Usar certificados de dispositivo para la autenticación
NetScaler Gateway admite la comprobación de certificados de dispositivo que permite vincular la identidad del dispositivo a la clave privada de un certificado. La comprobación del certificado del dispositivo se puede configurar como parte de las directivas clásicas o avanzadas de Endpoint Analysis (EPA). En las directivas clásicas de EPA, el certificado de dispositivo solo se puede configurar para la EPA de autenticación previa.
NetScaler Gateway verifica el certificado del dispositivo antes de que se ejecute el análisis de endpoint o antes de que aparezca la página de inicio de sesión. Si configura el análisis de endpoints, el análisis de endpoints se ejecuta para verificar el dispositivo del usuario. Cuando el dispositivo pasa el análisis y después de que NetScaler Gateway verifica el certificado del dispositivo, los usuarios pueden iniciar sesión en NetScaler Gateway.
Importante:
- De forma predeterminada, Windows exige privilegios de administrador para acceder a los certificados de dispositivo.
- Para agregar una comprobación de certificado de dispositivo para usuarios que no son administradores, debe instalar el complemento VPN. La versión del plug-in VPN debe ser la misma que el plug-in de la EPA del dispositivo.
- Puede agregar varios certificados de CA a la puerta de enlace y validar el certificado de dispositivo.
- Si instala dos o más certificados de dispositivo en NetScaler Gateway, los usuarios deben seleccionar el certificado correcto cuando empiecen a iniciar sesión en NetScaler Gateway o antes de que se ejecute el análisis de endpoint.
- Al crear el certificado de dispositivo, debe ser un certificado X.509.
- Si tiene un certificado de dispositivo emitido por una CA intermedia, los certificados de CA intermedia y raíz deben estar vinculados.
- El cliente EPA necesita que el usuario tenga derechos de administrador local para poder acceder al almacén de certificados de la máquina. Esto rara vez ocurre, por lo que una solución alternativa es instalar el complemento completo de NetScaler Gateway que puede acceder al almacén local.
Para obtener más información sobre cómo crear certificados de dispositivo, consulte lo siguiente:
- Servicio de inscripción de dispositivos de red (NDES) en los Servicios de certificados de Active Directory (AD CS) en el sitio web de Microsoft.
- Cómo solicitar un certificado a una entidad emisora de certificados de Microsoft mediante DCE/RPC y la carga útil del perfil de certificados de Active Directory en el sitio web de soporte técnico de Apple.
- Emisión de certificados iPad o iPhone en el blog de soporte técnico de Microsoft Pregunte al equipo de servicios de directorio.
- Configuración del servicio de inscripción de dispositivos de red en el sitio web de TI Pro de Windows.
- Ejemplo paso a paso de implementación de certificados PKI para Configuration Manager: ¿Entidad de certificación de Windows Server 2008? RedirectedFrom=MSDN) en el sitio web de Microsoft System Center.
Pasos para configurar certificados de dispositivo
Para configurar un certificado de dispositivo, debe completar los pasos siguientes:
-
Instale el certificado de entidad emisora de certificados del dispositivo en NetScaler Gateway. Para obtener más información, consulte Instalación del certificado firmado en NetScaler Gateway.
-
Enlace el certificado de entidad emisora de certificados del dispositivo al servidor virtual de NetScaler Gateway y habilite la comprobación de OCSP. Para obtener más información, consulte Instalación del certificado firmado en NetScaler Gateway.
-
Cree y vincule OCSP (respondedor) en el certificado de entidad emisora de certificados del dispositivo. Para obtener más información, consulte Supervisar el estado de los certificados con OCSP.
Habilite la comprobación de certificados de dispositivo en el servidor virtual y agregue el certificado de entidad emisora de certificados de dispositivo a la lista de comprobación de certificados de dispositivo. Para obtener más información, consulte Habilitar la comprobación de certificados de dispositivo en un servidor virtual para la directiva clásica de EPA.
Complete la configuración del cliente y la verificación del certificado de dispositivo en la máquina Windows. Para obtener más información, consulte Verificación del certificado de dispositivo en un equipo Windows.
Nota:
Todos los clientes destinados a aprovechar la comprobación EPA del certificado de dispositivo deben tener el certificado de dispositivo instalado en el almacén de certificados del sistema de la máquina.
Habilitar la comprobación de certificados de dispositivo en un servidor virtual para la directiva clásica de EPA
Después de crear el certificado de dispositivo, instale el certificado en NetScaler Gateway mediante el procedimiento de importación e instalación de un certificado existente en NetScaler Gateway.
- En la pestaña Configuración, vaya a NetScaler Gateway > Servidores virtuales.
- En la página Servidores virtuales de NetScaler Gateway, seleccione un servidor virtual existente y haga clic en Editar.
- En la página Servidores virtuales VPN , en la sección Configuración básica , haga clic en Editar .
- Desactive la casilla Habilitar autenticación para inhabilitar la autenticación.
- Seleccione la casilla Habilitar certificado de dispositivo para habilitar el certificado de dispositivo
- Haga clic en Agregar para agregar a la lista el nombre del certificado de entidad emisora de certificados de dispositivo disponible.
- Para vincular un certificado de CA al servidor virtual, haga clic en Certificado de CA en la sección CA para certificado de dispositivo, haga clic en Agregar, seleccione el certificado y, a continuación, haga clic en +.
Nota:
Para obtener información sobre cómo habilitar y vincular certificados de dispositivo en un servidor virtual para directivas EPA avanzadas, consulte Certificado de dispositivo en nFactor como componente EPA.
Verificación del certificado de dispositivo en un equipo Windows
-
Abra un explorador y acceda al FQDN de NetScaler Gateway.
-
Permita que se ejecute el cliente de Citrix End Point Analysis (EPA). Si aún no está instalado, instale la EPA.
Citrix EPA ejecuta y valida el certificado de dispositivo y lo redirige a la página de autenticación si se aprueba la comprobación de EPA del certificado de dispositivo; de lo contrario, lo redirige a la página de error de la EPA. En caso de que tenga otras comprobaciones de la EPA, los resultados del análisis de la EPA dependen de las comprobaciones de la EPA configuradas.
Para realizar más depuraciones en el cliente, examine los siguientes registros de EPA en el cliente: C:\Users<User name>\ AppData\ Local\ Citrix\ AGEE\ nsepa.txt
Nota:
No se admite la verificación de certificados de dispositivo con CRL.