Gerätezertifikate zur Authentifizierung verwenden
Citrix Gateway unterstützt die Überprüfung des Gerätezertifikats, mit der Sie die Geräte-Identität an den privaten Schlüssel eines Zertifikats binden können. Die Gerätezertifikatsprüfung kann als Teil klassischer oder erweiterter Endpoint Analysis (EPA) -Richtlinien konfiguriert werden. In klassischen EPA-Richtlinien kann das Gerätezertifikat nur für die Vorauthentifizierung von EPA konfiguriert werden.
Citrix Gateway überprüft das Gerätezertifikat, bevor der Endpoint Analysis-Scan ausgeführt wird oder bevor die Anmeldeseite angezeigt wird. Wenn Sie Endpoint Analysis konfigurieren, wird der Endpunkt-Scan ausgeführt, um das Benutzergerät zu überprüfen. Wenn das Gerät den Scan durchläuft und Citrix Gateway das Gerätezertifikat überprüft hat, können sich Benutzer dann am NetScaler Gateway anmelden.
Wichtig:
- Standardmäßig schreibt Windows Administratorrechte für den Zugriff auf Gerätezertifikate vor.
- Um eine Gerätezertifikatsprüfung für Benutzer ohne Administratorrechte hinzuzufügen, müssen Sie das VPN-Plug-in installieren. Die VPN-Plug-In-Version muss dieselbe Version wie das EPA-Plug-In auf dem Gerät haben.
- Sie können dem Gateway mehrere CA-Zertifikate hinzufügen und das Gerätezertifikat validieren.
- Wenn Sie zwei oder mehr Gerätezertifikate auf Citrix Gateway installieren, müssen Benutzer das richtige Zertifikat auswählen, wenn sie sich bei Citrix Gateway anmelden oder bevor der Endpoint Analysis-Scan ausgeführt wird.
- Wenn Sie das Gerätezertifikat erstellen, muss es sich um ein X.509-Zertifikat handeln.
- Wenn Sie ein Gerätezertifikat haben, das von einer zwischengeschalteten CA ausgestellt wurde, müssen sowohl Zwischen- als auch Stamm-CA-Zertifikate gebunden sein.
- Der EPA-Client benötigt den Benutzer lokale Administratorrechte, um auf den Maschinenzertifikatspeicher zugreifen zu können. Dies ist selten der Fall, daher besteht eine Problemumgehung darin, das vollständige NetScaler Gateway-Plug-In zu installieren, das auf den lokalen Speicher zugreifen kann.
Weitere Informationen zum Erstellen von Gerätezertifikaten finden Sie unter:
- Network Device Enrollment Service (NDES) in Active Directory-Zertifikatsdiensten (AD CS) auf der Microsoft-Website.
- Schrittweise Beispielbereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle auf der Microsoft System Center-Website.
- So fordern Sie ein Zertifikat von einer Microsoft-Zertifizierungsstelle mithilfe von DCE/RPC und der Nutzdaten des Active Directory-Zertifikatprofils auf der Apple-Support-Website an.
- Ausstellung voniPad/iPhone-Zertifikaten im Microsoft-Support-Blog “Fragen Sie das Verzeichnisdienstteam”
- Einrichten des Netzwerkgeräte-Registrierungsdienstes auf der Windows IT Pro-Website.
Schritte zum Konfigurieren von Gerätezertifikaten
Um ein Gerätezertifikat zu konfigurieren, müssen Sie die folgenden Schritte ausführen:
-
Installieren Sie das Zertifizierungsstellenzertifikat des Gerätezertifikatausstellers auf Citrix Gateway. Einzelheiten finden Sie unter Installieren des signierten Zertifikats auf Citrix Gateway.
-
Binden Sie das Zertifikat der Zertifizierungsstelle des Gerätezertifikatausstellers an den virtuellen Citrix Gateway-Server und aktivieren Sie die OCSP-Prüfung. Einzelheiten finden Sie unter Installieren des signierten Zertifikats auf Citrix Gateway.
