XenMobile Server

PKI 实体

XenMobile 公钥基础结构 (PKI) 实体配置代表执行实际 PKI 操作(颁发、吊销和状态信息)的组件。这些组件是 XenMobile 的内部组件或外部组件。内部组件称为自主组件。外部组件属于企业基础结构的组成部分。

XenMobile 支持以下类型的 PKI 实体:

  • Microsoft 证书服务

  • 任意证书颁发机构 (CA)

XenMobile 支持以下 CA 服务器:

  • Windows Server 2019
  • Windows Server 2016

注意:

Windows Servers 2012 R2、2012 和 2008 R2 已达到生命周期已结束状态,因此不再受支持。有关详细信息,请参阅 Microsoft 产品生命周期文档

常见 PKI 概念

无论何种类型,每个 PKI 实体均拥有下列功能的子集:

  • 签名: 基于证书签名请求 (CSR) 颁发新证书。
  • 提取: 恢复现有证书和密钥对。
  • 吊销: 吊销客户端证书。

关于 CA 证书

配置 PKI 实体时,请向 XenMobile 指明哪个 CA 证书将成为该实体所颁发(或从该实体恢复)的证书的签署者。该 PKI 实体可以返回任意多个不同 CA 签名(提取或新签名)的证书。

请在 PKI 实体配置过程中提供其中每个 CA 的证书。为此,请将证书上载到 XenMobile,然后在 PKI 实体中引用这些证书。对于任意 CA,证书实际上是签名 CA 证书。对于外部实体,必须手动指定该证书。

重要提示:

创建 Microsoft 证书服务实体模板时,为避免已注册的设备可能会出现的身份验证问题:请勿在模板名称中使用特殊字符。例如,请勿使用: ! : $ ( ) # % + * ~ ? | { } [ ]

Microsoft 证书服务

XenMobile 通过其 Web 注册界面与 Microsoft Certificate Services 交互。XenMobile 仅支持通过该界面颁发新证书。如果 Microsoft CA 生成 Citrix Gateway 用户证书,Citrix Gateway 将支持续订和吊销这些证书。

要在 XenMobile 中创建 Microsoft CA PKI 实体,必须指定证书服务 Web 界面的基本 URL。如果选择此项,则使用 SSL 客户端身份验证保护 XenMobile 与证书服务 Web 界面之间的连接。

添加 Microsoft 证书服务实体

  1. 在 XenMobile 控制台中,单击控制台右上角的齿轮图标,然后单击 PKI 实体

  2. PKI 实体页面上,单击添加

    此时将显示一个 PKI 实体类型菜单。

  3. 单击 Microsoft 证书服务实体

    此时将显示 Microsoft 证书服务实体: 常规信息页面。

  4. Microsoft 证书服务实体: 常规信息页面上,配置以下设置:

    • 名称: 为新实体键入名称,此名称以后将用于指代该实体。实体名称必须唯一。
    • Web 注册服务根 URL: 键入 Microsoft CA Web 注册服务的基本 URL,例如 https://192.0.2.13/certsrv/。该 URL 可使用纯 HTTP 或 HTTP-over-SSL。
    • certnew.cer 页面名称: certnew.cer 页面的名称。若非因为某些原因重命名了此页面,请使用默认名称。
    • certfnsh.asp: certfnsh.asp 页面的名称。若非因为某些原因重命名了此页面,请使用默认名称。
    • 身份验证类型: 选择要使用的身份验证方法。
      • HTTP Basic: 键入连接所需的用户名和密码。
      • 客户端证书: 选择正确的 SSL 客户端证书。
  5. 单击测试连接以确保服务器可以访问。如果不可访问,则会显示一条消息,指出连接失败。请检查配置设置。

  6. 单击下一步

    此时将显示 Microsoft 证书服务实体: 模板页面。在此页面上,指定 Microsoft CA 所支持模板的内部名称。创建凭据提供程序时,从此处定义的列表中选择模板。使用此实体的每个凭据提供程序仅使用一个此类模板。

    有关 Microsoft 证书服务模板的要求,请参阅您的 Microsoft Server 版本对应的 Microsoft 文档。除了证书中所述的证书格式要求外,XenMobile 对其分发的证书并无其他要求。

  7. Microsoft 证书服务实体: 模板页面上,单击添加,键入模板的名称,然后单击保存。为要添加的每个模板重复执行此步骤。

  8. 单击下一步

    此时将显示 Microsoft 证书服务实体: HTTP 参数页面。在此页面上,您可以指定自定义参数以供 XenMobile 添加到向 Microsoft Web 注册界面发送的 HTTP 请求。自定义参数仅对 CA 上运行的自定义脚本有用。

  9. Microsoft 证书服务实体: HTTP 参数页面上,单击添加,键入要添加的 HTTP 参数的名称和值,然后单击下一步

    此时将显示 Microsoft 证书服务实体: CA 证书页面。在此页面上,必须将系统通过此实体获取的证书的签署者告知 XenMobile。续订 CA 证书后,将在 XenMobile 中对其进行更新。XenMobile 以透明方式将更改应用于实体。

