Gerätezertifikate zur Authentifizierung verwenden

NetScaler Gateway unterstützt die Überprüfung des Gerätezertifikats, mit der Sie die Geräte-Identität an den privaten Schlüssel eines Zertifikats binden können. Die Gerätezertifikatsprüfung kann als Teil klassischer oder erweiterter Endpoint Analysis (EPA) -Richtlinien konfiguriert werden. In klassischen EPA-Richtlinien kann das Gerätezertifikat nur für die Vorauthentifizierung von EPA konfiguriert werden.

NetScaler Gateway überprüft das Gerätezertifikat, bevor der Endpoint Analysis-Scan ausgeführt wird oder bevor die Anmeldeseite angezeigt wird. Wenn Sie Endpoint Analysis konfigurieren, wird der Endpunkt-Scan ausgeführt, um das Benutzergerät zu überprüfen. Wenn das Gerät den Scan durchläuft und NetScaler Gateway das Gerätezertifikat überprüft hat, können sich Benutzer dann am NetScaler Gateway anmelden.

Wichtig:

  • Standardmäßig schreibt Windows Administratorrechte für den Zugriff auf Gerätezertifikate vor.
  • Um eine Gerätezertifikatsprüfung für Benutzer ohne Administratorrechte hinzuzufügen, müssen Sie das VPN-Plug-in installieren. Die VPN-Plug-In-Version muss dieselbe Version wie das EPA-Plug-In auf dem Gerät haben.
  • Sie können dem Gateway mehrere CA-Zertifikate hinzufügen und das Gerätezertifikat validieren.
  • Wenn Sie zwei oder mehr Gerätezertifikate auf NetScaler Gateway installieren, müssen Benutzer das richtige Zertifikat auswählen, wenn sie sich bei NetScaler Gateway anmelden oder bevor der Endpoint Analysis-Scan ausgeführt wird.
  • Wenn Sie das Gerätezertifikat erstellen, muss es sich um ein X.509-Zertifikat handeln.
  • Wenn Sie ein Gerätezertifikat haben, das von einer zwischengeschalteten CA ausgestellt wurde, müssen sowohl Zwischen- als auch Stamm-CA-Zertifikate gebunden sein.
  • Der EPA-Client benötigt den Benutzer lokale Administratorrechte, um auf den Maschinenzertifikatspeicher zugreifen zu können. Dies ist selten der Fall, daher besteht eine Problemumgehung darin, das vollständige NetScaler Gateway-Plug-In zu installieren, das auf den lokalen Speicher zugreifen kann.

Weitere Informationen zum Erstellen von Gerätezertifikaten finden Sie unter:

Schritte zum Konfigurieren von Gerätezertifikaten

Um ein Gerätezertifikat zu konfigurieren, müssen Sie die folgenden Schritte ausführen:

Aktivieren Sie die Gerätezertifikatsprüfung auf dem virtuellen Server und fügen Sie das Zertifikat des Gerätezertifikatausstellers zur Checkliste für Gerätezertifikate hinzu. Einzelheiten finden Sie unter Aktivieren der Überprüfung von Gerätezertifikaten auf einem virtuellen Server für klassische EPA-Richtlinien.

Schließen Sie die clientseitige Konfiguration und Überprüfung des Gerätezertifikats auf dem Windows-Computer ab. Einzelheiten finden Sie unter Überprüfung des Gerätezertifikats auf einem Windows-Computer.

Hinweis:

Auf allen Clients, die das Gerätezertifikat EPA-Prüfung in Anspruch nehmen möchten, muss das Gerätezertifikat im Systemzertifikatspeicher des Computers installiert sein.

Aktivieren der Gerätezertifikatsprüfung auf einem virtuellen Server für klassische EPA-Richtlinien

Nachdem Sie das Gerätezertifikat erstellt haben, installieren Sie das Zertifikat auf NetScaler Gateway, indem Sie das Verfahren zum Importieren und Installieren eines vorhandenen Zertifikats in NetScaler Gatewayverwenden.

  1. Navigieren Sie auf der Registerkarte Konfiguration zu NetScaler Gateway > Virtuelle Server.
  2. Wählen Sie auf der Seite NetScaler Gateway Virtual Servers einen vorhandenen virtuellen Server aus und klicken Sie auf Bearbeiten.
  3. Klicken Sie auf der Seite Virtuelle VPN-Server im Abschnitt Grundeinstellungen auf Bearbeiten.
  4. Deaktivieren Sie das Feld Authentifizierung aktivieren, um die Authentifizierung zu deaktivieren.
  5. Wählen Sie das Feld Gerätezertifikat aktivieren, um das Gerätezertifikat
  6. Klicken Sie auf Hinzufügen, um den CA-Zertifikatnamen eines verfügbaren Gerätezertifikatausstellers zur Liste hinzuzufügen.
  7. Um ein CA-Zertifikat an den virtuellen Server zu binden, klicken Sie im Abschnitt CA for Device Certificateauf CA-Zertifikat, klicken Sie aufHinzufügen, wählen Sie das Zertifikat aus und klicken Sie dann auf+.

Hinweis:

Informationen zum Aktivieren und Binden von Gerätezertifikaten auf einem virtuellen Server für erweiterte EPA-Richtlinien finden Sie unter Gerätezertifikat in nFactor als EPA-Komponente.

Überprüfung des Gerätezertifikats auf einem Windows-Computer

  1. Öffnen Sie einen Browser und greifen Sie auf den NetScaler Gateway FQDN zu.

  2. Erlauben Sie dem Citrix End Point Analysis (EPA) -Client die Ausführung. Wenn noch nicht installiert, installieren Sie EPA.

    Citrix EPA führt das Gerätezertifikat aus und validiert es und leitet zur Authentifizierungsseite weiter, wenn die EPA-Prüfung des Gerätezertifikats erfolgreich ist, andernfalls werden Sie zur EPA-Fehlerseite weitergeleitet. Falls Sie andere EPA-Prüfungen haben, hängen die EPA-Scanergebnisse von den konfigurierten EPA-Prüfungen ab.

Überprüfen Sie zum weiteren Debuggen auf dem Client die folgenden EPA-Protokolle auf dem Client: C:\Users<User name>\ AppData\ Local\ Citrix\ AGEE\ nsepa.txt

Hinweis:

Die Überprüfung des Gerätezertifikats mit CRL wird nicht unterstützt.

Gerätezertifikate zur Authentifizierung verwenden