2024年9月11日发(作者:桥嘉言)
CitrixEndpointManagement
•MDXToolkit
–
–
–
–
Apple
开发人员证书
Apple
预配配置文件(按应用程序)
AppleAPNs
证书(用于
CitrixSecureMail
)
Android
密钥库文件
MAMSDK
不封装应用程序,因此不需要证书。
•CitrixGateway
–
–
–
–
–
–
注意:
客户端设备必须具有所需的根
/
中间证书,才能与颁发服务器证书的证书颁发机构建立信任。否则,您可能会收到
用于
MDMFQDN
的
SSL
证书
用于网关
FQDN
的
SSL
证书
用于
ShareFileSZCFQDN
的
SSL
证书
用于
Exchange
负载平衡(卸载配置)的
SSL
证书
用于
StoreFront
负载平衡的
SSL
证书
用于上述证书的根和中间
CA
证书
SSL
错误
61
。要解决此问题,请执行以下操作:
1.
2.
3.
下载或获取由您的
SSL
证书提供商颁发的
SSL
根
/
中间证书文件(
.crt
或
.cer
)。通常,根
/
中间
/
服务器证
书存在于您的
SSL
服务提供商提供的证书包中。
在客户端设备上安装根
/
中间证书。
如果客户端设备上安装了防病毒软件,请确保防病毒软件信任证书。
上载证书
您上载的每个证书在证书表中都有一个条目,其中包括其内容摘要。配置需要证书的
PKI
集成组件时,请选择满足该
条件的服务器证书。例如,您可能希望将
EndpointManagement
配置为与
Microsoft
证书颁发机构
(CA)
集成。与
MicrosoftCA
的连接必须通过使用客户端证书进行身份验证。
EndpointManagement
可能不会处理给定证书的私钥。同样,
EndpointManagement
可能不需要上载的证书的
私钥。
本节介绍了上载证书的常规过程。有关创建、上载和配置客户端证书的详细信息,请参阅客户端证书或证书加域身份验
证。
您有两个用于上载证书的选项:
•
•
将证书单独上载到控制台。
使用
RESTAPI
执行证书的批量上载。此选项仅适用于
iOS
设备。
将证书上载到控制台时,您可以:
•
导入密钥库。然后,您在密钥库存储库中找出要安装的条目,除非您要上载
PKCS#12
格式。
©1999
–
2023CloudSoftwareGroup,htsreserved.100
CitrixEndpointManagement
•
私钥)
在配置
MicrosoftCA
实体时,您指定
CA
证书。您从属于
CA
证书的所有服务器证书列表中选择
CA
证书。同样,配置
客户端身份验证时,您可以从包含
EndpointManagement
具有私钥的所有服务器证书的列表中进行选择。
导入证书。
您可以上载
CA
用于对请求进行签名的
CA
证书(不带私钥)。您还可以上载用于客户端身份验证的
SSL
客户端证书(带
导入密钥库
密钥库是安全证书的存储库。按照设计,密钥库可以包含多个条目。从密钥库加载时,必须指定用于识别要加载的条目
的条目别名。如果未指定别名,则将加载库中的第一个条目。由于
PKCS#12
文件通常仅包含一个条目,当选择
PKCS
#12
作为密钥库类型时,不会显示别名字段。
1.
在
EndpointManagement
控制台中,单击控制台右上角的齿轮图标。使用搜索栏可查找并打开证书设置。
2.
3.
单击导入。此时将显示导入对话框。
配置以下设置:
•
导入:选择密钥库。
©1999
–
2023CloudSoftwareGroup,htsreserved.101
CitrixEndpointManagement
•
•
密钥库类型:在列表中,单击
PKCS#12
。
用作:在列表中,单击您计划使用证书的方式。可用选项如下:
–EndpointManagement
功能上使用的证书。将服务器证书上载到
EndpointManagementWeb
控制台。这些证书包括
CA
证书、
RA
证书以及用于您基础结构其他
服务器:服务器证书是
组件的客户端身份验证的证书。此外,您还可以使用服务器证书来存储您要部署到设备的证书。此用
法特别适用于在设备上建立信任所使用的
CA
。
–SAML
:安全声明标记语言
(SAML)
认证允许您提供对服务器、
Web
站点和应用程序的
SSO
访问
权限。
–APNs
:利用
Apple
提供的
APNs
证书可通过
Apple
推送网络进行移动设备管理。
–SSL
侦听器:安全套接字层
(SSL)
侦听器向
EndpointManagement
通知
SSL
加密活动。
•
密钥库文件:浏览以查找要导入的密钥库。密钥库是一个
.p12
或
.pfx
文件。选择文件,然后单击打开。
•
密码:键入分配给证书的密码。
•
说明:(可选)键入密钥库的说明,以帮助您将其与其他密钥库区分开。
4.
单击导入。密钥库将添加到证书表中。
©1999
–
2023CloudSoftwareGroup,htsreserved.102
CitrixEndpointManagement
导入证书
导入证书时,
EndpointManagement
将尝试基于输入内容构建证书链。
EndpointManagement
将导入某个链中
的所有证书来为每个证书创建一个服务器证书条目。仅当文件或密钥库条目中的证书形成链时,才可执行此操作。证书
链中的每个后续证书都必须是前一个证书的颁发者。
您可以为导入的证书添加可选说明。此说明将仅附加到链中的第一个证书上。可在以后更新提醒说明。
1.
2.
在
EndpointManagement
控制台中,单击控制台右上角的齿轮图标。使用搜索栏可查找并打开证书设置。
在证书页面上,单击导入。此时将显示导入对话框。配置以下设置:
•
•
导入:单击证书。
用作:选择您计划使用证书的方式。可用选项如下:
–EndpointManagement
功能上使用的证书。将服务器证书上载到
EndpointManagementWeb
控制台。这些证书包括
CA
证书、
RA
证书以及用于您基础结构其他
服务器:服务器证书是
组件的客户端身份验证的证书。此外,您还可以使用服务器证书来存储您要部署到设备的证书。此选
项特别适用于在设备上建立信任所使用的
CA
。
–SAML
:安全声明标记语言
(SAML)
认证允许您提供对服务器、
Web
站点和应用程序的单点登录
(SSO)
访问权限。
–SSL
侦听器:安全套接字层
(SSL)
侦听器向
EndpointManagement
通知
SSL
加密活动。
•
•
•
3.
证书导入:浏览以查找要导入的证书。选择文件,然后单击打开。
私钥文件:浏览以查找证书的可选私钥文件。私钥用于与证书一起使用以便进行加密和解密。选择文件,然
后单击打开。
说明:键入证书的说明(可选),以帮助您将其与其他证书区分开。
单击导入。证书将添加到证书表中。
使用
RESTAPI
批量上载证书
有时一次上载一个证书并不合理。在这些情况下,请使用
RESTAPI
执行证书的批量上载。此方法支持
.p12
格式的证
书。有关
RESTAPI
的详细信息,请参阅
RESTAPI
。
1.
以
device_identity_value.p12
格式重命名每个证书文件。
device_identity_value
可以是每
个设备的
IMEI
、序列号或
MEID
。
例如,您选择使用序列号作为标识方法。一台设备具有序列号
A12BC3D4EFGH
,因此将您希望在该设备上安
装的证书文件命名为
A12BC3D4EFGH.p12
。
2.
创建一个文本文件以存储
.p12
证书的密码。在该文件中,在新行中键入每个设备的设备标识符和密码。使用格式
device_identity_value=password
。请参阅以下内容:
1
2
3
4
A12BC3D4EFGH.p12=password1!
A12BC3D4EFIJ.p12=password2@
A12BC3D4EFKL.p12=password3#
©1999
–
2023CloudSoftwareGroup,htsreserved.103
CitrixEndpointManagement
3.
4.
5.
将所有证书和您创建的文本文件打包到
.zip
文件中。
启动
RESTAPI
客户端,登录
EndpointManagement
,然后获取身份验证令牌。
导入您的证书,确保您将以下内容放入消息正文中:
1{
2
3
4
5
6
7
8
"alias":"",
"useAs":"device",
"uploadType":"keystore",
"keystoreType":"PKCS12",
"identityType":"SERIAL_NUMBER",
"SERIAL_NUMBER","IMEI","MEID"
"credentialFileName":""
#identitytypecanbe
#Thecredentialfile
9}
10
11
6.
7.
使用凭据类型
AlwaysonIKEv2
(始终启用
IKEv2
)和设备身份验证方法基于设备标识的设备证书创建
VPN
策略。选择您的证书文件名中使用的设备标识类型。请参阅
VPN
设备策略。
注册
iOS
设备并等待部署
VPN
策略。通过检查设备上的
MDM
配置来确认证书安装。还可以在
Endpoint
Management
控制台中检查设备详细信息。
©1999
–
2023CloudSoftwareGroup,htsreserved.104
CitrixEndpointManagement
还可以通过创建一个包含为每个要删除的证书列出的
device_identity_value
的文本文件来批量删除证书。在
RESTAPI
中,调用删除
API
并使用以下请求,将
device_identity_value
替换为适当的标识符:
1
2
3
4
5
6
7
```
{
"identityType"="device_identity_value"
}
```
©1999
–
2023CloudSoftwareGroup,htsreserved.105
CitrixEndpointManagement
更新证书
EndpointManagement
只允许系统中每个公钥一次存在一个证书。如果尝试为已导入证书的同一密钥对导入证书,
您可以:
•
•
替换现有条目。
删除条目。
上载新证书以替换旧证书后,无法删除旧证书。配置
PKI
实体设置时,两个证书都存在于
SSL
客户端证书菜单中。列表
中较新的证书位于旧证书下方。
更新证书
1.
按照客户端证书或证书加域身份验证中的步骤创建替换证书。
重要:
请勿使用该选项创建使用现有私钥的证书。创建证书以更新过期证书时,私钥也必须是新的。
2.
3.