-
Erstellen und binden Sie OCSP (Responder) auf dem Zertifikat der Zertifizierungsstelle des Gerätezertifikatausstellers. Einzelheiten finden Sie unter Überwachen des Zertifikatstatus mit OCSP.
Aktivieren Sie die Gerätezertifikatsprüfung auf dem virtuellen Server und fügen Sie das Zertifikat des Gerätezertifikatausstellers zur Checkliste für Gerätezertifikate hinzu. Einzelheiten finden Sie unter Aktivieren der Überprüfung von Gerätezertifikaten auf einem virtuellen Server für klassische EPA-Richtlinien.
Schließen Sie die clientseitige Konfiguration und Überprüfung des Gerätezertifikats auf dem Windows-Computer ab. Einzelheiten finden Sie unter Überprüfung des Gerätezertifikats auf einem Windows-Computer.
Hinweis:
Auf allen Clients, die das Gerätezertifikat EPA-Prüfung in Anspruch nehmen möchten, muss das Gerätezertifikat im Systemzertifikatspeicher des Computers installiert sein.
Aktivieren der Gerätezertifikatsprüfung auf einem virtuellen Server für klassische EPA-Richtlinien
Nachdem Sie das Gerätezertifikat erstellt haben, installieren Sie das Zertifikat auf Citrix Gateway, indem Sie das Verfahren zum Importieren und Installieren eines vorhandenen Zertifikats in Citrix Gatewayverwenden.
- Navigieren Sie auf der Registerkarte Konfiguration zu Citrix Gateway > Virtuelle Server.
- Wählen Sie auf der Seite Citrix Gateway Virtual Servers einen vorhandenen virtuellen Server aus und klicken Sie auf Bearbeiten.
- Klicken Sie auf der Seite Virtuelle VPN-Server im Abschnitt Grundeinstellungen auf Bearbeiten.
- Deaktivieren Sie das Feld Authentifizierung aktivieren, um die Authentifizierung zu deaktivieren.
- Wählen Sie das Feld Gerätezertifikat aktivieren, um das Gerätezertifikat
- Klicken Sie auf Hinzufügen, um den Namen des CA-Zertifikats eines verfügbaren Gerätezertifikats zur Liste hinzuzufügen.
- Um ein CA-Zertifikat an den virtuellen Server zu binden, klicken Sie im Abschnitt CA for Device Certificateauf CA-Zertifikat, klicken Sie aufHinzufügen, wählen Sie das Zertifikat aus und klicken Sie dann auf+.
Hinweis:
Informationen zum Aktivieren und Binden von Gerätezertifikaten auf einem virtuellen Server für erweiterte EPA-Richtlinien finden Sie unter Gerätezertifikat in nFactor als EPA-Komponente.
Überprüfung des Gerätezertifikats auf einem Windows-Computer
-
Öffnen Sie einen Browser und greifen Sie auf den Citrix Gateway FQDN zu.
-
Erlauben Sie dem Citrix End Point Analysis (EPA) -Client die Ausführung. Wenn noch nicht installiert, installieren Sie EPA.
Citrix EPA führt das Gerätezertifikat aus und validiert es und leitet zur Authentifizierungsseite weiter, wenn die EPA-Prüfung des Gerätezertifikats erfolgreich ist, andernfalls werden Sie zur EPA-Fehlerseite weitergeleitet. Falls Sie andere EPA-Prüfungen haben, hängen die EPA-Scanergebnisse von den konfigurierten EPA-Prüfungen ab.
Überprüfen Sie zum weiteren Debuggen auf dem Client die folgenden EPA-Protokolle auf dem Client: C:\Users<User name>\ AppData\ Local\ Citrix\ AGEE\ nsepa.txt
Hinweis:
Die Überprüfung des Gerätezertifikats mit CRL wird nicht unterstützt.