Gateway

Gerätezertifikate zur Authentifizierung verwenden

March 27, 2024

Beitrag von:

NetScaler Gateway unterstützt die Überprüfung des Gerätezertifikats, mit der Sie die Geräte-Identität an den privaten Schlüssel eines Zertifikats binden können. Die Gerätezertifikatsprüfung kann als Teil klassischer oder erweiterter Endpoint Analysis (EPA) -Richtlinien konfiguriert werden. In klassischen EPA-Richtlinien kann das Gerätezertifikat nur für die Vorauthentifizierung von EPA konfiguriert werden.

NetScaler Gateway überprüft das Gerätezertifikat, bevor der Endpoint Analysis-Scan ausgeführt wird oder bevor die Anmeldeseite angezeigt wird. Wenn Sie Endpoint Analysis konfigurieren, wird der Endpunkt-Scan ausgeführt, um das Benutzergerät zu überprüfen. Wenn das Gerät den Scan durchläuft und NetScaler Gateway das Gerätezertifikat überprüft hat, können sich Benutzer dann am NetScaler Gateway anmelden.

Wichtig:

Standardmäßig schreibt Windows Administratorrechte für den Zugriff auf Gerätezertifikate vor.

Um eine Gerätezertifikatsprüfung für Benutzer ohne Administratorrechte hinzuzufügen, müssen Sie das VPN-Plug-in installieren. Die VPN-Plug-In-Version muss dieselbe Version wie das EPA-Plug-In auf dem Gerät haben.

Sie können dem Gateway mehrere CA-Zertifikate hinzufügen und das Gerätezertifikat validieren.

Wenn Sie zwei oder mehr Gerätezertifikate auf NetScaler Gateway installieren, müssen Benutzer das richtige Zertifikat auswählen, wenn sie sich bei NetScaler Gateway anmelden oder bevor der Endpoint Analysis-Scan ausgeführt wird.

Wenn Sie das Gerätezertifikat erstellen, muss es sich um ein X.509-Zertifikat handeln.

Wenn Sie ein Gerätezertifikat haben, das von einer zwischengeschalteten CA ausgestellt wurde, müssen sowohl Zwischen- als auch Stamm-CA-Zertifikate gebunden sein.

Der EPA-Client benötigt den Benutzer lokale Administratorrechte, um auf den Maschinenzertifikatspeicher zugreifen zu können. Dies ist selten der Fall, daher besteht eine Problemumgehung darin, das vollständige NetScaler Gateway-Plug-In zu installieren, das auf den lokalen Speicher zugreifen kann.

Weitere Informationen zum Erstellen von Gerätezertifikaten finden Sie unter:

Network Device Enrollment Service (NDES) in Active Directory-Zertifikatsdiensten (AD CS) auf der Microsoft-Website.
So fordern Sie ein Zertifikat von einer Microsoft-Zertifizierungsstelle mithilfe von DCE/RPC und der Nutzdaten des Active Directory-Zertifikatprofils auf der Apple-Support-Website an.
Ausstellung voniPad/iPhone-Zertifikaten im Microsoft-Support-Blog “Fragen Sie das Verzeichnisdienstteam”
Einrichten des Netzwerkgeräte-Registrierungsdienstes auf der Windows IT Pro-Website.
Schrittweise Beispielbereitstellung der PKI-Zertifikate für Configuration Manager: Windows Server 2008-Zertifizierungsstelle auf der Microsoft System Center-Website.

Schritte zum Konfigurieren von Gerätezertifikaten

Um ein Gerätezertifikat zu konfigurieren, müssen Sie die folgenden Schritte ausführen:

Installieren Sie das Zertifizierungsstellenzertifikat des Gerätezertifikatausstellers auf NetScaler Gateway. Einzelheiten finden Sie unter Installieren des signierten Zertifikats auf NetScaler Gateway.
Binden Sie das Zertifikat der Zertifizierungsstelle des Gerätezertifikatausstellers an den virtuellen NetScaler Gateway-Server und aktivieren Sie die OCSP-Prüfung. Einzelheiten finden Sie unter Installieren des signierten Zertifikats auf NetScaler Gateway.
Erstellen und binden Sie OCSP (Responder) auf dem Zertifikat der Zertifizierungsstelle des Gerätezertifikatausstellers. Einzelheiten finden Sie unter Überwachen des Zertifikatstatus mit OCSP.

Aktivieren Sie die Gerätezertifikatsprüfung auf dem virtuellen Server und fügen Sie das Zertifikat des Gerätezertifikatausstellers zur Checkliste für Gerätezertifikate hinzu. Einzelheiten finden Sie unter Aktivieren der Überprüfung von Gerätezertifikaten auf einem virtuellen Server für klassische EPA-Richtlinien.