在
EndpointManagement
控制台中,单击控制台右上角的齿轮图标。使用搜索栏可查找并打开证书设置。
在导入对话框中,导入新证书。
©1999
–
2023CloudSoftwareGroup,htsreserved.106
CitrixEndpointManagement
当更新服务器证书时,使用先前证书的组件将自动切换到使用新证书。同样,如果已经在设备上部署服务器证书,证书
将在下一次部署时自动更新。
要更新
APNs
证书,请执行创建证书的步骤,然后转到
ApplePushCertificatesPortal
。有关详细信息,请参阅续
订
APNs
证书。
如果您的
CitrixGateway
设置为进行
SSL
卸载,请确保使用新的
来更新您的负载平衡器。
注意:
如果您已从
XenMobile
本地迁移到
EndpointManagement
,并且正在更新证书,请在完成上述步骤后与
Citrix
支持部门联系。您需要向他们提供新证书的副本(
PFX
格式),包括证书密码。
Citrix
支持将更新云端
NetScaler
并重启租户节点以完成证书更新过程。
更新
PKI
服务证书颁发机构
(CA)
可以请求
CitrixCloudOperations
团队在您的
EndpointManagement
部署中刷新或重新生成内部
PKI
证书颁发
机构
(CA)
。为这些请求打开一个技术支持案例。
1WhenthenewCAsareavailable,CloudOperationsletsyouknowthatyou
canproceedwithrenewingthedevicecertificatesforyourusers.
续订设备证书
如果设备上的证书过期,证书将变得无效。您不能再在您的环境中运行安全事务,也不能访问
EndpointManagement
资源。证书颁发机构
(CA)
会在过期日期之前提示您续订
SSL
证书。执行上述步骤以更新证书,然后在已注册的设备上
启动证书续订。
对于受支持的
iOS
、
macOS
和
Android
设备,可以通过安全操作(证书续订)启动证书续订。可以从
Endpoint
Management
控制台或公用
RESTAPI
续订设备证书。对于注册的
Windows
设备,用户必须重新注册其设备才能接
收新的设备证书颁发机构
(CA)
。
下次设备连接回
EndpointManagement
时,
EndpointManagement
服务器会根据新
CA
颁发新的设备证书。
使用控制台续订设备证书
1.
2.
转到管理
>
设备,然后选择要为其续订设备证书的设备。
单击安全,然后单击证书续订。
©1999
–
2023CloudSoftwareGroup,htsreserved.107
CitrixEndpointManagement
已注册的设备继续运行而不会中断。
EndpointManagement
在设备重新连接到服务器时颁发设备证书。
要查询特定设备证书颁发者
CA
组中的设备,请执行以下操作:
1.
2.
在管理
>
设备中,展开过滤器窗格。
在过滤器窗格中,展开设备证书颁发者
CA
,然后选择要续订的颁发者
CA
。
在设备表中,将显示所选颁发者
CA
的设备。
使用
RESTAPI
续订设备证书
EndpointManagement
在内部将以下证书颁发机构
(CA)
用于
PKI
:根
CA
、设备
CA
、服务器
CA
。这些
CA
是一个逻
辑组并具有组名称。在
EndpointManagement
预配过程中,服务器会生成三个
CA
,并为其指定组名称
“default”
。
CA
颁发以下
API
来管理和续订设备证书。已注册的设备继续运行而不会中断。
EndpointManagement
在设备重新
连接到服务器时颁发设备证书。有关详细信息,请下载
PublicAPIforRESTServices
(用于
REST
服务的公共
API
)
。
•
•
•
返回仍在使用旧
CA
的设备的列表(请参阅
“
适用于
REST
的公共
API
服务
中的第
3.16.2
节)
续订设备证书(请参阅第
3.16.58
节)
获取所有
CA
组(请参阅第
3.23.1
节)
©1999
–
2023CloudSoftwareGroup,htsreserved.108
CitrixEndpointManagement
用于
CitrixSecureMail
的
APNs
证书
Apple
推送通知服务
(APNs)
证书每年都会过期。请务必在
APNsSSL
证书过期之前创建该证书,并在
Citrix
门户中
进行更新。如果证书过期,用户会面临
SecureMail
推送通知不一致的情况。此外,您不能再为您的应用程序发送推送
通知。
用于
iOS
设备管理的
APNs
证书
要在
EndpointManagement
中注册和管理
iOS
设备,应设置和创建
Apple
提供的
APNs
证书。如果证书过期,用
户将不能在
EndpointManagement
中注册,而您不能管理其
iOS
设备。有关详细信息,请参阅
APNs
证书。
可以通过登录
ApplePushCertificatesPortal
来查看
APNs
证书状态和过期日期。请务必以创建证书的同一用户身
份登录。
在过期日期之前
30
天和
10
天,您还会收到
Apple
发送的电子邮件通知。通知包含以下信息:
1ThefollowingApplePushNotificationServicecertificate,createdfor
ngorallowingthis
certificatetoexpirewillrequireexistingdevicestobere-
enrolledwithanewpushcertificate.
Pleasecontactyourvendortogenerateanewrequest(asignedCSR),
thenvisit/pushcerttorenewyourApple
PushNotificationServicecertificate.
ThankYou,
ApplePushNotificationService
2
3
4
5
6
7
8
MDXToolkit
(
iOS
分发证书)
在物理
iOS
设备上运行的应用程序(
AppleAppStore
中的应用程序除外)具有以下签名要求:
•
•
使用预配配置文件为应用程序签名。
使用相应的分发证书为应用程序签名。
要验证您的
iOS
分发证书是否有效,请执行以下操作:
1.
2.
3.
从
Apple
企业开发人员门户中,为您计划用
MDX
封装的每个应用程序创建一个显式应用程序
ID
。可接受的应
用程序
ID
示例:
tName
.
从
Apple
企业开发人员门户中,转到
ProvisioningProfiles
(预配配置文件)
>Distribution
(分发),并
创建一个内部预配配置文件。对在上一步中创建的每个应用程序
ID
重复此步骤。
下载所有预配配置文件。有关详细信息,请参阅封装
iOS
移动应用程序。
要确认所有
EndpointManagement
服务器证书是否有效,请执行以下操作:
©1999
–
2023CloudSoftwareGroup,htsreserved.109
CitrixEndpointManagement
1.
2.
在
EndpointManagement
控制台中,单击设置
>
证书。
检查包括
APNs
、
SSL
侦听器、根和中间证书在内的所有证书是否有效。
Android
密钥库
密钥库是指包含用于为您的
Android
应用程序签名的证书的文件。当您的密钥有效期过期后,用户不能再无缝地升级
到应用程序的新版本。
CitrixGateway
有关如何处理
CitrixGateway
的证书过期的详细信息,请参阅
Citrix
支持知识中心中的
Howtohandlecertificate
。
expiryonNetScaler
(如何处理
NetScaler
的证书过期)
如果
CitrixGateway
证书过期,用户将无法注册和访问应用商店。过期的证书还会阻止用户使用
SecureMail
时连接
到
ExchangeServer
。此外,用户不能枚举和打开
HDX
应用程序(具体取决于哪个证书过期)。
ExpiryMonitor
和
CommandCenter
可以帮助您跟踪
CitrixGateway
证书。
Center
会在证书过期时通知您。这
些工具可以协助监视以下
CitrixGateway
证书:
•
•
•
•
•
•
用于
MDMFQDN
的
SSL
证书
用于网关
FQDN
的
SSL
证书
用于
ShareFileSZCFQDN
的
SSL
证书
用于
Exchange
负载平衡(卸载配置)的
SSL
证书
用于
StoreFront
负载平衡的
SSL
证书
用于上述证书的根和中间
CA
证书
CitrixGateway
和
EndpointManagement
December3,2021
与
EndpointManagement
集成后,
CitrixGateway
可提供对您的内部网络和资源的远程设备访问。
Endpoint
Management
在设备上的应用程序与
CitrixGateway
之间创建一个
MicroVPN
。
可以使用
CitrixGateway
服务(预览版)或本地
CitrixGateway
(又称为
NetScalerGateway
)。有关两种
Citrix
Gateway
解决方案的概述,请参阅将
CitrixGateway
与
EndpointManagement
结合使用。
配置身份验证以便远程设备能够访问内部网络
1.
2.
在
EndpointManagement
控制台中,单击控制台右上角的齿轮图标。此时将显示设置页面。
在服务器下方,单击
CitrixGateway
。此时将显示
CitrixGateway
页面。在以下示例中,存在一个
Citrix
Gateway
实例。
©1999
–
2023CloudSoftwareGroup,htsreserved.110
CitrixEndpointManagement
3.
配置以下设置:
•
•
•
4.
身份验证:选择是否启用身份验证。默认值为开。
向用户提供用于身份验证的证书:选择是否希望
EndpointManagement
与
SecureHub
共享身份验
证证书。共享证书使
CitrixGateway
能够处理客户端证书身份验证。默认值为关。
凭据提供程序:在列表中,单击要使用的凭据提供程序。有关更多信息,请参阅凭证提供程序。
单击保存。
添加
CitrixGateway
服务实例(预览版)
保存身份验证设置后,请向
EndpointManagement
中添加一个
CitrixGateway
实例。
1.
2.
3.
在
EndpointManagement
控制台中,单击右上角的齿轮图标。此时将打开设置页面。
在设置页面上,滚动到
CitrixGateway
磁贴,然后单击开始安装程序。此时将显示
CitrixGateway
页面。
选择
CitrixGatewayservice(cloud)
(
CitrixGateway
服务
(
云
)
)并指定网关服务的资源位置。
•ResourcelocationforGatewayservice
(网关服务的资源位置):如果您使用的是
SecureMail
,
此选项为必填项。指定
STA
服务的资源位置。资源位置必须包括已配置的
CitrixGateway
。如果稍后要
删除为网关服务配置的资源位置,请更新此设置。
完成这些设置后,单击连接以建立连接。新
CitrixGateway
已添加。
CitrixGatewayservice(cloud)
(
CitrixGateway
服务
(
云
)
)磁贴将显示在设置页面上。要编辑实例,请单击查看更多。如果网关连接器在所选
资源位置中不可用,请单击
AddGatewayConnector
(添加网关连接器)。按照屏幕上的指导安装网关连接
器。也可以稍后添加网关连接器。
©1999
–
2023CloudSoftwareGroup,htsreserved.111
CitrixEndpointManagement
4.
