Gateway

Configurar el certificado de cliente o el certificado de cliente y la autenticación de dominio

Puede utilizar el asistente de NetScaler ADC para Citrix Endpoint Management para realizar la configuración necesaria para Citrix Endpoint Management al utilizar la autenticación de solo certificado de NetScaler ADC o la autenticación de certificado más dominio. Puede ejecutar el asistente de NetScaler ADC para Citrix Endpoint Management una sola vez. Para obtener información sobre el uso del asistente, consulte Configuración de las opciones del entorno de Citrix Endpoint Management.

Si ya ha utilizado el asistente, siga las instrucciones de este artículo para la configuración adicional necesaria para la autenticación de certificados de cliente o el certificado de cliente más la autenticación de dominio.

Para asegurarse de que el usuario de un dispositivo en modo solo de MAMs no puede autenticarse con un certificado existente en el dispositivo, consulte “NetScaler ADC Certificate Revocation List (CRL)” más adelante en este artículo.

Configurar NetScaler Gateway para la autenticación de certificados de cliente mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
  2. Seleccione el servidor virtual de tipo SSL y, en la sección Parámetros SSL, establezca Habilitar reutilización de sesiones como INHABILITADO.

    página Parámetros SSL

  3. Vaya a NetScaler Gateway > Servidores virtuales.
  4. Seleccione el servidor virtual de tipo SSLy haga clic en Modificar.
  5. En la sección Parámetros SSL, haga clic en el icono de modificación.
  6. Seleccione Autenticación de cliente y en Certificado de cliente, seleccione Obligatorio.

    Detalles de parámetros SSL

  7. Cree una directiva de certificados de autenticación para que Citrix Endpoint Management pueda extraer el nombre principal del usuario o la cuenta SAMAccount del certificado de cliente proporcionado por Secure Hub a NetScaler Gateway.

  8. Vaya a NetScaler Gateway > Directivas > Autenticación > CERT.

  9. Haga clic en la ficha Perfiles y, a continuación, en Agregar.

  10. Defina los siguientes parámetros para el perfil del certificado:

    Tipo de autenticación: CERT

    Dos factores: DESACTIVADO (solo para autenticación con certificado)

    Campo de nombre de usuario: Asunto: CN

    Campo de nombre de grupo: subjectAltName:principalName

    Detalles del perfil

  11. Enlazar solo la directiva de autenticación de certificados como autenticación principal en el servidor virtual NetScaler Gateway.

    Vinculación de la directiva

  12. Enlace el certificado de CA raíz para validar la confianza del certificado de cliente presentado a NetScaler Gateway.

Configurar NetScaler Gateway para la autenticación de dominios y certificados de cliente mediante la interfaz gráfica de usuario

  1. Vaya a Administración del tráfico > Equilibrio de carga > Servidores virtuales.
  2. Seleccione el servidor virtual de tipo SSL y, en la sección Parámetros SSL, establezca Habilitar reutilización de sesiones como INHABILITADO.

    página Parámetros SSL

  3. Vaya a NetScaler Gateway > Directivas > Autenticación > Certificado.

  4. Haga clic en la ficha Perfiles y haga clic en Agregar.

    Haga clic para agregar un servidor de certificados

  5. Introduzca el nombre del perfil, establezca Two Factoren ON y, enCampo de nombre de usuario, seleccione SubjetAltNamePrincipalName.

    Detalles del servidor de certificados

  6. Haga clic en la ficha Directivas y, a continuación, en Agregar.

  7. Escriba el nombre de la directiva, en Servidor seleccione el perfil de certificado, establezca la expresión como ns_true y haga clic en Crear.

    Introduzca la expresión

  8. Vaya a Servidores virtuales, seleccione el servidor virtual de tipo SSLy haga clic en Modificar.

  9. Junto a Autenticación, haga clic en + para agregar la autenticación de certificado.

  10. Para seleccionar el método de autenticación, en Elegir directiva, seleccione Certificadoy, en Elegir tipo, seleccione Principal. Esto vincula la autenticación de certificados como autenticación principal con la misma prioridad que el tipo de autenticación LDAP.

    Tipo de autenticación principal

  11. En Enlace de directivas, haga clic en Haga clic para seleccionar para seleccionar la directiva de certificados creada anteriormente.

  12. Seleccione la directiva de certificados creada anteriormente y haga clic en Aceptar.

  13. Establezca la prioridad en 100 y, a continuación, haga clic en Vincular. Utilice el mismo número de prioridad al configurar la directiva de autenticación LDAP en los pasos siguientes.

    Seleccionar prioridad

  14. En la fila de Directiva LDAP, haga clic en >.

  15. Seleccione la directiva y, a continuación, en el menú desplegable Modificar, haga clic en Modificar enlace.

  16. Introduzca el mismo valor de prioridad que especificó para la directiva de certificados. Haga clic en Bind.

    Introduzca la misma prioridad

  17. Haga clic en Cerrar.

    Fijación completa

  18. Haga clic en el icono de modificación de la sección Parámetros SSL.

  19. Active la casilla Autenticación de cliente y, en Certificado de cliente, elija Obligatoriay haga clic en Aceptar.

    Hacer obligatorio el certificado de cliente

  20. Haga clic en Listo.

    Configuración finalizada

Lista de revocación de certificados (CRL) de Citrix ADC

Citrix Endpoint Management admite la lista de revocación de certificados (CRL) solo para una entidad emisora de certificados de terceros. Si tiene configurada una entidad emisora de certificados de Microsoft, Citrix Endpoint Management utiliza NetScaler ADC para administrar la revocación. Al configurar la autenticación por certificados de cliente, plantéese si es necesario configurar el parámetro de lista de revocación de certificados (CRL) de NetScaler ADC, Enable CRL Auto Refresh. Este paso garantiza que el usuario de un dispositivo en modo solo MAM no pueda autenticarse con un certificado existente en el dispositivo. Citrix Endpoint Management vuelve a emitir un nuevo certificado porque no impide que un usuario genere un certificado de usuario si se revoca uno. Este parámetro aumenta la seguridad de las entidades PKI cuando la lista de revocación de certificados comprueba si hay entidades PKI caducadas.

Configurar el certificado de cliente o el certificado de cliente y la autenticación de dominio