Geräte-Zertifikat in nFactor als EPA-Komponente
Wichtig:
Die Endpunktanalyse dient dazu, das Benutzergerät anhand vorab festgelegter Konformitätskriterien zu analysieren. Die Sicherheit der Endbenutzergeräte wird nicht erzwungen oder validiert. Es wird empfohlen, Endpunktsicherheitssysteme zu verwenden, um Geräte vor lokalen Administratorangriffen zu schützen.
Das Gerätezertifikat kann in nFactor als EPA-Komponente konfiguriert werden. Das Gerätezertifikat kann als ein beliebiger Faktor als Teil von EPA erscheinen.
Im Folgenden sind die Vorteile der Konfiguration des Gerätezertifikats in nFactor als EPA-Komponente aufgeführt.
-
Der Fehler bei der Validierung des Gerätezertifikats führt nicht zu einem Anmeldefehler. Basierend auf der Konfiguration kann die Anmeldung fortgesetzt werden und der Benutzer kann Gruppen mit eingeschränktem Zugriff zugeordnet werden.
-
Da die Überprüfung des Gerätezertifikats richtliniengesteuert ist, können Sie den Zugriff auf Ihre Unternehmensintranetressourcen basierend auf der Gerätezertifikatauthentifizierung selektiv zulassen oder blockieren. Beispielsweise kann die Gerätezertifikatauthentifizierung verwendet werden, um bedingten Zugriff auf die Office 365-Anwendung nur auf den unternehmensverwalteten Laptops bereitzustellen.
Die Validierung des Gerätezertifikats kann nicht Teil eines regelmäßigen EPA-Scans sein.
Wichtig:
- Standardmäßig schreibt Windows Administratorrechte für den Zugriff auf Gerätezertifikate vor. Um die Gerätezertifikatsprüfung für Benutzer ohne Administratorrechte hinzuzufügen, müssen Sie das VPN-Plug-in derselben Version wie das EPA-Plug-in auf dem Gerät installieren.
- Sie können dem Gateway mehrere CA-Zertifikate hinzufügen und das Gerätezertifikat validieren.
- Wenn Sie zwei oder mehr Gerätezertifikate auf den Clientcomputern installieren, müssen Benutzer das richtige Zertifikat auswählen, während sie sich bei Citrix Gateway anmelden oder bevor der Endpoint Analysis-Scan ausgeführt wird.
- Wenn Sie das Gerätezertifikat erstellen, muss es sich um ein X.509-Zertifikat handeln.
- Wenn Sie ein Gerätezertifikat haben, das von einer zwischengeschalteten CA ausgestellt wurde, müssen sowohl Zwischen- als auch Stamm-CA-Zertifikate gebunden sein.
- Sie müssen das CA-Zertifikat auch an den virtuellen VPN-Server binden.
Konfigurieren Sie das Gerätezertifikat in nFactor als EPA-Komponente
So konfigurieren Sie das Gerätezertifikat in nFactor als EPA-Komponente über die CLI:
Geben Sie an der Eingabeaufforderung;
add authentication epaAction epa-act -csecexpr sys.client_expr("device-cert_0_0") -defaultgroup epa_pass -quarantine_group epa_fail
<!--NeedCopy-->
So konfigurieren Sie das Gerätezertifikat in nFactor als EPA-Komponente für den virtuellen VPN-Server über die GUI:
- Navigieren Sie in der Citrix ADC GUI zu Konfiguration > Citrix Gateway > Virtuelle Server.
- Wählen Sie auf der Seite Citrix Gateway Virtual Servers den virtuellen Server aus, der geändert werden soll, und klicken Sie auf Bearbeiten.
-
Klicken Sie auf der Seite VPN Virtual Server auf das Symbol Bearbeiten.
-
Klicken Sie auf Mehr.
-
Klicken Sie im Abschnitt CA for Device Certificate auf + und klicken Sie auf OK.
Hinweis:
Aktivieren Sie nicht das Kontrollkästchen Gerätezertifikat aktivieren. Durch die Aktivierung wird die Validierung des Gerätezertifikats in der klassischen EPA ermöglicht.
-
Navigieren Sie in der Citrix ADC GUI zu Konfiguration > Sicherheit > AAA — Anwendungsverkehr > Richtlinien > Authentifizierung > Erweiterte Richtlinien > Aktionen > EPA.
-
Klicken Sie auf der Seite Authentifizierung EPA-Aktion auf Hinzufügen. Sie können auf Bearbeiten klicken, um eine bestehende EPA-Aktion zu bearbeiten.
-
Geben Sie auf der Seite EPA-Aktion für Authentifizierung erstellen die Werte für die erforderlichen Felder an, um eine Authentifizierungs-EPA-Aktion zu erstellen, und klicken Sie auf den Link EPA-Editor.
-
Wählen Sie im Menü Ausdruckseditor die Option Allgemein.
-
Wählen Sie im daraufhin angezeigten Menü Gerätezertifikat aus und klicken Sie auf Fertig, um die Konfiguration abzuschließen.
So konfigurieren Sie das Gerätezertifikat in nFactor als EPA-Komponente für den virtuellen Citrix ADC AAA-Server über die GUI:
-
Navigieren Sie in der Citrix ADC GUI zu Sicherheit > AAA-Anwendungsverkehr > Virtuelle Server.
-
Wählen Sie auf der Seite Citrix Gateway Virtual Servers den virtuellen Server aus, der geändert werden soll, und klicken Sie auf Bearbeiten.
- Klicken Sie auf der Seite Virtueller Authentifizierungsserver auf das Symbol Bearbeiten.
-
Klicken Sie auf Mehr.
-
Klicken Sie neben dem Abschnitt CA for Device Certificate auf Hinzufügen.
-
Wählen Sie das hinzuzufügende Zertifikat aus und klicken Sie auf OK, um die Konfiguration abzuschließen.
- Wiederholen Sie Schritt 6 bis Schritt 10, um die Konfiguration abzuschließen.