单击
SaveandExportScript
(保存并导出脚本)。
•SaveandExportScript
(保存并导出脚本)。单击按钮保存您的设置并导出配置捆绑包。可以将脚本
从捆绑包上载到
CitrixGateway
,以便使用
EndpointManagement
设置对其进行配置。有关信息,
请参阅这些步骤后面的
“
配置本地
CitrixGateway
以与
EndpointManagement
配合使用
”
。
您已添加新
CitrixGateway
。
CitrixGateway
磁贴将显示在设置页面上。要编辑实例,请单击查看更多。
将本地
CitrixGateway
配置为与
EndpointManagement
结合使用
要配置本地
CitrixGateway
以与
EndpointManagement
配合使用,请执行下面各部分中详细介绍的以下常规步
骤:
1.
2.
3.
确认您的环境是否满足必备条件。
从
EndpointManagement
控制台导出脚本捆绑包。
从捆绑包中提取文件。如果您仅在
CitrixGateway
上使用经典策略,并且运行的是
CitrixADC13.0
或更早版
本,请在文件名中使用带
“Classic”
的脚本。如果您正在使用任何高级策略或者运行
CitrixADC13.1
或更高版
本,请在文件名中使用带
“Advanced”
的脚本。
4.
5.
在
CitrixGateway
上运行相应的脚本。请参阅脚本附带的自述文件了解最新的详细说明。
测试配置。
这些脚本配置
EndpointManagement
所需的以下
CitrixGateway
设置:
•
•
•
•
•
•
•
•
•
MDM
和
MAM
需要的
CitrixGateway
虚拟服务器
CitrixGateway
虚拟服务器的会话策略
EndpointManagement
服务器详细信息
用于证书验证的代理负载平衡器
CitrixGateway
虚拟服务器的身份验证策略和操作。这些脚本描述了
LDAP
配置设置。
代理服务器的流量操作和策略
无客户端访问配置文件
CitrixGateway
上的静态本地
DNS
记录
其他绑定:服务策略、
CA
证书
这些脚本不处理以下配置:
•
•
•
•
Exchange
负载平衡
CitrixFiles
负载平衡
ICA
代理配置
SSL
卸载
使用
CitrixGateway
配置脚本的必备条件
EndpointManagement
要求:
©1999
–
2023CloudSoftwareGroup,htsreserved.112
CitrixEndpointManagement
•
请先完成
EndpointManagement
中的
LDAP
和
CitrixGateway
配置,然后再导出脚本捆绑包。如果更改
设置,请再次导出脚本捆绑包。
CitrixGateway
要求:
•
在
CitrixGateway
上使用基于证书的身份验证时,必须在
CitrixADC
设备上创建
SSL
证书。请参阅在
Citrix
ADC
设备上创建和使用
SSL
证书。
•CitrixGateway
(最低版本
11.0
,内部版本号
70.12
)。
•CitrixGatewayIP
地址已配置并且连接到
LDAP
服务器(平衡了
LDAP
的负载时除外)。
•CitrixGateway
子网
(SNIP)IP
地址已配置,连接到必需的后端服务器,并且能够通过端口
8443/TCP
访问公
用网络。
•DNS
可以解析公共域。
•CitrixGateway
已通过平台
/
通用许可证或试用版许可证获得许可。有关信息,请参阅
.
com/article/CTX126049
。
从
EndpointManagement
中导出脚本包
保存身份验证设置后,请向
EndpointManagement
中添加一个
CitrixGateway
实例。
1.
2.
3.
在
EndpointManagement
控制台中,单击右上角的齿轮图标。此时将打开设置页面。
在设置页面上,滚动到
CitrixGateway
磁贴,然后单击开始安装程序。此时将显示
CitrixGateway
页面。
选择
CitrixGateway(
本地
)
并配置以下设置:
©1999
–
2023CloudSoftwareGroup,htsreserved.113
CitrixEndpointManagement
©1999
–
2023CloudSoftwareGroup,htsreserved.114
CitrixEndpointManagement
•
•
•
名称:键入
CitrixGateway
实例的名称。
外部
URL
:键入
CitrixGateway
的可公开访问的
URL
。例如,
。
登录类型:选择登录类型。类型包括域、仅限安全令牌、域和安全令牌、证书、证书和域以及证书和安全令
牌。默认值为域。
如果您有多个域,请使用证书和域。有关详细信息,请参阅为多个域配置身份验证。
CitrixGateway
上的基于证书的身份验证需要额外的配置。例如,必须将根
CA
证书上载到您的
CitrixADC
设
备。请参阅在
CitrixADC
设备上创建和使用
SSL
证书。
有关详细信息,请参阅部署手册中的身份验证。
4.
单击
SaveandExportScript
(保存并导出脚本)。
•SaveandExportScript
(保存并导出脚本)。单击按钮保存您的设置并导出配置捆绑包。可以将脚本
从捆绑包上载到
CitrixGateway
,以便使用
EndpointManagement
设置对其进行配置。有关信息,
请参阅这些步骤后面的
“
配置本地
CitrixGateway
以与
EndpointManagement
配合使用
”
。
您已添加新
CitrixGateway
。
CitrixGateway
磁贴将显示在设置页面上。要编辑实例,请单击查看更多。
在您的环境中安装脚本
脚本包中包括以下内容。
•
•
•
•
1.
包含详细说明的
readme
文件
包含用于在
NetScaler
中配置所需组件的
NetScalerCLI
命令的脚本
公用根
CA
证书和中间
CA
证书
包含用于删除
NetScaler
配置的
NetScalerCLI
命令的脚本
将证书文件(在脚本包中提供)上载并安装在
CitrixADC
设备上的
/nsconfig/ssl/
目录中。请参阅在
Citrix
ADC
设备上创建和使用
SSL
证书。
以下示例显示了如何安装根证书。
©1999
–
2023CloudSoftwareGroup,htsreserved.115
CitrixEndpointManagement
©1999
–
2023CloudSoftwareGroup,htsreserved.116
CitrixEndpointManagement
请务必同时安装根证书和中间证书。
2.
编辑脚本(
ConfigureCitrixGatewayScript_
或
ConfigureCitrixGatewayScript_
),
以便用环境中的详细信息替换所有占位符。
3.
按照脚本包附带的自述文件所述,在
NetScalerbashshell
中运行编辑后的脚本。例如:
/netscaler/nscli-U: Password>batch-f"/var/OfflineNSGConfigtBundle_" 脚本完成后,将显示以下行。 ©1999 – 2023CloudSoftwareGroup,htsreserved.117 CitrixEndpointManagement 测试配置 要验证配置,请执行以下操作: 1. 验证 CitrixGateway 虚拟服务器显示的状态是否为运行。 2. 验证代理负载平衡虚拟服务器显示的状态是否为运行。 3. 4. 打开 Web 浏览器,连接到 CitrixGatewayURL ,并尝试进行身份验证。如果身份验证成功,您将被重定向到 “HTTP 状态 404‑ 未找到 ” 消息。 注册设备,并确保其获取 MDM 和 MAM 注册。 为多个域配置身份验证 如果您有多个 EndpointManagement 实例(例如,用于测试、开发和生产环境),请手动为其他环境配置 Citrix Gateway 。(只能运行一次 NetScalerforXenMobile 向导。) CitrixGateway 配置 要为多域环境配置 CitrixGateway 身份验证策略和会话策略,请执行以下操作: 1. 在 CitrixGateway 配置实用程序中的配置选项卡上,展开 CitrixGateway> 策略 > 身份验证。 ©1999 – 2023CloudSoftwareGroup,htsreserved.118 CitrixEndpointManagement 2. 3. 在导航窗格中,单击 LDAP 。 单击后即可编辑 LDAP 配置文件。将服务器登录名称属性更改为 userPrincipalName 或您想要用于执行搜 索操作的属性。记下您指定的属性。在 EndpointManagement 控制台中配置 LDAP 设置时,请提供该属性。 4. 5. 针对每个 LDAP 策略重复以上步骤。每个域均需要一个单独的 LDAP 策略。 在绑定到 CitrixGateway 虚拟服务器的会话策略中,导航到编辑会话配置文件 > 已发布的应用程序。请确保单 点登录域为空。 EndpointManagement 配置 要为多域环境配置 EndpointManagementLDAP ,请执行以下操作: 1. 在 EndpointManagement 控制台中,转至设置 >LDAP 并添加或编辑一个目录。 2. 提供相关信息。 • • 在域别名中,指定要用于执行用户身份验证的每个域。用逗号分隔这些域,并且在域之间不要使用空格。例 如: ,, 请确保用户搜索依据字段与在 CitrixGatewayLDAP 策略中指定的服务器登录名称属性保持一致。 ©1999 – 2023CloudSoftwareGroup,htsreserved.119 CitrixEndpointManagement 删除对特定 URL 的入站连接请求 如果您的环境中的 CitrixGateway 是为 SSL 卸载配置的,您可能希望网关删除对特定 URL 的入站连接请求。如果您 更喜欢这种额外的安全性,请联系 CitrixCloudOperations 部门,并请求他们允许将您的 IP 添加到您的本地数据中 心白。 域或域加安全令牌身份验证 December3,2021 EndpointManagement 支持对一个或多个(与轻型目录访问协议 (LDAP) 兼容的)目录执行基于域的身份验证。可 以在 EndpointManagement 中配置到一个或多个目录的连接。 EndpointManagement 使用 LDAP 配置导入组、 用户帐户和相关属性。 重要提示: 用户在 EndpointManagement 中注册设备后, EndpointManagement 不支持将身份验证模式从一种身份 验证模式更改为其他身份验证模式。例如,在用户注册后,您无法将身份验证模式从域身份验证更改为域 + 证书。 关于 LDAP LDAP 是一个独立于供应商的开源应用程序协议,用于通过 Internet 协议 (IP) 网络访问和维护分布式目录信息服务。 目录信息服务用于共享通过网络可用的用户、系统、网络、服务和应用程序信息。 ©1999 – 2023CloudSoftwareGroup,htsreserved.120 CitrixEndpointManagement LDAP 的常见用处是为用户提供单点登录 (SSO) ,即每个用户在多项服务之间共享一个密码。