步。
此时将显示 Microsoft 证书服务实体: 模板页面。在此页面上,指定 Microsoft CA 所支持模板的内部名称。创建凭据提供程序时,从此处定义的列表中选择模板。使用此实体的每个凭据提供程序仅使用一个此类模板。
有关 Microsoft 证书服务模板的要求,请参阅您的 Microsoft Server 版本对应的 Microsoft 文档。除了证书中注明的证书格式外,Citrix Endpoint Management 对其分发的证书没有要求。
-
在 Microsoft 证书服务实体: 模板页面上,单击添加,键入模板的名称,然后单击保存。为要添加的每个模板重复执行此步骤。
-
单击下一步。
此时将显示 Microsoft 证书服务实体: HTTP 参数页面。在此页面上,您可以为 Citrix Endpoint Management 指定自定义参数,以将其添加到 Microsoft Web 注册界面的 HTTP 请求中。自定义参数仅对 CA 上运行的自定义脚本有用。
-
在 Microsoft 证书服务实体: HTTP 参数页面上,单击添加,键入要添加的 HTTP 参数的名称和值,然后单击下一步。
此时将显示 Microsoft 证书服务实体: CA 证书页面。在此页面上,您必须向 Citrix Endpoint Management 通报系统通过该实体获得的证书的签名者。续订您的 CA 证书后,请在 Citrix Endpoint Management 中对其进行更新。Citrix Endpoint Management 以透明的方式将更改应用于实体。
-
在 Microsoft 证书服务实体: CA 证书页面上,选择要用于此实体的证书。
-
单击保存。
实体将显示在 PKI 实体表格中。
NetScaler Gateway 证书吊销列表 (CRL)
Citrix Endpoint Management 仅支持第三方证书颁发机构的证书撤销列表 (CRL)。如果您配置了 Microsoft CA,Citrix Endpoint Management 使用 NetScaler Gateway 来管理撤销。
配置基于客户机证书的身份验证时,请考虑是否配置 NetScaler Gateway 证书吊销列表 (CRL) 设置“启用 CRL 自动刷新”。此步骤可确保处于仅限 MAM 模式的设备的用户无法使用设备上的现有证书进行身份验证。
Citrix Endpoint Management 会重新颁发新证书,因为它不限制用户在吊销用户证书后生成用户证书。此设置提高了 CRL 检查过期的 PKI 实体时 PKI 实体的安全性。
任意 CA
当您向 Citrix Endpoint Management 提供 CA 证书和相关的私钥时,就会创建自主的 CA。Citrix Endpoint Management 根据您指定的参数在内部处理证书颁发、吊销和状态信息。
配置任意 CA 时,可以为该 CA 激活联机证书状态协议 (OCSP) 支持。如果您启用了 OCSP 支持,CA 将向该 CA 颁发的证书中添加 id-pe-authorityInfoAccess
扩展。该扩展程序指向位于以下位置的 Citrix Endpoint Management 内部 OCSP 响应器:
https://<server>/<instance>/ocsp
配置 OCSP 服务时,请为相关任意实体指定 OCSP 签名证书。可以将 CA 证书本身用作签署者。要避免 CA 私钥的不必要暴露(建议避免),请创建一个由 CA 证书签名并包含 id-kp-OCSPSigning extendedKeyUsage
扩展的委派 OCSP 签名证书。
Citrix Endpoint Management OCSP 响应器服务支持基本的 OCSP 响应和请求中的以下哈希算法:
- SHA-256
- SHA-384
- SHA-512
响应通过 SHA-256 及签名证书的密钥算法(DSA、RSA 或 ECDSA)进行签名。
为您的 CA 生成和导入证书
-
在服务器上,使用您的本地系统帐户打开 Microsoft 管理控制台 (MMC),然后打开证书管理单元。在右侧窗格中,右键单击,然后单击 所有任务 > 请求新证书。
-
在打开的向导中,单击 下一步 两次。在 请求证书 列表中,选择 从属证书颁发机 构,然后单击 更多信息 链接。
-
在窗口中,键入 主题名称 和 替代名称。单击确定。
