Gateway

Configurer le certificat client ou le certificat client et l’authentification du domaine

Vous pouvez utiliser l’assistant NetScaler pour Citrix Endpoint Management pour effectuer la configuration requise pour Citrix Endpoint Management lorsque vous utilisez l’authentification par certificat NetScaler uniquement ou l’authentification par certificat plus domaine. Vous ne pouvez exécuter l’assistant NetScaler pour Citrix Endpoint Management qu’une seule fois. Pour plus d’informations sur l’utilisation de l’Assistant, consultez Configuration des paramètres de votre environnement Citrix Endpoint Management.

Si vous avez déjà utilisé l’Assistant, suivez les instructions de cet article pour la configuration supplémentaire requise pour l’authentification par certificat client ou pour l’authentification par certificat client plus domaine.

Pour vous assurer que l’utilisateur d’un appareil en mode MAM uniquement ne peut pas s’authentifier à l’aide d’un certificat existant sur l’appareil, consultez « Liste de révocation des certificats NetScaler (CRL) » plus loin dans cet article.

Configurer NetScaler Gateway pour l’authentification par certificat client à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
  2. Sélectionnez le serveur virtuel de type SSLet, dans la section Paramètres SSL, définissez Activer la réutilisation de session surDÉSACTIVÉ.

  3. Accédez à NetScaler Gateway > Serveurs virtuels.
  4. Sélectionnez le serveur virtuel de type SSL, puis cliquez sur Modifier.
  5. Dans la section Paramètres SSL, cliquez sur l’icône de modification.
  6. Sélectionnez Authentification du client et dans Certificat client, sélectionnez Obligatoire.

  7. Créez une stratégie de certificat d’authentification afin que Citrix Endpoint Management puisse extraire le nom d’utilisateur principal ou le SAMAccount du certificat client fourni par Secure Hub à NetScaler Gateway.

  8. Accédez à NetScaler Gateway > Stratégies > Authentification > CERT.

  9. Cliquez sur l’onglet Profils, puis sur Ajouter.

  10. Définissez les paramètres suivants pour le profil de certificat :

    Type d’authentification : CERT

    Deux facteurs : OFF (pour l’authentification par certificat uniquement)

    Champ Nom d’utilisateur : Objet : CN

    Champ Nom du groupe : SubjectAltName :PrincipalName

  11. Liez uniquement la stratégie d’authentification par certificat en tant qu’ authentification principale sur le serveur virtuel NetScaler Gateway.

  12. Liez le certificat Root CA pour valider la fiabilité du certificat client présenté à NetScaler Gateway.

Configurer NetScaler Gateway pour le certificat client et l’authentification de domaine à l’aide de l’interface graphique

  1. Accédez à Gestion du trafic > Équilibrage de charge > Serveurs virtuels.
  2. Sélectionnez le serveur virtuel de type SSLet, dans la section Paramètres SSL, définissez Activer la réutilisation de session surDÉSACTIVÉ.

  3. Accédez à NetScaler Gateway > Stratégies > Authentification > Cert.

  4. Cliquez sur l’onglet Profils, puis sur Ajouter.

  5. Entrez le nom du profil, définissez Deux facteurssur ON, puis dans lechamp Nom d’utilisateur, sélectionnezSubjectAltNamePrincipalName.

  6. Cliquez sur l’onglet Stratégies, puis sur Ajouter.

  7. Entrez le nom de la stratégie, dans Serveur, sélectionnez le profil de certificat, définissez l’ expression et cliquez sur Créer.

  8. Accédez à Virtual Servers, sélectionnez le serveur virtuel de type SSL, puis cliquez sur Modifier.

  9. En regard de Authentification, cliquez sur + pour ajouter l’authentification du certificat.

  10. Pour sélectionner la méthode d’authentification, dans Choisir une stratégie, sélectionnez Certificat et dans Choisir un type, sélectionnez Principal. Cela lie l’authentification par certificat en tant qu’authentification principale avec la même priorité que le type d’authentification LDAP.

  11. Sous Liaison de stratégie, cliquez sur Cliquez pour sélectionner pour sélectionner la stratégie de certificat créée précédemment.

  12. Sélectionnez la stratégie de certificat créée précédemment, puis cliquez sur OK.

  13. Définissez la priorité sur 100, puis cliquez sur Liaison. Utilisez le même numéro de priorité lorsque vous configurez la stratégie d’authentification LDAP dans les étapes suivantes.

  14. Sur la ligne correspondant à la stratégie LDAP, cliquez sur **.

  15. Sélectionnez la stratégie, puis, dans le menu déroulant Modifier, cliquez sur Modifier la liaison.

  16. Entrez la même valeur de priorité que celle que vous avez spécifiée pour la stratégie de certificat. Cliquez sur Bind.

  17. Cliquez sur Fermer.

  18. Cliquez sur l’icône de modification dans la section Paramètres SSL.

  19. Cochez la case Authentification du client, puis dans Certificat client, choisissez Obligatoire, puis cliquez sur OK.

  20. Cliquez sur Terminé.

Liste de révocation de certificats (CRL) NetScaler

Citrix Endpoint Management prend en charge la liste de révocation de certificats (CRL) uniquement pour une autorité de certification tierce. Si vous avez configuré une autorité de certification Microsoft, Citrix Endpoint Management utilise NetScaler pour gérer la révocation. Lorsque vous configurez l’authentification basée sur un certificat client, vous devez décider si vous avez besoin de configurer le paramètre Liste de révocation de certificats (CRL) NetScaler, Enable CRL Auto Refresh. Cette étape garantit que l’utilisateur d’un appareil en mode MAM exclusif ne peut pas s’authentifier à l’aide d’un certificat existant sur l’appareil. Citrix Endpoint Management réémet un nouveau certificat, car il n’empêche pas un utilisateur de générer un certificat utilisateur si un certificat est révoqué. Ce paramètre renforce la sécurité des entités PKI lorsque la CRL vérifie la présence d’entités PKI expirées.

Configurer le certificat client ou le certificat client et l’authentification du domaine