通过单点登录,用户登录 一次公司 Web 站点,可对公司 Intranet 进行经过身份验证访问。 客户端通过连接到 LDAP 服务器(称为目录系统代理程序 (DirectorySystemAgent,DSA) )启动 LDAP 会话。然后, 客户端向服务器发送操作请求,服务器通过相应的身份验证进行响应。 在 EndpointManagement 中添加或编辑 LDAP 连接 您通常在加入 EndpointManagement 时配置 LDAP 连接,如配置 LDAP 中所述。如果您在该部分中显示的屏幕可 用之前加载,请使用本部分中的信息添加 LDAP 连接。 1. 2. 在 EndpointManagement 控制台中,转到设置 >LDAP 。 在服务器下方,单击 LDAP 。此时将显示 LDAP 页面。 3. 在 LDAP 页面上,单击添加或编辑。此时将显示添加 LDAP 或编辑 LDAP 页面。 ©1999 – 2023CloudSoftwareGroup,htsreserved.121 CitrixEndpointManagement 4. 配置以下设置: • • • • 目录类型:在列表中,单击相应的目录类型。默认值为 MicrosoftActiveDirectory 。 主服务器:键入用于 LDAP 的主服务器;可以输入 IP 地址或完全限定的域名 (FQDN) 。 辅助服务器:(可选)如果配置了辅助服务器,请输入辅助服务器的 IP 地址或 FQDN 。此服务器是故障转 移服务器,在无法访问主服务器时使用。 端口:键入 LDAP 服务器使用的端口号。默认情况下,对于不安全的 LDAP 连接,端口号设置为 389 。对 安全的 LDAP 连接使用端口号 636 ,对 Microsoft 不安全 LDAP 连接使用 3268 ,或者对 Microsoft 安 全 LDAP 连接使用 3269 。 • • • 域名:键入域名。 用户基础 DN :通过唯一标识符在 ActiveDirectory 中键入用户的位置。语法示例包括: ou=users 、 dc=example 或 dc=com 。 组基础 DN :在 ActiveDirectory 中键入组的位置。例如 cn=users,dc=domain,dc=net ,其 中 cn=users 表示组的容器名称, dc 表示 ActiveDirectory 的域组件。 ©1999 – 2023CloudSoftwareGroup,htsreserved.122 CitrixEndpointManagement • • • 用户 ID :键入与 ActiveDirectory 帐户关联的用户 ID 。 密码:键入与用户关联的密码。 域别名:键入域名的别名。如果在注册后更改域别名设置,用户必须重新注册。 •EndpointManagement 锁定限制:键入 0 到 999 之间的数字,表示失败登录尝试次数。值为 0 表示 EndpointManagement 从不根据失败登录尝试次数锁定用户。默认值为 0 。 请注意将此锁定限制设置为低于 LDAP 锁定策略的值。如果 EndpointManagement 无法向 LDAP 服 务器进行身份验证,这样做有助于防止用户锁定。例如,如果 LDAP 锁定策略设置为 5 次尝试,请将此锁 定限制配置为 4 或更低的值。 •EndpointManagement 锁定时间:键入 0 到 99999 之间的数字,表示用户超过锁定限制后必须等 待的分钟数。值为 0 表示不强制用户在锁定后等待。默认值为 1 。 • • • 全局目录 TCP 端口:键入全局目录服务器的 TCP 端口号。默认情况下, TCP 端口号设置为 3268 ;对于 SSL 连接,使用端口号 3269 。 全局目录根上下文:(可选)键入用于在 ActiveDirectory 中启用全局目录搜索的全局根上下文值。此搜 索是除标准 LDAP 搜索之外的方法,可在任何域中使用,无需指定实际的域名。 用户搜索依据:选择 EndpointManagement 用于搜索此目录中的用户的用户名或用户 ID 的格式。用 户在注册时以此格式输入其用户名或用户 ID 。如果在注册后通过设置更改用户搜索,用户必须重新注册。 如果选择 userPincipalName ,则用户以下格式输入用户主体名称 (UPN) : – 用户名 @ 域 如果选择 sAMAccountName ,则用户将输入以下格式之一的安全帐户管理员 (SAM) 名称: – – • 5. 用户名 @ 域 域 用户名 使用安全连接:选择是否使用安全连接。默认值为否。 单击保存。 删除 LDAP 兼容目录 1. 在 LDAP 表中,选择要删除的目录。 可以通过选中每个属性旁边的复选框,选择多个要删除的属性。 2. 单击删除。此时将显示确认对话框。再次单击删除。 配置域加安全令牌身份验证 可以将 EndpointManagement 配置为要求用户通过 RADIUS 协议使用其 LDAP 凭据以及一次性密码进行身份验 证。 ©1999 – 2023CloudSoftwareGroup,htsreserved.123 CitrixEndpointManagement 要实现最佳可用性,可以将此配置与 CitrixPIN 和 ActiveDirectory 密码缓存组合在一起。采用该配置时,用户不需 要重复输入其 LDAP 用户名和密码。用户在注册、密码过期和帐户锁定时输入用户名和密码。 配置 LDAP 设置 使用 LDAP 进行身份验证要求您在 EndpointManagement 上安装证书颁发机构颁发的 SSL 证书。有关信息,请参 阅上传证书。 1. 2. 在设置中,单击 LDAP 。 选择 MicrosoftActiveDirectory ,然后单击编辑。 3. 4. 确认 “ 端口 ” 为 636 (用于安全 LDAP 连接)还是 3269 (用于 Microsoft 安全 LDAP 连接)。 将使用安全连接更改为是。 配置 CitrixGateway 设置 以下步骤假定您已向 EndpointManagement 中添加 CitrixGateway 实例。要添加 CitrixGateway 实例,请参阅 CitrixGateway 和 EndpointManagement 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.124 CitrixEndpointManagement 1. 2. 3. 在设置中,单击 CitrixGateway 。 选择 CitrixGateway ,然后单击编辑。 在登录类型中,选择域和安全令牌。 启用 CitrixPIN 和用户密码缓存 要启用 CitrixPIN 和用户密码缓存,请转至设置 > 客户端属性,然后选中这些复选框:启用 CitrixPIN 身份验证和启 用用户密码缓存。有关详细信息,请参阅客户端属性。 配置 CitrixGateway 以进行域和安全令牌身份验证 为与 EndpointManagement 配合使用的虚拟服务器配置 CitrixGateway 会话配置文件和策略。有关信息,请参阅 CitrixGateway 文档。 客户端证书或证书加域身份验证 February14,2022 EndpointManagement 的默认配置是用户名和密码身份验证。要为 EndpointManagement 环境中的注册和访 问再增加一个安全层,请考虑使用基于证书的身份验证。在 EndpointManagement 环境中,此配置是用于实现安全 性和用户体验的最佳组合。证书加域身份验证通过 CitrixGateway 进行的双重身份验证可提供最佳 SSO 选择和安全 性。 要实现最佳可用性,可以将证书加域身份验证与 CitrixPIN 和 ActiveDirectory 密码缓存组合在一起。因此,用户不 需要重复输入其 LDAP 用户名和密码。用户在注册、密码过期和帐户锁定时输入用户名和密码。 重要: 用户在 EndpointManagement 中注册设备后, EndpointManagement 不支持将身份验证模式从域身份验 证更改为某些其他身份验证模式。 如果禁用了 LDAP 并且不希望使用智能卡或类似方法,配置证书可代替智能卡来访问 EndpointManagement 。用户 随后使用 EndpointManagement 生成的唯一 PIN 进行注册。用户获取访问权限后, EndpointManagement 随 后创建和部署后续用来在 EndpointManagement 环境中执行身份验证的证书。 CitrixGateway 仅证书身份验证或证书加域身份验证时,可以使用 NetScalerforXenMobile 向导设置 EndpointManagement 所需的配置。只能运行一次 NetScalerforXenMobile 向导。 使用 在高度安全的环境中,在组织外的公共或不安全网络中使用 LDAP 凭据会被视为组织面临的首要安全威胁。对于高度安 全的环境,可以选择使用客户端证书和安全令牌的双重身份验证。有关信息,请参阅为证书和安全令牌身份验证配置 EndpointManagement 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.125 CitrixEndpointManagement MAM 和 MDM+MAM 中注册的设备。必须依次配置 Microsoft 服务器、 Endpoint Management 和 CitrixGateway ,才能对这些设备使用客户端证书身份验证。执行本文所述的如下常规步骤。 客户端证书身份验证适用于在 在 Microsoft 服务器上: 1. 2. 3. 向 Microsoft 管理控制台中添加证书管理单元。 向证书颁发机构 (CA) 中添加模板。 从 CA 服务器创建 PFX 证书。 在 EndpointManagement 中: 1. 2. 3. 4. 将证书上载到 EndpointManagement 。 为基于证书的身份验证创建 PKI 实体。 配置凭据提供程序。 将 CitrixGateway 配置为提供用于进行身份验证的用户证书。 有关 CitrixGateway 配置的信息,请参阅 CitrixADC 文档中的以下文章: • 客户端身份验证 •SSL 配置文件基础结构 • 配置和绑定客户端证书身份验证策略。 必备条件 • • • 创建 Microsoft 证书服务实体模板时,通过排除特殊字符来避免已注册的设备可能会出现的身份验证问题。例 如,请勿在模板名称中使用以下字符: :!$()##%+*~?|{}[] ExchangeActiveSync 配置基于证书的身份验证,请参阅有关 ExchangeServer 的微软文档。为 ExchangeActiceSync 配置证书颁发机构 (CA) 服务器站点以要求客户端证书。 要为 如果使用专用服务器证书来确保流向 ExchangeServer 的 ActiveSync 流量安全,请确保移动设备具有所有根 证书 / 中间证书。否则,在 SecureMail 中设置邮箱时,基于证书的身份验证将失败。在 ExchangeIIS 控制台 中,必须执行以下操作: – – – 添加一个 Web 站点以供 EndpointManagement 和 Exchange 使用,并绑定 Web 服务器证书。 使用端口 9443 。 对于该 Web 站点,必须添加两个应用程序,一个用于 Microsoft‑Server‑ActiveSync ,一个用于 EWS 。 