-
单击 注册,然后单击 完成。
-
在 MMC 中,右键单击您创建的证书。单击 所有任务 > 导出。将证书导出为带有私钥的 .pfx 文件。 如果可能,请选择在证书路径中包含所有证书的选项。
-
在 Citrix Endpoint Management 控制台中,导航到设置 > 证书。
-
单击导入。在打开的窗口中,浏览以前导出的证书和私钥文件。
-
单击导入。证书将添加到表中。
添加任意 CA
-
在 Citrix Endpoint Management 控制台中,单击控制台右上角的齿轮图标,然后单击“更多”>“PKI 实体”。
-
在 PKI 实体页面上,单击添加。
-
单击任意 CA。
-
在“自由裁量 CA:常规信息”页面上,配置以下内容:
- 名称: 键入任意 CA 的描述性名称。
-
用于对证书请求进行签名的 CA 证书: 单击任意 CA 用于为证书请求签名的证书。
此证书列表由您在 Citrix Endpoint Management 的配置 > 设置证书上载的带有私钥的 CA 证书生成。
-
单击下一步。
-
在“自由 CA:参数”页面上,配置以下内容:
- 序列号生成器: 任意 CA 为其颁发的证书生成序列号。从此列表中,单击按顺序或不按顺序以确定序列号的生成方式。
- 下一个序列号: 键入一个用于确定颁发的下一个序列号的值。
- 证书有效期: 键入证书有效的天数。
- 密钥用法: 通过将相应的密钥设置为开,标识任意 CA 所颁发证书的目的。一旦设置,CA 仅限于为此目的颁发证书。
- 扩展密钥用法: 要添加更多参数,请单击添加,键入密钥名称,然后单击保存。
-
单击下一步。
-
在任意 CA: 分发页面上,选择分发模式:
- 集中式: 服务器端密钥生成。Citrix 建议使用集中选项。在服务器上生成并存储私钥,然后分发到用户设备。
- 分布式: 设备端密钥生成。私钥在用户设备上生成。此分布式模式使用 SCEP 并需要采用 keyUsage keyEncryption 扩展名的 RA 加密证书和采用 KeyUsage digitalSignature 扩展名的 RA 签名证书。同一个证书可以同时用于加密和签名。
-
单击下一步。
-
在“自由授权 CA:在线证书状态协议 (OCSP)”页面上,配置以下内容:
- 如果要向此 CA 签名的证书添加
AuthorityInfoAccess
(RFC2459) 扩展,请将为此 CA 启用 OCSP 支持设置为开。此扩展指向位于https://<server>/<instance>/ocsp
的 CA OCSP 响应者。 - 如果启用了 OCSP 支持,请选择 OSCP 签名 CA 证书。此证书列表由您上载到 Citrix Endpoint Management 的 CA 证书生成。
启用该功能使 Citrix ADC 有机会检查证书的状态。Citrix 建议您启用此功能。
- 如果要向此 CA 签名的证书添加
-
单击保存。
任意 CA 将显示在 PKI 实体表格中。
配置凭据提供程序
-
在 Citrix Endpoint Management 控制台中,导航到“设置”>“凭据提供商”,然后单击“添加”。
-
在凭据提供程序:常规信息页面上,配置以下内容:
- 名称: 为新提供程序配置键入唯一名称。稍后使用此名称来标识 Citrix Endpoint Management 控制台其他部分中的配置。
- 说明: 凭据提供程序的说明。尽管此字段为可选字段,但说明可以提供有关此凭据提供程序的有用详细信息。
- 发行实体: 选择 自行授权 CA。
- 颁发方法: 单击“签名”或“提取”以用作系统从配置的实体获取证书的方法。对于客户端证书身份验证,请使用签名。
-
单击下一步。在凭据提供程序: 证书签名请求页面上,根据您的证书配置来配置以下各项:
-
密钥算法: 选择用于获取新密钥对的密钥算法。可用值为 RSA、DSA 和 ECDSA。
-
密钥大小: 键入密钥对的大小(以位为单位)。此字段为必填字段。Citrix 建议使用 2048 位。
-
签名算法: 单击用于新证书的值。值取决于密钥算法。Citrix 建议使用 SHA256withRSA。
-
使用者名称: 必填。键入新证书使用者的标识名 (DN)。使用
CN=${user.username}
作为用户名或CN=${user.samaccountname}
以使用 sAMAccountName。 -
