使用设备证书进行身份验证
NetScaler Gateway 支持设备证书检查,可让您将设备身份绑定到证书的私钥。设备证书检查可以配置为经典或高级 Endpoint Analysis (EPA) 策略的一部分。在传统的 EPA 策略中,只能为 EPA 预身份验证配置设备证书。
NetScaler Gateway 会在端点分析扫描运行之前或在登录页面出现之前验证设备证书。如果配置 Endpoint Analysis,端点扫描将运行以验证用户设备。当设备通过扫描且 NetScaler Gateway 验证设备证书后,用户可以登录 NetScaler Gateway。
重要:
- 默认情况下,Windows 要求管理员权限才能访问设备证书。
- 要为非管理员用户添加设备证书检查,必须安装 VPN 插件。VPN 插件版本必须与设备上的 EPA 插件版本相同。
- 您可以向网关添加多个 CA 证书并验证设备证书。
- 如果在 NetScaler Gateway 上安装两个或更多设备证书,则用户必须在开始登录 NetScaler Gateway 时或在端点分析扫描运行之前选择正确的证书。
- 创建设备证书时,它必须是 X.509 证书。
- 如果您有中间 CA 颁发的设备证书,则必须同时绑定中间 CA 证书和根 CA 证书。
- EPA 客户端需要用户具有本地管理员权限才能访问计算机证书存储区。这种情况很少发生,因此解决方法是安装可以访问本地存储的完整 NetScaler Gateway 插件。
有关创建设备证书的详细信息,请参阅以下内容:
- Microsoft Web 站点上 Active Directory 证书服务 (AD CS) 中的网络设备注册服务 (NDES)。
- 如何使用 Apple 技术支持网站上的 DC/RPC 和 Active Directory 证书配置文件负载向 Microsoft 证书颁发机构申 请证书。
- 请访问目录服务团队 Microsoft 支持博客上的iPad/ iPhone 证书颁发。
- 在 Windows IT 专业版网站上设置网络设备注册服务 。
- Microsoft System Center Web 站点上的为 Configuration Manager 部署 PKI 证书的分步示例:Windows Server 2008 证书颁发机构。
配置设备证书的步骤
要配置设备证书,必须完成以下步骤:
-
在 NetScaler Gateway 上安装设备证书颁发者的证书颁发机构证书。有关详细信息,请参阅 在 NetScaler Gateway 上安装签名证书。
-
将设备证书颁发者的证书颁发机构证书绑定到 NetScaler Gateway 虚拟服务器并启用 OCSP 检查。有关详细信息,请参阅 在 NetScaler Gateway 上安装签名证书。
-
在设备证书颁发者的证书颁发机构证书上创建并绑定 OCSP(响应者)。 有关详细信息,请参阅使用 OCSP 监视证书状态。
在虚拟服务器上启用设备证书检查,并将设备证书颁发者的证书颁发机构证书添加到设备证书清单中。有关详细信息,请参阅在虚拟服务器上启用设备证书检查以了解经典的 EPA。
在 Windows 计算机上完成客户端配置和设备证书验证。有关详细信息,请参阅在 Windows 计算机上验证设备证书。
注意:
所有打算使用设备证书 EPA 检查的客户端都必须在计算机的系统证书存储区中安装设备证书。
在虚拟服务器上启用设备证书检查以获取经典 EPA 策略
创建设备证书后,可以使用 将现有证书导入和安装到 NetScaler Gateway 的过程在 NetScaler Gateway 上安装证书。
- 在“配置”选项卡上,导航到 NetScaler Gateway > 虚拟服务器。
- 在 NetScaler Gateway 虚拟服务器页面上,选择现有虚拟服务器 ,然后单击“编辑”。
- 在 VPN Virtual Servers(VPN 虚拟服务器)页面的 Basic Settings(基本设置)部分下,单击 Edit(编辑)。
- 清除 启用身份验证 框以禁用身份验证。
- 选中 启用设备证书 框以启用设备证书
- 单击 添加 将可用的设备证书颁发者的 CA 证书名称添加到列表中。
- 要将 CA 证书绑定到虚拟服务器,请单击 设备证书的 CA 部分下的 CA 证书 ,单击 添加,选择证书,然后单击 +。
注意:
有关在虚拟服务器上启用和绑定设备证书以实现高级 EPA 策略的信息,请参阅 作为 EPA 组件的 nFactor 中的设备证书。
在 Windows 计算机上验证设备证书
-
打开浏览器并访问 NetScaler Gateway FQDN。
-
允许 Citrix Endpoint Analysis (EPA) 客户端运行。如果尚未安装,请安装 EPA。
Citrix EPA 会运行并验证设备证书,如果设备证书 EPA 检查通过,则重定向到身份验证页面,否则会将您重定向到 EPA 错误页面。如果您有其他 EPA 检查,则 EPA 扫描结果取决于配置的 EPA 检查。
要在客户端上进行进一步调试,请检查客户端上的以下 EPA 日志: C:\Users<User name>\ AppData\ 本地\ Citrix\ AGEE\ nsepa.txt
注意:
不支持使用 CRL 进行设备证书验证。