对于这两个应用程序,请在 SSLSettings ( SSL 设置)下方选择 RequireSSL (需要 SSL )。 向 Microsoft 管理控制台添加证书管理单元 1. 2. 打开该控制台,然后单击添加 / 删除管理单元。 添加以下管理单元: • • 证书模板 证书 ( 本地计算机 ) ©1999 – 2023CloudSoftwareGroup,htsreserved.126 CitrixEndpointManagement • • 证书 ‑ 当前用户 证书颁发机构 ( 本地 ) 3. 展开证书模板。 4. 依次选择用户模板和复制模板。 ©1999 – 2023CloudSoftwareGroup,htsreserved.127 CitrixEndpointManagement 5. 提供模板显示名称。 重要: 仅在必要时选中在 ActiveDirectory 中发布证书复选框。如果选中了此选项,则将在 ActiveDirectory 中创建所有用户客户端证书,这可能会导致您的 ActiveDirectory 数据库混乱不堪。 6. 7. 选择 Windows2003Server 作为模板类型。在 Windows2012R2Server 中,在兼容性下选择证书颁发 机构,然后设置接受方 Windows2003 。 在安全下,单击添加,然后选择 EndpointManagement 将用于生成证书的 AD 用户帐户。 重要提示: 在此处仅添加服务帐户用户。请仅将注册权限添加到此 AD 用户帐户。 如本文后面所述,您将使用服务帐户创建用户 .pfx 证书。有关信息,请参阅从 CA 服务器创建 PFX 证书。 ©1999 – 2023CloudSoftwareGroup,htsreserved.128 CitrixEndpointManagement 8. 在加密下方,务必提供密钥大小。以后可在 EndpointManagement 配置过程中输入密钥大小。 ©1999 – 2023CloudSoftwareGroup,htsreserved.129 CitrixEndpointManagement 9. 在使用者名称下方,选择在请求中提供。应用更改并保存。 向证书颁发机构添加模板 1. 转至证书颁发机构并选择证书模板。 ©1999 – 2023CloudSoftwareGroup,htsreserved.130 CitrixEndpointManagement 2. 在右侧窗格中单击鼠标右键,然后选择新建 > 要颁发的证书模板。 3. 选择在上一步中创建的模板,然后单击确定将其添加到证书颁发机构。 ©1999 – 2023CloudSoftwareGroup,htsreserved.131 CitrixEndpointManagement 从 CA 服务器创建 PFX 证书 1. 2. 3. 使用登录时使用的服务帐户创建用户 .pfx 证书。 .pfx 会上传到 EndpointManagement ,然后端点管理将代 表注册其设备的用户请求用户证书。 在当前用户下方,展开证书。 在右侧窗格中单击鼠标右键,然后单击申请新证书。 4. 此时将显示证书注册屏幕。单击 Next (下一步)。 ©1999 – 2023CloudSoftwareGroup,htsreserved.132 CitrixEndpointManagement 5. 选择 ActiveDirectory 注册策略,然后单击下一步。 6. 选择用户模板,然后单击注册。 ©1999 – 2023CloudSoftwareGroup,htsreserved.133 CitrixEndpointManagement 7. 导出在上一步中创建的 .pfx 文件。 8. 单击是,导出私钥。 ©1999 – 2023CloudSoftwareGroup,htsreserved.134 CitrixEndpointManagement 9. 选中如果可能,则包括证书路径中的所有证书和导出所有扩展属性复选框。 ©1999 – 2023CloudSoftwareGroup,htsreserved.135 CitrixEndpointManagement 10. 设置在将此证书上载到 EndpointManagement 中时要使用的密码。 ©1999 – 2023CloudSoftwareGroup,htsreserved.136 CitrixEndpointManagement 11. 将证书保存到您的硬盘驱动器。 将证书上载到 EndpointManagement 1. 2. 3. 在 EndpointManagement 控制台中,单击右上角的齿轮图标。此时将显示设置屏幕。 依次单击证书和导入。 输入以下参数: • • • • • 导入:密钥库 密钥库类型: PKCS#12 用作:服务器 密钥库文件:单击 “ 浏览 ” 选择刚刚创建的 .pfx 证书。 密码:输入为此证书创建的密码。 ©1999 – 2023CloudSoftwareGroup,htsreserved.137 CitrixEndpointManagement 4. 5. 单击导入。 验证是否已正确安装证书。正确安装的证书将显示为用户证书。 为基于证书的身份验证创建 PKI 实体 1. 2. 3. 在设置中,转至更多 > 证书管理 >PKI 实体。 依次单击添加和 Microsoft 证书服务实体。此时将显示 Microsoft 证书服务实体 : 常规信息屏幕。 输入以下参数: • 名称:键入任意名称。 •Web 注册服务根 URL : RootCA-URL/certsrv/ (请务必在 URL 路径结尾添加一个 斜杠 / 。) • 页面名称: (默认值) • : (默认值) • 身份验证类型:客户端证书 •SSL 客户端证书:选择用于颁发 EndpointManagement 客户端证书的用户证书。如果不存在证书,请 按照上一节中的步骤上传证书。 ©1999 – 2023CloudSoftwareGroup,htsreserved.138 CitrixEndpointManagement 4. 在模板下方,添加配置 Microsoft 证书时创建的模板。请勿添加空格。 5. 6. 跳过 “HTTP 参数 ” ,然后单击 CA 证书。 选择与您的环境对应的根 CA 名称。此根 CA 属于从 EndpointManagement 客户端证书中导入的链的一部 分。 7. 单击保存。 配置凭据提供程序 1. 2. 3. 在设置中,转至更多 > 证书管理 > 凭据提供程序。 单击添加。 在常规下方,输入以下参数: • • • • • 名称:键入任意名称。 说明:键入任意说明。 颁发实体:选择之前创建的 PKI 实体。 颁发方法:签名 模板:选择在 “PKI 实体 ” 下方添加的模板。 ©1999 – 2023CloudSoftwareGroup,htsreserved.139 CitrixEndpointManagement 4. 单击证书签名请求,然后输入以下参数: • • • • 密钥算法: RSA 密钥大小: 2048 签名算法: SHA256withRSA 使用者名称: cn=$me 对于使用者备用名称,请单击添加,然后输入以下参数: • • 类型:用户主体名称 值: $incipalname 5. 单击分发并输入以下参数: • • 颁发 CA 证书:选择签署了 EndpointManagement 客户端证书的颁发 CA 。 选择分发模式:选择首选集中式 : 服务器端密钥生成。 6. 7. 对于后两个部分(吊销 EndpointManagement 和吊销 PKI ),根据需要设置参数。在此示例中,跳过这两 个选项。 单击续订。 ©1999 – 2023CloudSoftwareGroup,htsreserved.140 CitrixEndpointManagement 8. 9. 在证书过期时启用续订。 让所有其他设置保留为默认设置,或者根据需要进行更改。 10. 单击保存。 将 SecureMail 配置为使用基于证书的身份验证 将 SecureMail 添加到 EndpointManagement 时,请务必在应用程序设置下方配置 Exchange 设置。 在 EndpointManagement 中配置 CitrixGateway 证书传递 1. 2. 3. 在 EndpointManagement 控制台中,单击右上角的齿轮图标。此时将显示设置屏幕。 在服务器下方,单击 CitrixGateway 。 如果尚未添加 CitrixGateway ,请单击添加并指定以下设置: • • • • • • 名称:设备的描述性名称。 别名:设备的可选别名。 外部 URL : YourCitrixGatewayURL 登录类型:选择证书和域 需要密码:关 设置为默认值:开 ©1999 – 2023CloudSoftwareGroup,htsreserved.141 CitrixEndpointManagement 4. 对于身份验证和向用户提供用于身份验证的证书,选择开。 5. 6. 对于凭据提供程序,选择一个提供程序,然后单击保存。 要使用用户证书中的 sAMAccount 属性作为用户主体名称 (UPN) 的备用名称,请按如下所示在 Endpoint Management 中配置 LDAP 连接器:转至设置 >LDAP ,选择目录并单击编辑,然后在用户搜索依据中选择 sAMAccountName 。 启用 CitrixPIN 和用户密码缓存 要启用 CitrixPIN 和用户密码缓存,请转至设置 > 客户端属性,然后选中这些复选框:启用 CitrixPIN 身份验证和启 用用户密码缓存。有关详细信息,请参阅客户端属性。 客户端证书配置故障排除 成功配置前述配置及 CitrixGateway 配置后,用户工作流如下: ©1999 – 2023CloudSoftwareGroup,htsreserved.142 CitrixEndpointManagement 1. 用户注册其移动设备。 ntManagement 会提示用户创建 CitrixPIN 。 3. 4. 随后用户被重定向到应用商店。 用户启动 SecureMail 时, EndpointManagement 不提示其提供用户凭据以用于邮箱配置。相反, Secure Mail 将从 SecureHub 请求客户端证书,并将其提交给 MicrosoftExchangeServer 以进行身份验证。如果 EndpointManagement 在用户启动 SecureMail 时提示用户提供凭据,请检查您的配置。 如果用户能够下载并安装 SecureMail ,但邮箱配置过程中 SecureMail 无法完成配置: 1. 2. 如果 MicrosoftExchangeServerActiveSync 使用专用 SSL 服务器证书来确保流量安全,请验证是否已在 移动设备上安装根证书 / 中间证书。 验证为 ActiveSync 选择的身份验证类型是否为要求提供客户端证书。 3. 在 MicrosoftExchangeServer 上,检查 Microsoft‑Server‑ActiveSync 站点以验证是否已启用客户端 证书映射身份验证。默认情况下,客户端证书映射身份验证处于禁用状态。此选项位于配置编辑器 > 安全 > 身份 ©1999 – 2023CloudSoftwareGroup,htsreserved.143 CitrixEndpointManagement 验证下方。 选择 True 后,请务必单击应用以使更改生效。 4. 在 EndpointManagement 控制台中检查 CitrixGateway 设置:确保向用户提供用于身份验证的证书设置 为开,并且为凭据提供程序选择了正确的配置文件。 