This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
PKI 实体
XenMobile® 公钥基础结构 (PKI) 实体配置表示执行实际 PKI 操作(颁发、吊销和状态信息)的组件。这些组件可以是 XenMobile 内部的,也可以是外部的。内部组件称为“自由裁量型”。外部组件是企业基础结构的一部分。
XenMobile 支持以下类型的 PKI 实体:
-
Microsoft 证书服务
-
自由裁量型证书颁发机构 (CA)
XenMobile 支持以下 CA 服务器:
- Windows Server 2019
- Windows Server 2016
注意:
Windows Server 2012 R2、2012 和 2008 R2 已达到生命周期终止,不再受支持。有关详细信息,请参阅 Microsoft 产品生命周期文档。
常见 PKI 概念
无论类型如何,每个 PKI 实体都具有以下部分功能:
- 签名: 根据证书签名请求 (CSR) 颁发新证书。
- 获取: 恢复现有证书和密钥对。
- 吊销: 吊销客户端证书。
关于 CA 证书
配置 PKI 实体时,请向 XenMobile 指明哪个 CA 证书是该实体颁发(或从中恢复)的证书的签名者。该 PKI 实体可以返回由任意数量的不同 CA 签名的证书(已获取或新签名)。
请提供每个 CA 的证书,作为 PKI 实体配置的一部分。为此,请将证书上传到 XenMobile,然后在 PKI 实体中引用它们。对于自由裁量型 CA,证书隐式为签名 CA 证书。对于外部实体,必须手动指定证书。
重要:
创建 Microsoft 证书服务实体模板时,请避免已注册设备可能出现的身份验证问题:请勿在模板名称中使用特殊字符。例如,请勿使用:
! : $ ( ) # % + * ~ ? | { } [ ]
Microsoft 证书服务
XenMobile 通过其 Web 注册界面与 Microsoft 证书服务进行接口连接。XenMobile 仅支持通过该界面颁发新证书。如果 Microsoft CA 生成 Citrix Gateway 用户证书,则 Citrix Gateway 支持这些证书的续订和吊销。
要在 XenMobile 中创建 Microsoft CA PKI 实体,必须指定证书服务 Web 界面的基本 URL。如果选择,请使用 SSL 客户端身份验证来保护 XenMobile 与证书服务 Web 界面之间的连接。
添加 Microsoft 证书服务实体
-
在 XenMobile 控制台中,单击控制台右上角的齿轮图标,然后单击“PKI 实体”。
-
在“PKI 实体”页面上,单击“添加”。
将显示 PKI 实体类型菜单。
-
单击“Microsoft 证书服务实体”。
将显示“Microsoft 证书服务实体: 常规信息”页面。
-
在“Microsoft 证书服务实体: 常规信息”页面上,配置以下设置:
- 名称: 键入新实体的名称,以后将使用该名称引用该实体。实体名称必须是唯一的。
-
Web 注册服务根 URL: 键入 Microsoft CA Web 注册服务的基 URL;例如,
https://192.0.2.13/certsrv/。该 URL 可以使用纯 HTTP 或 HTTP-over-SSL。 - certnew.cer 页面名称: certnew.cer 页面的名称。除非您因某种原因已重命名,否则请使用默认名称。
- certfnsh.asp: certfnsh.asp 页面的名称。除非您因某种原因已重命名,否则请使用默认名称。
-
身份验证类型: 选择要使用的身份验证方法。
- 无
- HTTP 基本: 键入连接所需的用户名和密码。
- 客户端证书: 选择正确的 SSL 客户端证书。
-
单击“测试连接”以确保服务器可访问。如果不可访问,将显示一条消息,指出连接失败。请检查您的配置设置。
-
单击“下一步”。
将显示“Microsoft 证书服务实体: 模板”页面。在此页面上,您可以指定 Microsoft CA 支持的模板的内部名称。创建凭据提供程序时,您可以从此处定义的列表中选择一个模板。使用此实体的每个凭据提供程序都只使用一个此类模板。
有关 Microsoft 证书服务模板要求,请参阅您的 Microsoft Server 版本的 Microsoft 文档。XenMobile 对其分发的证书没有要求,但 证书 中指出的证书格式除外。
-
在“Microsoft 证书服务实体: 模板”页面上,单击“添加”,键入模板名称,然后单击“保存”。对要添加的每个模板重复此步骤。
-
单击“下一步”。
将显示“Microsoft 证书服务实体: HTTP 参数”页面。在此页面上,您可以指定 XenMobile 要添加到 Microsoft Web 注册界面的 HTTP 请求中的自定义参数。自定义参数仅对在 CA 上运行的自定义脚本有用。
-
在“Microsoft 证书服务实体: HTTP 参数”页面上,单击“添加”,键入要添加的 HTTP 参数的名称和值,然后单击“下一步”。