  10. Microsoft 证书服务实体: CA 证书页面上,选择要用于此实体的证书。

  11. 单击保存

    实体将显示在 PKI 实体表格中。

Citrix ADC 证书吊销列表 (CRL)

XenMobile 仅支持对第三方证书颁发机构使用证书吊销列表 (CRL)。如果您配置了 Microsoft CA,XenMobile 将使用 Citrix ADC 管理吊销。

配置基于客户端证书的身份验证时,请考虑是否配置 Citrix ADC 证书吊销列表 (CRL) 设置 Enable CRL Auto Refresh(启用 CRL 自动刷新)。此步骤可确保处于仅 MAM 模式的设备的用户无法使用设备上的现有证书进行身份验证。

XenMobile 将重新颁发新证书,因为吊销用户证书后,XenMobile 不会限制用户生成用户证书。此设置提高了 CRL 检查过期的 PKI 实体时 PKI 实体的安全性。

任意 CA

向 XenMobile 提供 CA 证书及关联的私钥时,将创建任意 CA。XenMobile 将根据您指定的参数,在内部处理证书颁发、吊销和状态信息。

配置任意 CA 时,可以为该 CA 激活联机证书状态协议 (OCSP) 支持。当且仅当启用了 OCSP 支持时,CA 才会向该 CA 颁发的证书中添加 id-pe-authorityInfoAccess 扩展。该扩展指向以下位置处的 XenMobile 内部 OCSP 响应者:

https://<server>/<instance>/ocsp

配置 OCSP 服务时,请为相关任意实体指定 OCSP 签名证书。可以将 CA 证书本身用作签署者。要避免 CA 私钥的不必要暴露(建议避免),请创建一个由 CA 证书签名并包含 id-kp-OCSPSigning extendedKeyUsage 扩展的委派 OCSP 签名证书。

XenMobile OCSP Responder Service 支持在请求中使用基本 OCSP 响应及以下散列算法:

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

响应通过 SHA-256 及签名证书的密钥算法(DSA、RSA 或 ECDSA)进行签名。

添加任意 CA

  1. 在 XenMobile 控制台中,单击控制台右上角的齿轮图标,然后单击更多 > PKI 实体

  2. PKI 实体页面上,单击添加

    此时将显示一个 PKI 实体类型菜单。

  3. 单击任意 CA

    此时将显示任意 CA: 常规信息页面。

  4. 任意 CA: 常规信息页面上,执行以下操作:

    • 名称: 键入任意 CA 的描述性名称。
    • 用于对证书请求进行签名的 CA 证书: 单击任意 CA 用于为证书请求签名的证书。

      此证书列表是根据您通过配置 > 设置 > 证书上载到 XenMobile 的 CA 证书(带私钥)生成的。

  5. 单击下一步

    此时将显示任意 CA: 参数页面。

  6. 任意 CA: 参数页面上,执行以下操作:

    • 序列号生成器: 任意 CA 为其颁发的证书生成序列号。从此列表中,单击按顺序不按顺序以确定序列号的生成方式。
    • 下一个序列号: 键入一个用于确定颁发的下一个序列号的值。
    • 证书有效期: 键入证书有效的天数。
    • 密钥用法: 通过将相应的密钥设置为,标识任意 CA 所颁发证书的目的。设置后,CA 仅限于为这些目的颁发证书。
    • 扩展密钥用法: 要添加更多参数,请单击添加,键入密钥名称,然后单击保存
  7. 单击下一步

    此时将显示任意 CA: 分发页面。

  8. 任意 CA: 分发页面上,选择分发模式:

    • 集中式: 服务器端密钥生成。Citrix 建议使用集中选项。在服务器上生成并存储私钥,然后分发到用户设备。
    • 分布式: 设备端密钥生成。私钥在用户设备上生成。此分布式模式使用 SCEP 并需要采用 keyUsage keyEncryption 扩展的 RA 加密证书和采用 keyUsage digitalSignature 扩展的 RA 签名证书。同一个证书可以同时用于加密和签名。
  9. 单击下一步

    此时将显示任意 CA: 联机证书状态协议(OCSP) 页面。

    任意 CA: 联机证书状态协议(OCSP) 页面上,执行以下操作:

    • 如果要向此 CA 签名的证书添加 AuthorityInfoAccess (RFC2459) 扩展,请将为此 CA 启用 OCSP 支持设置为。此扩展指向位于 https://<server>/<instance>/ocsp 的 CA OCSP 响应者。
    • 如果启用了 OCSP 支持,请选择 OSCP 签名 CA 证书。此证书列表使用您上载到 XenMobile 的 CA 证书生成。
  10. 单击保存

    任意 CA 将显示在 PKI 实体表格中。

PKI 实体