确定是否已向移动设备提供客户端证书 1. 2. 3. 在 EndpointManagement 控制台中,转至管理 > 设备,然后选择设备。 单击编辑或显示更多。 转至交付组部分,并搜索以下条目: CitrixGatewayCredentials:Requestedcredential,CertId= 验证是否已启用客户端证书协商 1. 运行以下 netsh 命令以显示 IISWeb 站点上绑定的 SSL 证书配置: netshhttpshowsslcert ©1999 – 2023CloudSoftwareGroup,htsreserved.144 CitrixEndpointManagement 2. 如果 NegotiateClientCertificate (协商客户端证书)的值为 Disabled (已禁用),请运行以下命令将其 启用: netshhttpdeletesslcertipport=0.0.0.0:443 netshhttpaddsslcertipport=0.0.0.0:443certhash=cert_hashappid={ app_id}certstorename=store_nameverifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=DisableUsageCheck=Enable clientcertnegotiation=Enable 例如: netshhttpaddsslcertipport=0.0.0.0:443certhash=23498dfsdfhaf98rhkjqf9823rkjhd appid={123asd456jd-a12b-3c45-d678-123456lkjhgf}certstorename= =DisableUsageCheck=Enableclientcertnegotiation=Enable 如果无法通过 EndpointManagement 向 WindowsPhone8.1 设备提供根证书 / 中间证书,请执行以下操作: ExampleCertStoreNameverifyclientcertrevocation=EnableVerifyRevocationWithCached • 通过电子邮件将根证书 / 中间证书 (.cer) 文件发送到 WindowsPhone8.1 设备并直接安装。 如果无法在 WindowsPhone8.1 上成功安装 SecureMail ,请验证以下项: • • • 应用程序注册令牌( .AETX 文件)是否已使用企业中心设备策略通过 EndpointManagement 提供。 创建应用程序注册令牌时使用的证书提供程序提供的企业证书是否与用于封装 SecureMail 并为 SecureHub 应用程序签名的企业证书相同。 是否使用相同的发布者 ID 签名并封装 SecureHub 、 SecureMail 和应用程序注册令牌。 PKI 实体 October18,2022 EndpointManagement 公钥基础结构 (PKI) 实体配置代表执行实际 PKI 操作(颁发、吊销和状态信息)的组件。这 些组件是 EndpointManagement 的内部组件或外部组件。内部组件称为自主组件。外部组件属于企业基础结构的组 成部分。 EndpointManagement 支持以下类型的 PKI 实体: •Microsoft 证书服务 • 任意证书颁发机构 (CA) EndpointManagement 支持以下 CA 服务器: •WindowsServer2008R2 •WindowsServer2012 •WindowsServer2012R2 ©1999 – 2023CloudSoftwareGroup,htsreserved.145 CitrixEndpointManagement •WindowsServer2016 •WindowsServer2019 常见 PKI 概念 无论何种类型,每个 PKI 实体均拥有下列功能的子集: • • • 签名:基于证书签名请求 (CSR) 颁发新证书。 提取:恢复现有证书和密钥对。 吊销:吊销客户端证书。 关于 CA 证书 配置 PKI 实体时,请向 EndpointManagement 指明哪个 CA 证书将成为该实体所颁发(或从该实体恢复)的证书的 签署者。该 PKI 实体可以返回任意多个不同 CA 签名(提取或新签名)的证书。 请在 PKI 实体配置过程中提供其中每个颁发机构的证书。为此,请将证书上载到 EndpointManagement ,然后在 PKI 实体中引用这些证书。对于任意 CA ,证书实际上是签名 CA 证书。对于外部实体,必须手动指定该证书。 重要: 创建 Microsoft 证书服务实体模板时,为避免已注册的设备可能会出现的身份验证问题:请勿在模板名称中使用 特殊字符。例如,请勿使用: !:$()##%+*~?|{}[] Microsoft 证书服务 EndpointManagement 通过其 Web 注册界面与 MicrosoftCertificateServices 交互。 EndpointManage‑ ment 仅支持通过该接口颁发新证书。如果 MicrosoftCA 生成 CitrixGateway 用户证书, CitrixGateway 将支持 续订和吊销这些证书。 要在 EndpointManagement 中创建 MicrosoftCAPKI 实体,必须指定证书服务 Web 界面的基本 URL 。如果选 择此项,则使用 SSL 客户端身份验证保护 EndpointManagement 与证书服务 Web 界面之间的连接。 添加 Microsoft 证书服务实体 1. 2. 在 EndpointManagement 控制台中,单击控制台右上角的齿轮图标,然后单击 PKI 实体。 在 PKI 实体页面上,单击添加。 此时将显示一个 PKI 实体类型菜单。 3. 单击 Microsoft 证书服务实体。 此时将显示 Microsoft 证书服务实体 : 常规信息页面。 4. 在 Microsoft 证书服务实体 : 常规信息页面上,配置以下设置: ©1999 – 2023CloudSoftwareGroup,htsreserved.146 CitrixEndpointManagement • 名称:为新实体键入名称,此名称以后将用于指代该实体。实体名称必须唯一。 •Web 注册服务根 URL :键入 MicrosoftCAWeb 注册服务的基本 URL 。例如: 192.0.0.1/ certsrv/ 。该 URL 可使用纯 HTTP 或 HTTP‑over‑SSL 。 • 页面名称: 页面的名称。若非因为某些原因重命名了此页面,请使用默认名 称。 • : 页面的名称。若非因为某些原因重命名了此页面,请使用默认名称。 • 身份验证类型:选择要使用的身份验证方法。 – 无 –HTTPBasic :键入连接所需的用户名和密码。 – 客户端证书:选择正确的 SSL 客户端证书。 • 使用 CloudConnector :选择开可使用 CloudConnector 连接到 PKI 服务器。然后,指定资源位置 以及连接的允许使用的相对路径。 – – 资源位置:从在 CitrixCloudConnector 中定义的资源位置进行选择。 允许使用的相对路径:允许为指定资源位置使用的相对路径。每行请指定一个路径。可以使用星号 (*) 通配符。 假定资源位置为 eRoot/certsrv 。要提供对该路径中的所有 URL 的 访问权限,请在允许使用的相对路径中输入 /* 。 5. 单击测试连接以确保服务器可以访问。如果不可访问,则会显示一条消息,指出连接失败。请检查配置设置。 ©1999 – 2023CloudSoftwareGroup,htsreserved.147 CitrixEndpointManagement 6. 单击下一步。 此时将显示 Microsoft 证书服务实体 : 模板页面。在此页面上,指定 MicrosoftCA 所支持模板的内部名称。创 建凭据提供程序时,从此处定义的列表中选择模板。使用此实体的每个凭据提供程序仅使用一个此类模板。 有关 Microsoft 证书服务模板的要求,请参阅您的 MicrosoftServer 版本对应的 Microsoft 文档。除了证书 中注明的证书格式外, EndpointManagement 对其分发的证书没有要求。 7. 8. 在 Microsoft 证书服务实体 : 模板页面上,单击添加,键入模板的名称,然后单击保存。为要添加的每个模板重 复执行此步骤。 单击下一步。 此时将显示 Microsoft 证书服务实体 :HTTP 参数页面。在此页面上,您可以指定自定义参数以供 Endpoint Management 添加到向 MicrosoftWeb 注册界面发送的 HTTP 请求。自定义参数仅对 CA 上运行的自定义脚 本有用。 9. 在 Microsoft 证书服务实体 : 下一步。 HTTP 参数页面上,单击添加,键入要添加的 HTTP 参数的名称和值,然后单击 此时将显示 Microsoft 证书服务实体 :CA 证书页面。在此页面上,必须将系统通过此实体获取的证书的签署者 告知 EndpointManagement 。续订 CA 证书后,将在 EndpointManagement 中对其进行更新。 Endpoint Management 以透明方式将更改应用于实体。 CA 证书页面上,选择要用于此实体的证书。 10. 11. 在 Microsoft 证书服务实体 : 单击保存。 实体将显示在 PKI 实体表格中。 CitrixGateway 证书吊销列表 (CRL) EndpointManagement 仅支持对第三方证书颁发机构使用证书吊销列表 (CRL) 。如果您配置了 MicrosoftCA , EndpointManagement 将使用 CitrixGateway 管理吊销。 配置基于客户端证书的身份验证时,请考虑是否要配置 CitrixGateway 证书吊销列表 (CRL) 设置 EnableCRLAuto Refresh (启用 CRL 自动刷新)。此步骤可确保处于仅 MAM 模式的设备的用户无法使用设备上的现有证书进行身份验 证。 EndpointManagement 将重新颁发新证书,因为吊销用户证书后, EndpointManagement 不会限制用户生成用 户证书。此设置提高了 CRL 检查过期的 PKI 实体时 PKI 实体的安全性。 任意 CA 向 EndpointManagement 提供 CA 证书及关联的私钥时,将创建任意 CA 。 EndpointManagement 将根据您指 定的参数,在内部处理证书颁发、吊销和状态信息。 ©1999 – 2023CloudSoftwareGroup,htsreserved.148 CitrixEndpointManagement 配置任意 CA 时,可以为该 CA 激活联机证书状态协议 (OCSP) 支持。如果您启用了 OCSP 支持, CA 将向该 CA 颁发 的证书中添加 id-pe-authorityInfoAccess 扩展。该扩展指向以下位置处的 EndpointManagement 内部 OCSP 响应者: 配置 OCSP 服务时,请为相关任意实体指定 OCSP 签名证书。可以将 CA 证书本身用作签署者。要避免 CA 私钥的不必 要暴露(建议避免),请创建一个由 CA 证书签名并包含 id-kp-OCSPSigningextendedKeyUsage 扩展的委 派 OCSP 签名证书。 