将显示“Microsoft 证书服务实体: CA 证书”页面。在此页面上,您必须告知 XenMobile 系统通过此实体获取的证书的签名者。当您的 CA 证书续订时,请在 XenMobile 中更新它。XenMobile 会透明地将更改应用于实体。
-
在“Microsoft 证书服务实体: CA 证书”页面上,选择要用于此实体的证书。
-
单击“保存”。
该实体将显示在 PKI 实体表中。
Citrix ADC 证书吊销列表 (CRL)
XenMobile 仅支持第三方证书颁发机构的证书吊销列表 (CRL)。如果已配置 Microsoft CA,XenMobile 将使用 Citrix ADC 管理吊销。
配置基于客户端证书的身份验证时,请考虑是否配置 Citrix ADC 证书吊销列表 (CRL) 设置“启用 CRL 自动刷新”。此步骤可确保处于 MAM 仅限模式的设备用户无法使用设备上的现有证书进行身份验证。
XenMobile 会重新颁发新证书,因为它不限制用户在证书被吊销后生成用户证书。此设置在 CRL 检查过期 PKI 实体时提高了 PKI 实体的安全性。
自由裁量型 CA
当您向 XenMobile 提供 CA 证书和关联的私钥时,将创建自由裁量型 CA。XenMobile 根据您指定的参数在内部处理证书颁发、吊销和状态信息。
配置自由裁量型 CA 时,可以为该 CA 激活联机证书状态协议 (OCSP) 支持。当且仅当您启用 OCSP 支持时,CA 才会将扩展 id-pe-authorityInfoAccess 添加到 CA 颁发的证书中。该扩展指向以下位置的 XenMobile 内部 OCSP 响应程序:
https://<server>/<instance>/ocsp
配置 OCSP 服务时,请为相关自由裁量型实体指定 OCSP 签名证书。您可以使用 CA 证书本身作为签名者。为避免不必要地暴露 CA 私钥(建议):请创建由 CA 证书签名的委托 OCSP 签名证书,并包含此扩展:id-kp-OCSPSigning extendedKeyUsage。
XenMobile OCSP 响应程序服务支持基本 OCSP 响应和请求中的以下哈希算法:
- SHA-1
- SHA-224
- SHA-256
- SHA-384
- SHA-512
响应使用 SHA-256 和签名证书密钥算法(DSA、RSA 或 ECDSA)进行签名。
添加自由裁量型 CA
-
在 XenMobile 控制台中,单击控制台右上角的齿轮图标,然后单击“更多 > PKI 实体”。
-
在“PKI 实体”页面上,单击“添加”。
将显示 PKI 实体类型菜单。
-
单击“自由裁量型 CA”。
将显示“自由裁量型 CA: 常规信息”页面。
-
在“自由裁量型 CA: 常规信息”页面上,执行以下操作:
- 名称: 键入自由裁量型 CA 的描述性名称。
-
用于签名证书请求的 CA 证书: 单击自由裁量型 CA 用于签名证书请求的证书。
此证书列表是从您在 XenMobile 的“配置 > 设置 > 证书”中上传的具有私钥的 CA 证书生成的。
-
单击“下一步”。
将显示“自由裁量型 CA: 参数”页面。
-
在“自由裁量型 CA: 参数”页面上,执行以下操作:
- 序列号生成器: 自由裁量型 CA 会为其颁发的证书生成序列号。在此列表中,单击“顺序”或“非顺序”以确定如何生成这些数字。
- 下一个序列号: 键入一个值以确定颁发的下一个数字。
- 证书有效期: 键入证书的有效天数。
- 密钥用法: 通过将相应的密钥设置为“开”来标识自由裁量型 CA 颁发的证书的用途。设置后,CA 仅限于为这些用途颁发证书。
- 扩展密钥用法: 要添加更多参数,请单击“添加”,键入密钥名称,然后单击“保存”。
-
单击“下一步”。
将显示“自由裁量型 CA: 分发”页面。
-
在“自由裁量型 CA: 分发”页面上,选择分发模式:
- 集中式:服务器端密钥生成。Citrix 建议使用集中式选项。私钥在服务器上生成和存储,并分发到用户设备。
-
分布式:设备端密钥生成。私钥在用户设备上生成。此分布式模式使用 SCEP,并且需要具有“
keyUsage keyEncryption”扩展的 RA 加密证书和具有“keyUsage digitalSignature”扩展的 RA 签名证书。同一证书可用于加密和签名。
-
单击“下一步”。
将显示“自由裁量型 CA: 联机证书状态协议 (OCSP)”页面。
在“自由裁量型 CA: 联机证书状态协议 (OCSP)”页面上,执行以下操作:
- 如果要将
AuthorityInfoAccess(RFC2459) 扩展添加到此 CA 签名的证书中,请将“为此 CA 启用 OCSP 支持”设置为“开”。此扩展指向https://<server>/<instance>/ocsp处的 CA OCSP 响应程序。 - 如果已启用 OCSP 支持,请选择一个 OCSP 签名 CA 证书。此证书列表是从您上传到 XenMobile 的 CA 证书生成的。
- 如果要将
-
单击“保存”。
自由裁量型 CA 将显示在 PKI 实体表中。
共享
共享
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.