Schließen Sie die clientseitige Konfiguration und Überprüfung des Gerätezertifikats auf dem Windows-Computer ab. Einzelheiten finden Sie unter Überprüfung des Gerätezertifikats auf einem Windows-Computer.

Hinweis:

Auf allen Clients, die das Gerätezertifikat EPA-Prüfung in Anspruch nehmen möchten, muss das Gerätezertifikat im Systemzertifikatspeicher des Computers installiert sein.

Aktivieren der Gerätezertifikatsprüfung auf einem virtuellen Server für klassische EPA-Richtlinien

Nachdem Sie das Gerätezertifikat erstellt haben, installieren Sie das Zertifikat auf NetScaler Gateway, indem Sie das Verfahren zum Importieren und Installieren eines vorhandenen Zertifikats in NetScaler Gatewayverwenden.

Navigieren Sie auf der Registerkarte Konfiguration zu NetScaler Gateway > Virtuelle Server.
Wählen Sie auf der Seite NetScaler Gateway Virtual Servers einen vorhandenen virtuellen Server aus und klicken Sie auf Bearbeiten.
Klicken Sie auf der Seite Virtuelle VPN-Server im Abschnitt Grundeinstellungen auf Bearbeiten.
Deaktivieren Sie das Feld Authentifizierung aktivieren, um die Authentifizierung zu deaktivieren.
Wählen Sie das Feld Gerätezertifikat aktivieren, um das Gerätezertifikat
Klicken Sie auf Hinzufügen, um den CA-Zertifikatnamen eines verfügbaren Gerätezertifikatausstellers zur Liste hinzuzufügen.
Um ein CA-Zertifikat an den virtuellen Server zu binden, klicken Sie im Abschnitt CA for Device Certificateauf CA-Zertifikat, klicken Sie aufHinzufügen, wählen Sie das Zertifikat aus und klicken Sie dann auf+.

Hinweis:

Informationen zum Aktivieren und Binden von Gerätezertifikaten auf einem virtuellen Server für erweiterte EPA-Richtlinien finden Sie unter Gerätezertifikat in nFactor als EPA-Komponente.

Überprüfung des Gerätezertifikats auf einem Windows-Computer

Öffnen Sie einen Browser und greifen Sie auf den NetScaler Gateway FQDN zu.
Erlauben Sie dem Citrix End Point Analysis (EPA) -Client die Ausführung. Wenn noch nicht installiert, installieren Sie EPA.

Citrix EPA führt das Gerätezertifikat aus und validiert es und leitet zur Authentifizierungsseite weiter, wenn die EPA-Prüfung des Gerätezertifikats erfolgreich ist, andernfalls werden Sie zur EPA-Fehlerseite weitergeleitet. Falls Sie andere EPA-Prüfungen haben, hängen die EPA-Scanergebnisse von den konfigurierten EPA-Prüfungen ab.

Überprüfen Sie zum weiteren Debuggen auf dem Client die folgenden EPA-Protokolle auf dem Client: C:\Users<User name>\ AppData\ Local\ Citrix\ AGEE\ nsepa.txt

Hinweis:

Die Überprüfung des Gerätezertifikats mit CRL wird nicht unterstützt.

Die offizielle Version dieses Inhalts ist auf Englisch. Für den einfachen Einstieg wird Teil des Inhalts der Cloud Software Group Dokumentation maschinell übersetzt. Cloud Software Group hat keine Kontrolle über maschinell übersetzte Inhalte, die Fehler, Ungenauigkeiten oder eine ungeeignete Sprache enthalten können. Es wird keine Garantie, weder ausdrücklich noch stillschweigend, für die Genauigkeit, Zuverlässigkeit, Eignung oder Richtigkeit von Übersetzungen aus dem englischen Original in eine andere Sprache oder für die Konformität Ihres Cloud Software Group Produkts oder Ihres Diensts mit maschinell übersetzten Inhalten gegeben, und jegliche Garantie, die im Rahmen der anwendbaren Endbenutzer-Lizenzvereinbarung oder der Vertragsbedingungen oder einer anderen Vereinbarung mit Cloud Software Group gegeben wird, dass das Produkt oder den Dienst mit der Dokumentation übereinstimmt, gilt nicht in dem Umfang, in dem diese Dokumentation maschinell übersetzt wurde. Cloud Software Group kann nicht für Schäden oder Probleme verantwortlich gemacht werden, die durch die Verwendung maschinell übersetzter Inhalte entstehen können.

War dieser Artikel hilfreich?

Gerätezertifikate zur Authentifizierung verwenden

March 27, 2024

Beitrag von:

March 27, 2024

Beitrag von:

In diesem Artikel

Schritte zum Konfigurieren von Gerätezertifikaten
Aktivieren der Gerätezertifikatsprüfung auf einem virtuellen Server für klassische EPA-Richtlinien
Überprüfung des Gerätezertifikats auf einem Windows-Computer

War dieser Artikel hilfreich?