EndpointManagementOCSPResponderService 支持在请求中使用基本 OCSP 响应及以下散列算法: •SHA‑256 •SHA‑384 •SHA‑512 响应通过 SHA‑256 及签名证书的密钥算法( DSA 、 RSA 或 ECDSA )进行签名。 为您的 CA 生成和导入证书 1. 在服务器上,使用本地系统帐户打开 Microsoft 管理控制台 (MMC) ,然后打开证书管理单元。在右侧窗格中, 右键单击,然后单击所有任务 > 请求新证书。 2. 在打开的向导中,单击下一步两次。在请求证书列表中,选择从属证书颁发机构,然后单击更多信息链接。 ©1999 – 2023CloudSoftwareGroup,htsreserved.149 CitrixEndpointManagement 3. 在窗口中,键入主题名称和替代名称。单击确定。 ©1999 – 2023CloudSoftwareGroup,htsreserved.150 CitrixEndpointManagement 4. 5. 单击注册,然后单击完成。 在 MMC 中,右键单击您创建的证书。单击所有任务 > 导出。将证书导出为带有私钥的 .pfx 文件。如果可能,请 选择在证书路径中包含所有证书的选项。 ©1999 – 2023CloudSoftwareGroup,htsreserved.151 CitrixEndpointManagement 6. 在 EndpointManagement 控制台中,导航到设置 > 证书。 7. 单击导入。在打开的窗口中,浏览以前导出的证书和私钥文件。 ©1999 – 2023CloudSoftwareGroup,htsreserved.152 CitrixEndpointManagement 8. 单击导入。证书将添加到表中。 添加任意 CA 1. 2. 在 EndpointManagement 控制台中,单击控制台右上角的齿轮图标,然后单击更多 >PKI 实体。 在 PKI 实体页面上,单击添加。 ©1999 – 2023CloudSoftwareGroup,htsreserved.153 CitrixEndpointManagement 3. 单击任意 CA 。 4. 在 “ 自由裁量 CA :常规信息 ” 页面上,配置以下内容: • • 名称:键入任意 CA 的描述性名称。 用于对证书请求进行签名的 CA 证书:单击任意 CA 用于为证书请求签名的证书。 此证书列表是根据您通过配置 > 设置 > 证书上载到 EndpointManagement 的 CA 证书(带私钥)生成 的。 5. 单击下一步。 6. 在 “ 自由 CA :参数 ” 页面上,配置以下内容: • • 序列号生成器:任意 CA 为其颁发的证书生成序列号。从此列表中,单击按顺序或不按顺序以确定序列号 的生成方式。 下一个序列号:键入一个用于确定颁发的下一个序列号的值。 ©1999 – 2023CloudSoftwareGroup,htsreserved.154 CitrixEndpointManagement • • • 7. 证书有效期:键入证书有效的天数。 密钥用法:通过将相应的密钥设置为开,标识任意 CA 所颁发证书的目的。一旦设置, CA 仅限于为此目的 颁发证书。 扩展密钥用法:要添加更多参数,请单击添加,键入密钥名称,然后单击保存。 单击下一步。 8. 在任意 CA: 分发页面上,选择分发模式: • • 集中式 : 服务器端密钥生成。 Citrix 建议使用集中选项。在服务器上生成并存储私钥,然后分发到用户设备。 分布式 : 设备端密钥生成。私钥在用户设备上生成。此分布式模式使用 SCEP 并需要采用 keyUsage keyEncryption 扩展名的 RA 加密证书和采用 KeyUsagedigitalSignature 扩展名的 RA 签名证 书。同一个证书可以同时用于加密和签名。 9. 单击下一步。 10. 在 “ 自由授权 CA :在线证书状态协议 (OCSP)” 页面上,配置以下内容: • • 如果要向此 CA 签名的证书添加 AuthorityInfoAccess (RFC2459) 扩展,请将为此 CA 启用 OCSP 支持设置为开。此扩展指向位于 的 CAOCSP 响应者。 如果启用了 OCSP 支持,请选择 OSCP 签名 CA 证书。此证书列表使用您上载到 EndpointManagement 的 CA 证书生成。 启用该功能使 CitrixADC 有机会检查证书的状态。 Citrix 建议您启用此功能。 ©1999 – 2023CloudSoftwareGroup,htsreserved.155 CitrixEndpointManagement 11. 单击保存。 任意 CA 将显示在 PKI 实体表格中。 配置凭据提供程序 1. 2. 在 EndpointManagement 控制台中,导航到设置 > 凭据提供程序,然后单击添加。 在凭据提供程序:常规信息页面上,配置以下内容: • • • • 3. 名称:为新提供程序配置键入唯一名称。此名称之后将用于在 EndpointManagement 控制台的其他部 分标识该配置。 说明:凭据提供程序的说明。尽管此字段为可选字段,但说明可以提供有关此凭据提供程序的有用详细信 息。 发行实体:选择自行授权 CA 。 颁发方法:单击签名或提取以选择系统用于从已配置的实体获取证书的方法。对于客户端证书身份验证, 请使用签名。 单击下一步。在凭据提供程序 : 证书签名请求页面上,根据您的证书配置来配置以下各项: • 密钥算法:选择用于获取新密钥对的密钥算法。可用值为 RSA 、 DSA 和 ECDSA 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.156 CitrixEndpointManagement • • • • 密钥大小:键入密钥对的大小(以位为单位)。此字段为必填字段。 Citrix 建议使用 2048 位。 签名算法:单击用于新证书的值。值取决于密钥算法。 Citrix 建议使用 SHA256withRSA 。 使用者名称:必填。键入新证书使用者的标识名 (DN) 。使用 CN=${me} 作为用户名 或 CN=${ountname} 以使用 samAccountName 。 要向使用者备用名称表中添加新条目,请单击添加。选择备用名称的类型,然后在第二列中键入一个值。 添加以下内容: – – 类型:用户主体名称 值: $incipalname 与主题名称一样,您可以在值字段中使用 EndpointManagement 宏。 4. 单击下一步。在凭据提供程序:分发页面上,配置以下内容: • • 颁发 CA 证书:选择之前添加的自行授权 CA 证书。 选择分发模式:选择以下生成和分发密钥的方法之一: – 首选集中式 : 服务器端密钥生成: Citrix 建议采用此集中式选项。它支持 EndpointManagement 支持的所有平台,并且在使用 CitrixGateway 身份验证时也需要使用此模式。在服务器上生成并存 储私钥,然后分发到用户设备。 – 首选分布式 : 设备端密钥生成:在用户设备上生成并存储私钥。此分布式模式使用 SCEP 并需要采 用 keyUsagekeyEncryption 的 RA 加密证书和采用 KeyUsagedigitalSignature 的 RA 签名 证书。同一个证书可以同时用于加密和签名。 – 仅分布式:设备端密钥生成:此选项与 “ 首选分布式:设备端密钥生成 ” 相同,但是如果设备端密钥 生成失败或不可用,则没有选项可用。 如果选择首选分布式 : 设备端密钥生成或仅限分布式 : 设备端密钥生成,请单击 RA 签名证书和 RA 加密证书。同 一个证书可用于这两个目的。此时将显示有关这些证书的新字段。 5. 单击下一步。在凭据提供程序:吊销 EndpointManagement 页面上,配置 EndpointManagement 内 部将通过此提供程序配置颁发的证书标记为已撤销的条件。配置以下设置: ©1999 – 2023CloudSoftwareGroup,htsreserved.157 CitrixEndpointManagement • • • 6. 在吊销已颁发的证书中,选择一个表明何时应吊销证书的选项。 要指示 EndpointManagement 在吊销证书时发送通知,请将发送通知的值设置为开并选择通知模板。 使用 EndpointManagement 作为自行决定 PKI 时,撤销 PKI 上的证书不起作用。 单击下一步。在凭据提供程序:吊销 PKI 页面上,确定如果证书被吊销,应对 PKI 采取哪些操作。您还可以选 择创建通知消息。配置以下设置: • • 启用外部撤销检查:打开此设置。此时将显示更多与吊销 PKI 相关的字段。 在 OCSP 响应方 CA 证书列表中,选择证书主题的判别名称 (DN) 。 可以为 DN 字段值使用 EndpointManagement 宏。例如: CN=${me},OU =${ment},O=${yname},C=${user.c} endquotation • 在吊销证书时列表中,单击吊销证书时对 PKI 实体执行的以下操作之一: – – – • 不执行任何操作。 续订证书。 吊销和擦除设备。 要指示 EndpointManagement 在吊销证书时发送通知,请将发送通知的值设置为开。 ©1999 – 2023CloudSoftwareGroup,htsreserved.158 CitrixEndpointManagement 可以从两个通知选项中选择: – – 7. 如果选择选择通知模板,则可以选择预先写好的通知消息,且之后可以进行自定义。这些模板位于通 知模板列表中。 如果选择输入通知详细信息,则可以自行编写通知消息。除了提供收件人的电子邮件地址和消息,还 可以设置发送通知的频率。 单击下一步。在凭据提供商:续订页面上,配置以下内容: 将证书过期时续订设置为开。此时将显示更多字段。 • 在证书在此时间内提供时续订字段中,键入在过期前多少天续订证书。 • (可选)选择不续订已过期的证书。在此情况下, “ 已过期 ” 表示证书的 “ NotAfter ” 日期在过去,不是指 证书已被吊销。在内部吊销证书后, EndpointManagement 不会续订这些证书。 EndpointManagement 在续订证书时发送通知,请将发送通知设置为开。要指示 Endpoint Management 在证书接近过期时发送通知,请将证书即将过期时通知设置为开。 要指示 对于其中任一选择方式,可以从两个通知选项中选择: • • 8. 选择通知模板:选择预先写好的通知消息,且之后可以进行自定义。这些模板位于通知模板列表中。 输入通知详细信息:自行编写通知消息。提供收件人电子邮件地址、消息和频率,以便发送通知。 单击保存。 凭据提供程序 May19,2022 凭据提供程序是在 EndpointManagement 系统的各个部分中使用的实际证书配置。凭据提供程序定义证书的来源、 参数和生命周期。无论这些证书是设备配置的一部分还是独立的配置(即,按原样推送到设备),都是这样。 ©1999 – 2023CloudSoftwareGroup,htsreserved.159 CitrixEndpointManagement 设备注册约束证书生命周期。也就是说, EndpointManagement 在注册前不颁发证书,尽管 EndpointManage‑ ment 可能会在注册的过程中颁发某些证书。此外,在某个注册环境下从内部 PKI 颁发的证书会在注册被吊销时吊销。 管理关系终止后,不保留任何有效证书。 