Utiliser des certificats d’appareil pour l’authentification

Citrix Gateway prend en charge la vérification du certificat de l’appareil qui vous permet de lier l’identité de l’appareil à la clé privée d’un certificat. La vérification du certificat de l’appareil peut être configurée dans le cadre de stratégies EPA (Endpoint Analysis) classiques ou avancées. Dans les stratégies EPA classiques, le certificat d’appareil ne peut être configuré que pour l’EPA de pré-authentification.

Citrix Gateway vérifie le certificat de l’appareil avant l’exécution de l’analyse des points de terminaison ou avant l’affichage de la page d’ouverture de session. Si vous configurez l’analyse des points de terminaison, l’analyse des points de terminaison est exécutée pour vérifier la machine utilisateur. Lorsque l’appareil réussit l’analyse et après que Citrix Gateway a vérifié le certificat de machine, les utilisateurs peuvent alors ouvrir une session sur NetScaler Gateway.

Important :

• Par défaut, Windows impose des privilèges d’administrateur pour accéder aux certificats d’appareil.
• Pour ajouter une vérification de certificat d’appareil pour les utilisateurs non administrateurs, vous devez installer le plug-in VPN. La version du plug-in VPN doit être la même que celle du plug-in EPA sur l’appareil.
• Vous pouvez ajouter plusieurs certificats d’autorité de certification à la passerelle et valider le certificat de l’appareil.
• Si vous installez deux certificats d’appareil ou plus sur Citrix Gateway, les utilisateurs doivent sélectionner le certificat approprié lorsqu’ils commencent à ouvrir une session sur Citrix Gateway ou avant l’exécution de l’analyse des points de terminaison.
• Lorsque vous créez le certificat de périphérique, il doit s’agir d’un certificat X.509.
• Si vous disposez d’un certificat de périphérique émis par une autorité de certification intermédiaire, les certificats d’autorité de certification intermédiaire et racine doivent être liés.
• Le client EPA a besoin que l’utilisateur dispose de droits d’administrateur local pour pouvoir accéder au magasin de certificats de la machine. C’est rarement le cas. Par conséquent, une solution de contournement consiste à installer le plug-in NetScaler Gateway complet qui peut accéder au magasin local.

Pour plus d’informations sur la création de certificats d’appareil, consultez les sections suivantes :

• Network Device Enrollment Service (NDES) dans les services de certificats Active Directory (AD CS) sur le site Web de Microsoft.
• Comment demander un certificat à une autorité de certification Microsoft à l’aide de DCE/RPC et de la charge utile du profil de certificat Active Directory sur le site Web d’assistance Apple.
• Émissionde certificats iPad ou iPhone sur le blog de support Microsoft Ask the Directory Services Team.
• Configuration du service d’inscription des appareils réseau sur le site Web Windows IT Pro.
• Exemple de déploiement étape par étape des certificats PKI pour Configuration Manager : Autorité sur le site Web de Microsoft System Center.

Étapes de configuration des certificats d’appareils

Pour configurer un certificat d’appareil, vous devez effectuer les étapes suivantes :

• Installez le certificat d’autorité de certification de l’émetteur du certificat de l’appareil sur Citrix Gateway. Pour plus d’informations, consultez la section Installation du certificat signé sur Citrix Gateway.

• Liez le certificat d’autorité de certification de l’émetteur du certificat d’appareil au serveur virtuel Citrix Gateway et activez la vérification OCSP. Pour plus d’informations, consultez la section Installation du certificat signé sur Citrix Gateway.

• Créez et liez OCSP (répondeur) sur le certificat d’autorité de certification de l’émetteur du certificat de périphérique. Pour plus d’informations, consultez la section Surveiller l’état des certificats avec OCSP.

Activez la vérification des certificats de périphérique sur le serveur virtuel et ajoutez le certificat d’autorité de certification de l’émetteur du certificat de périphérique à la liste de vérification des certificats de périphérique. Pour plus d’informations, consultez la section Activer la vérification des certificats de périphériques sur un serveur virtuel pour la stratégie EPA classique.

Terminez la configuration côté client et la vérification du certificat de périphérique sur la machine Windows. Pour plus d’informations, consultez la section Vérification du certificat de périphérique sur un ordinateur Windows.

Remarque :

Le certificat de périphérique doit être installé dans le magasin de certificats système de la machine pour tous les clients destinés à bénéficier de la vérification EPA du certificat de périphérique.

Activer la vérification des certificats de périphériques sur un serveur virtuel pour la stratégie EPA classique

Après avoir créé le certificat d’appareil, vous installez le certificat sur Citrix Gateway à l’aide de la procédure d’ importation et d’installation d’un certificat existant sur Citrix Gateway.

1. Dans l’onglet Configuration, accédez à Citrix Gateway > Virtual Servers.
2. Sur la page Serveurs virtuels Citrix Gateway, sélectionnez un serveur virtuel existant et cliquez sur Modifier.
3. Sur la page Serveurs virtuels VPN, dans la section Paramètres de base, cliquez sur Modifier.
4. Décochez la case Activer l’authentification pour désactiver l’authentification.
5. Cochez la case Activer le certificat de périphérique pour activer le certificat de périphérique
6. Cliquez sur Ajouter pour ajouter le nom du certificat CA d’un émetteur de certificat de périphérique disponible à la liste.
7. Pour lier un certificat d’autorité de certification au serveur virtuel, cliquez sur Certificat d’autorité de certification dans la section Certificat d’autorité de certification pour périphérique, cliquez sur Ajouter, sélectionnez le certificat, puis cliquez sur +.

Remarque :

Pour plus d’informations sur l’activation et la liaison de certificats de périphériques sur un serveur virtuel pour une stratégie EPA avancée, consultez la section Certificat de périphérique dans nFactor en tant que composant EPA.

Vérification du certificat de l’appareil sur une machine Windows

1. Ouvrez un navigateur et accédez au nom de domaine complet Citrix Gateway.

2. Autorisez l’exécution du client Citrix End Point Analysis (EPA). Si ce n’est pas déjà fait, installez l’EPA.

   Citrix EPA exécute et valide le certificat de périphérique et redirige vers la page d’authentification si le contrôle EPA du certificat de périphérique est réussi, sinon il vous redirige vers la page d’erreur EPA. Dans le cas où vous disposez d’autres contrôles EPA, les résultats de l’analyse EPA dépendent des contrôles EPA configurés.

Pour un débogage plus poussé sur le client, examinez les journaux EPA suivants sur le client : C:\Users <User name>\ AppData \ Local \ Citrix \ AGEE \ nsepa.txt

Remarque :

La vérification du certificat d’appareil avec la liste de réexamen de certificats n’est pas prise