使用设备证书进行身份验证

NetScaler Gateway 支持设备证书检查,可让您将设备身份绑定到证书的私钥。设备证书检查可以配置为经典或高级 Endpoint Analysis (EPA) 策略的一部分。在传统的 EPA 策略中,只能为 EPA 预身份验证配置设备证书。

NetScaler Gateway 会在端点分析扫描运行之前或在登录页面出现之前验证设备证书。如果配置 Endpoint Analysis,端点扫描将运行以验证用户设备。当设备通过扫描且 NetScaler Gateway 验证设备证书后,用户可以登录 NetScaler Gateway。

重要:

  • 默认情况下,Windows 要求管理员权限才能访问设备证书。
  • 要为非管理员用户添加设备证书检查,必须安装 VPN 插件。VPN 插件版本必须与设备上的 EPA 插件版本相同。
  • 您可以向网关添加多个 CA 证书并验证设备证书。
  • 如果在 NetScaler Gateway 上安装两个或更多设备证书,则用户必须在开始登录 NetScaler Gateway 时或在端点分析扫描运行之前选择正确的证书。
  • 创建设备证书时,它必须是 X.509 证书。
  • 如果您有中间 CA 颁发的设备证书,则必须同时绑定中间 CA 证书和根 CA 证书。
  • EPA 客户端需要用户具有本地管理员权限才能访问计算机证书存储区。这种情况很少发生,因此解决方法是安装可以访问本地存储的完整 NetScaler Gateway 插件。

有关创建设备证书的详细信息,请参阅以下内容:

配置设备证书的步骤

要配置设备证书,必须完成以下步骤:

在虚拟服务器上启用设备证书检查,并将设备证书颁发者的证书颁发机构证书添加到设备证书清单中。有关详细信息,请参阅在虚拟服务器上启用设备证书检查以了解经典的 EPA

在 Windows 计算机上完成客户端配置和设备证书验证。有关详细信息,请参阅在 Windows 计算机上验证设备证书

注意:

所有打算使用设备证书 EPA 检查的客户端都必须在计算机的系统证书存储区中安装设备证书。

在虚拟服务器上启用设备证书检查以获取经典 EPA 策略

创建设备证书后,可以使用 将现有证书导入和安装到 NetScaler Gateway 的过程在 NetScaler Gateway 上安装证书

  1. 在“配置”选项卡上,导航到 NetScaler Gateway > 虚拟服务器
  2. NetScaler Gateway 虚拟服务器页面上,选择现有虚拟服务器 ,然后单击“编辑”。
  3. VPN Virtual Servers(VPN 虚拟服务器)页面的 Basic Settings(基本设置)部分下,单击 Edit(编辑)。
  4. 清除 启用身份验证 框以禁用身份验证。
  5. 选中 启用设备证书 框以启用设备证书
  6. 单击 添加 将可用的设备证书颁发者的 CA 证书名称添加到列表中。
  7. 要将 CA 证书绑定到虚拟服务器,请单击 设备证书的 CA 部分下的 CA 证书 ,单击 添加,选择证书,然后单击 +

注意:

有关在虚拟服务器上启用和绑定设备证书以实现高级 EPA 策略的信息,请参阅 作为 EPA 组件的 nFactor 中的设备证书

在 Windows 计算机上验证设备证书

  1. 打开浏览器并访问 NetScaler Gateway FQDN。

  2. 允许 Citrix Endpoint Analysis (EPA) 客户端运行。如果尚未安装,请安装 EPA。

    Citrix EPA 会运行并验证设备证书,如果设备证书 EPA 检查通过,则重定向到身份验证页面,否则会将您重定向到 EPA 错误页面。如果您有其他 EPA 检查,则 EPA 扫描结果取决于配置的 EPA 检查。

要在客户端上进行进一步调试,请检查客户端上的以下 EPA 日志: C:\Users<User name>\ AppData\ 本地\ Citrix\ AGEE\ nsepa.txt

注意:

不支持使用 CRL 进行设备证书验证。

使用设备证书进行身份验证