要向使用者备用名称表中添加新条目,请单击添加。选择备用名称的类型,然后在第二列中键入一个值。
添加以下内容:
- 类型: 用户主体名称
-
值:
$user.userprincipalname
与主题名称一样,您可以在值字段中使用 Citrix Endpoint Management 宏。
-
-
单击下一步。在 凭据提供程序:分发 页面上,配置以下内容:
- 颁发 CA 证书: 选择您之前添加的全权 CA 证书。
-
选择分发模式: 选择以下生成和分发密钥的方法之一:
- 首选集中式: 服务器端密钥生成: Citrix 建议采用此集中式选项。它支持 Citrix Endpoint Management 支持的所有平台,是使用 NetScaler Gateway 身份验证时必需的。在服务器上生成并存储私钥,然后分发到用户设备。
- 首选分布式: 设备端密钥生成: 在用户设备上生成并存储私钥。此分布式模式使用 SCEP 并需要采用 keyUsage keyEncryption 的 RA 加密证书和采用 KeyUsage digitalSignature 的 RA 签名证书。同一个证书可以同时用于加密和签名。
- 仅分布式:设备端密钥生成: 此选项与“首选分布式:设备端密钥生成”相同,但是如果设备端密钥生成失败或不可用,则没有选项可用。
如果选择首选分布式: 设备端密钥生成或仅限分布式: 设备端密钥生成,请单击 RA 签名证书和 RA 加密证书。同一个证书可用于这两个目的。此时将显示有关这些证书的新字段。
-
单击下一步。在 凭据提供商:撤销 Citrix Endpoint Management 页面上,配置 Citrix Endp oint Management 内部将通过此提供程序配置颁发的证书标记为已撤销的条件。配置以下设置:
- 在吊销已颁发的证书中,选择一个表明何时应吊销证书的选项。
-
要指示 Citrix Endpoint Management 在证书被吊销时发送通知:将“发送通知”的 值设置为“开”,然后 选择 通知模板。
- 使用 Citrix Endpoint Management 作为您的自选 PKI 时,在 PKI 上吊销证书不起作用。
-
单击下一步。在 凭据提供程序:吊销 PKI 页面上,确定如果证书被吊销,应对 PKI 采取哪些操作。您还可以选择创建通知消息。配置以下设置:
- 启用外部撤销检查: 打开此 设置。此时将显示更多与吊销 PKI 相关的字段。
-
在 OCSP 响应方 CA 证书 列表中,选择证书主题的判别名称 (DN)。
您可以将 Citrix Endpoint Management 宏用于 DN 字段值。例如:
CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation
-
在吊销证书时列表中,单击吊销证书时对 PKI 实体执行的以下操作之一:
- 不执行任何操作。
- 续订证书。
- 吊销和擦除设备。
-
要指示 Citrix Endpoint Management 在证书被吊销时发送通知:将“发送通知”的值设置为“开”。
可以从两个通知选项中选择:
- 如果选择选择通知模板,则可以选择预先写好的通知消息,且之后可以进行自定义。这些模板位于通知模板列表中。
- 如果选择输入通知详细信息,则可以自行编写通知消息。除了提供收件人的电子邮件地址和消息,还可以设置发送通知的频率。
-
单击下一步。在 凭据提供商:续订 页面上,配置以下内容:
将在证书过期时续订设置为开。此时将显示更多字段。
- 在证书在此时间内提供时续订字段中,键入在过期前多少天续订证书。
- (可选)选择不续订已过期的证书。在此情况下,“已过期”表示证书的“
NotAfter
”日期在过去,不是指证书已被吊销。Citrix Endpoint Management 在内部吊销证书后不会续订证书。
要指示 Citrix Endpoint Management 在证书续订后发送通知:将“发送通知”设置为“开”。要指示 Citrix Endpoint Management 在证书临近到期时发送通知:将证书临近到期时通知设置为“开”。 对于其中任一选择方式,可以从两个通知选项中选择:
- 选择通知模板: 选择预先写好的通知消息,且之后可以进行自定义。这些模板位于通知模板列表中。
- 输入通知详细信息: 自行编写通知消息。提供收件人电子邮件地址、消息和频率,以便发送通知。
-
单击保存。