Utiliser des certificats d’appareil pour l’authentification

NetScaler Gateway prend en charge la vérification du certificat de l’appareil qui vous permet de lier l’identité de l’appareil à la clé privée d’un certificat. La vérification du certificat de l’appareil peut être configurée dans le cadre de stratégies EPA (Endpoint Analysis) classiques ou avancées. Dans les stratégies EPA classiques, le certificat d’appareil ne peut être configuré que pour l’EPA de pré-authentification.

NetScaler Gateway vérifie le certificat de l’appareil avant l’exécution de l’analyse des terminaux ou avant l’affichage de la page de connexion. Si vous configurez l’analyse des points de terminaison, l’analyse des points de terminaison est exécutée pour vérifier la machine utilisateur. Lorsque l’appareil passe l’analyse et que NetScaler Gateway a vérifié le certificat de l’appareil, les utilisateurs peuvent se connecter à NetScaler Gateway.

Important :

• Par défaut, Windows impose des privilèges d’administrateur pour accéder aux certificats d’appareil.
• Pour ajouter une vérification de certificat d’appareil pour les utilisateurs non administrateurs, vous devez installer le plug-in VPN. La version du plug-in VPN doit être la même que celle du plug-in EPA sur l’appareil.
• Vous pouvez ajouter plusieurs certificats d’autorité de certification à la passerelle et valider le certificat de l’appareil.
• Si vous installez deux certificats d’appareils ou plus sur NetScaler Gateway, les utilisateurs doivent sélectionner le bon certificat lorsqu’ils commencent à se connecter à NetScaler Gateway ou avant l’exécution de l’analyse des terminaux.
• Lorsque vous créez le certificat de périphérique, il doit s’agir d’un certificat X.509.
• Si vous disposez d’un certificat de périphérique émis par une autorité de certification intermédiaire, les certificats d’autorité de certification intermédiaire et racine doivent être liés.
• Le client EPA a besoin que l’utilisateur dispose de droits d’administrateur local pour pouvoir accéder au magasin de certificats de la machine. C’est rarement le cas. Par conséquent, une solution de contournement consiste à installer le plug-in NetScaler Gateway complet qui peut accéder au magasin local.

Pour plus d’informations sur la création de certificats d’appareil, consultez les sections suivantes :

• Network Device Enrollment Service (NDES) dans les services de certificats Active Directory (AD CS) sur le site Web de Microsoft.
• Comment demander un certificat à une autorité de certification Microsoft à l’aide de DCE/RPC et de la charge utile du profil de certificat Active Directory sur le site Web d’assistance Apple.
• Émissionde certificats iPad ou iPhone sur le blog de support Microsoft Ask the Directory Services Team.
• Configuration du service d’inscription des appareils réseau sur le site Web Windows IT Pro.
• Exemple pas à pas de déploiement des certificats PKI pour Configuration Manager : Autorité de certification Windows Server 2008 ? RedirectedFrom=MSDN) sur le site Web de Microsoft System Center.

Étapes de configuration des certificats d’appareils

Pour configurer un certificat d’appareil, vous devez effectuer les étapes suivantes :

• Installez le certificat d’autorité de certification de l’émetteur du certificat de l’appareil sur NetScaler Gateway. Pour plus de détails, consultez la section Installation du certificat signé sur NetScaler Gateway.

• Liez le certificat d’autorité de certification de l’émetteur du certificat de l’appareil au serveur virtuel NetScaler Gateway et activez la vérification OCSP. Pour plus de détails, consultez la section Installation du certificat signé sur NetScaler Gateway.

• Créez et liez OCSP (répondeur) sur le certificat d’autorité de certification de l’émetteur du certificat de périphérique. Pour plus d’informations, consultez la section Surveiller l’état des certificats avec OCSP.

Activez la vérification des certificats de périphérique sur le serveur virtuel et ajoutez le certificat d’autorité de certification de l’émetteur du certificat de périphérique à la liste de vérification des certificats de périphérique. Pour plus d’informations, consultez la section Activer la vérification des certificats de périphériques sur un serveur virtuel pour la stratégie EPA classique.

Terminez la configuration côté client et la vérification du certificat de périphérique sur la machine Windows. Pour plus d’informations, consultez la section Vérification du certificat de périphérique sur un ordinateur Windows.

Remarque :

Le certificat de périphérique doit être installé dans le magasin de certificats système de la machine pour tous les clients destinés à bénéficier de la vérification EPA du certificat de périphérique.

Activer la vérification des certificats de périphériques sur un serveur virtuel pour la stratégie EPA classique

Après avoir créé le certificat de l’appareil, vous l’installez sur NetScaler Gateway en suivant la procédure d’ importation et d’installation d’un certificat existant dans NetScaler Gateway.

1. Dans l’onglet Configuration, accédez à NetScaler Gateway > Virtual Servers.
2. Sur la page Serveurs virtuels NetScaler Gateway, sélectionnez un serveur virtuel existant et cliquez sur Modifier.
3. Sur la page Serveurs virtuels VPN, dans la section Paramètres de base, cliquez sur Modifier.
4. Décochez la case Activer l’authentification pour désactiver l’authentification.
5. Cochez la case Activer le certificat de périphérique pour activer le certificat de périphérique
6. Cliquez sur Ajouter pour ajouter le nom du certificat d’autorité de certification d’un émetteur de certificat de périphérique disponible à la liste.
7. Pour lier un certificat d’autorité de certification au serveur virtuel, cliquez sur Certificat d’autorité de certification dans la section Certificat d’autorité de certification pour périphérique, cliquez sur Ajouter, sélectionnez le certificat, puis cliquez sur +.

Remarque :

Pour plus d’informations sur l’activation et la liaison de certificats de périphériques sur un serveur virtuel pour une stratégie EPA avancée, consultez la section Certificat de périphérique dans nFactor en tant que composant EPA.

Vérification du certificat de l’appareil sur une machine Windows

1. Ouvrez un navigateur et accédez au FQDN de NetScaler Gateway.

2. Autorisez l’exécution du client Citrix End Point Analysis (EPA). Si ce n’est pas déjà fait, installez l’EPA.

   Citrix EPA exécute et valide le certificat de périphérique et redirige vers la page d’authentification si le contrôle EPA du certificat de périphérique est réussi, sinon il vous redirige vers la page d’erreur EPA. Dans le cas où vous disposez d’autres contrôles EPA, les résultats de l’analyse EPA dépendent des contrôles EPA configurés.

Pour un débogage plus poussé sur le client, examinez les journaux EPA suivants sur le client : C:\Users <User name>\ AppData \ Local \ Citrix \ AGEE \ nsepa.txt

Remarque :

La vérification du certificat d’appareil avec la liste de réexamen de certificats n’est pas prise