一个凭据提供程序配置可用于多个位置,从而达到通过一个配置同时控制任意多个证书的效果。这时,其唯一性在于部 署资源和部署。例如,如果凭据提供程序 P 作为配置 C 的一部分部署到设备 D : P 的颁发设置将决定部署到 D 的证书。 同样,在更新 C 时将应用 D 的续订设置。并且,删除 C 或吊销 D 时将应用 D 的吊销设置。 根据这些规则, EndpointManagement 中的凭据提供程序配置确定以下各项: • • • • • 证书的来源。 获取证书的方法:签发新证书还是提取(恢复)现有证书和密钥对。 用于颁发或恢复的参数。例如,密钥大小、密钥算法和证书扩展名等证书签名请求 (CSR) 参数。 将证书交付给设备的方式。 吊销条件。尽管在管理关系终止后 EndpointManagement 中的所有证书都将被吊销,但该配置可以指定在更早 时间吊销。例如,配置可以指定在删除关联设备配置时吊销证书。此外,在某些情况下, EndpointManagement 中关联证书的吊销可能会发送给后端公钥基础结构 (PKI) 。也就是说,在 EndpointManagement 中吊销证书 可能导致在 PKI 上吊销证书。 • 续订设置。通过指定凭据提供程序获取的证书可以在即将过期时自动续订。或者采用与之不同的方式,在接近过 期时由系统发送通知。 配置选项的可用性主要取决于为凭据提供程序选择的 PKI 实体的类型和颁发方法。 证书颁发方法 可以通过签名获得证书,也就是所谓的颁发方法。 利用此方法,颁发包括创建新私钥、创建 CSR 和将 CSR 提交给证书颁发机构 (CA) 进行签名。 EndpointManagement 支持 MS 证书服务实体和任意 CA 实体的签名方法。 凭据提供程序使用签名颁发方法。 证书交付 EndpointManagement 中可用的证书交付模式共有两种:集中和分散。分布式模式使用简单证书注册协议 (SCEP) , 并且只有在客户端支持该协议时方可使用(仅限 iOS )。在某些情况下,必须采用分布式模式。 对于支持分散式( SCEP 辅助)交付的凭据提供程序,需要特殊的配置步骤:设置注册机构 (RA) 证书。需要 RA 证 书是因为,使用 SCEP 协议时, EndpointManagement 充当实际证书颁发机构的委派者(注册者)。 Endpoint Management 必须向客户端证实自己有权执行此类操作。通过向 EndpointManagement 上载上述证书,可以建 立该机构。 需要两种不同的证书角色(尽管同一证书即可满足这两项要求): RA 签名和 RA 加密。这些角色的限制如下: •RA 签名证书必须拥有 X.509 密钥用法数字签名。 •RA 加密证书必须拥有 X.509 密钥用法密钥加密。 ©1999 – 2023CloudSoftwareGroup,htsreserved.160 CitrixEndpointManagement 要配置凭据提供程序的 RA 证书,请先将证书上载到 EndpointManagement ,然后在凭据提供程序中链接到这些证 书。 仅当凭据提供程序为证书角色配置了证书时,才可将凭据提供程序视为支持分散式交付。可以将每个凭据提供程序配置 为首选集中式模式、首选分布式模式或要求分布式模式。实际结果取决于具体环境:如果环境不支持分布式模式,但是 凭据提供程序要求使用该模式,部署将失败。同样,如果环境要求使用分布式模式,但凭据提供程序不支持该模式,部 署也将失败。在所有其他情况下,将会应用首选设置。 下面显示了 SCEP 在整个 EndpointManagement 的分布: 上下文支持 SCEP 是 是 是 否 否 否 不可以,但 Windows10 和 需要 SCEP 是 否 否 否 否 否 否 iOS 配置文件服务 iOS 移动设备管理注册 iOS 配置文件 SHTP 注册 SHTP 配置 WindowsTablet 注册 WindowsTablet 配置 Windows11 版本支持的网络设备 策略除外 证书吊销 有三种类型的吊销。 • 内部吊销:内部吊销影响由 EndpointManagement 维护的证书状态。重新评估提供的证书时,或者提供证书 的 OCSP 状态信息时, EndpointManagement 会考虑此状态。凭据提供程序配置决定在各种条件下此状态 受到的影响。例如,凭据提供程序可以指定从设备中删除证书后将这些证书标记为已吊销。 • • 外部传播的吊销:又称 “ 吊销 EndpointManagement” ,这种类型的吊销适用于从外部 PKI 获取的证书。在 凭据提供程序配置定义的条件下, EndpointManagement 在内部吊销证书时也会在 PKI 上吊销该证书。 PKI” ,这种类型的吊销也仅适用于从外部 PKI 获取的证书。每次 Endpoint Management 评估指定证书的状态时, EndpointManagement 都将向 PKI 查询该状态。如果证书已吊销, EndpointManagement 将在内部吊销该证书。此机制使用 OCSP 协议。 外部引起的吊销:又称 “ 吊销 这三种类型并不互斥,而是可以一起应用。外部吊销或独立查询结果可能会导致内部吊销。内部吊销会潜在影响外部吊 销。 ©1999 – 2023CloudSoftwareGroup,htsreserved.161 CitrixEndpointManagement 证书续订 证书续订由吊销现有证书和颁发另一个证书两个过程组成。 EndpointManagement 将首先尝试获取新证书,然后再吊销之前的证书,以避免在颁发失败时造成服务中断。如果 采用分散式(支持 SCEP )交付,仅当证书成功安装到设备后再进行吊销。否则,将在新证书发送给设备之前进行吊销。 这种吊销与证书是否安装成功无关。 配置吊销时,需要指定特定的持续时间(天)。如果设备已连接,服务器将验证证书的 “ NotAfter ” 日期是否晚于当前 日期减去指定的持续时间。如果证书满足该条件, EndpointManagement 将尝试续订该证书。 创建凭据提供程序 凭据提供程序的配置方式有多种,主要取决于为其选择的颁发实体和颁发方法。可以将使用内部实体或外部实体的凭据 提供程序区分开来: • 任意实体属于内部实体,位于 EndpointManagement 内部。任意实体的颁发方法始终为签名。签名意味着, 在执行每个颁发操作时, EndpointManagement 都将使用为该实体选择的 CA 证书给新密钥对签名。该密钥 对是在设备上生成还是在服务器上生成取决于所选的分发方法。 • 1. 2. 外部实体包括 MicrosoftCA ,属于您的企业基础结构的一部分。 在 EndpointManagement 控制台中,单击右上角的齿轮图标,然后单击设置 > 凭据提供程序。 在凭据提供程序页面上,单击添加。 此时将显示凭据提供程序 : 常规信息页面。 3. 在凭据提供程序 : 常规信息页面上,执行以下操作: • • • • • 名称:为新提供程序配置键入唯一名称。此名称之后将用于在 EndpointManagement 控制台的其他部 分标识该配置。 说明:凭据提供程序的说明。尽管此字段为可选字段,但说明可以提供有关此凭据提供程序的有用详细信 息。 颁发实体:单击凭据颁发实体。 颁发方法:单击签名或提取以选择系统用于从已配置的实体获取证书的方法。对于客户端证书身份验证, 请使用签名。 如果模板列表可用,请为凭据提供程序选择您在 PKI 实体下添加的模板。 在设置 >PKI 实体中添加 Microsoft 证书服务实体时,这些模板将变为可用。 4. 单击下一步。 此时将显示凭据提供程序 : 证书签名请求页面。 5. 在凭据提供程序 : 证书签名请求页面上,根据您的证书配置来配置以下各项: • 密钥算法:选择用于获取新密钥对的密钥算法。可用值为 RSA 、 DSA 和 ECDSA 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.162 CitrixEndpointManagement • 密钥大小:键入密钥对的大小(以位为单位)。此字段为必填字段。 允许的值取决于密钥类型。例如, DSA 密钥的最大大小为 2048 位。为避免出现错误的负值(取决于基础 硬件和软件), EndpointManagement 不强制实施密钥大小。应始终先在测试环境中测试凭据提供程 序配置,然后在生产环境中激活这些配置。 • • 签名算法:单击用于新证书的值。值取决于密钥算法。 使用者名称:必填。键入新证书使用者的标识名 (DN) 。例如: CN=${me},OU=${ment},O=${yname },C=${user.c}endquotation Forexample,forclientcertificateauthentication,usethesesettings: – – – – • Keyalgorithm:RSA Keysize:2048 Signaturealgorithm:SHA256withRSA Subjectname: cn=$me 要向使用者备用名称表中添加新条目,请单击添加。选择备用名称的类型,然后在第二列中键入一个值。 对于客户端证书身份验证,请指定以下设置: – – 类型:用户主体名称 值: $incipalname 与 “ 使用者名称 ” 相同,可以在值字段中使用 EndpointManagement 宏。 6. 单击下一步。 此时将显示凭据提供程序 : 分发页面。 7. 在凭据提供程序 : 分发页面上,执行以下操作: • • 在颁发 CA 证书列表中,单击提供的 CA 证书。由于凭据提供程序使用任意 CA 实体,因此该凭据提供程序 的 CA 证书将始终为在该实体上配置的 CA 证书。 CA 证书在此显示是为了与使用外部实体的配置保持一致。 在选择分发模式中,单击以下生成和分发密钥方式中的一种: – 首选集中式 : 服务器端密钥生成: Citrix 建议采用此集中式选项。它支持 EndpointManagement 支持的所有平台,并且在使用 CitrixGateway 身份验证时也需要使用此模式。在服务器上生成并存 储私钥,然后分发到用户设备。 – 首选分布式 : 设备端密钥生成:在用户设备上生成并存储私钥。此分布式模式使用 SCEP 并需要采 用 keyUsagekeyEncryption 的 RA 加密证书和采用 KeyUsagedigitalSignature 的 RA 签名 证书。同一个证书可以同时用于加密和签名。 – 仅限分布式 : 设备端密钥生成:此选项与 “ 首选分布式 : 设备端密钥生成 ” 的工作方式相同,但是此选 项是 “ 仅限 ” 而非 “ 首选 ” ,当设备端生成密钥失败或不可用时,没有其他选项可用。 如果选择首选分布式 : 设备端密钥生成或仅限分布式 : 设备端密钥生成,请单击 RA 签名证书和 RA 加密证书。同 一个证书可用于这两个目的。此时将显示有关这些证书的新字段。 ©1999 – 2023CloudSoftwareGroup,htsreserved.163 CitrixEndpointManagement 8. 单击下一步。 此时将显示凭据提供程序 : 吊销 EndpointManagement 页面。在此页面上,配置 EndpointManagement 在内部将通过此提供程序配置颁发的证书标记为吊销的条件。 9. 在凭据提供程序 : 吊销 EndpointManagement 页面上,执行以下操作: • • • 在吊销已颁发的证书中,选择一个表明何时应吊销证书的选项。 要指示 EndpointManagement 在吊销证书时发送通知,请将发送通知的值设置为开并选择通知模板。 要在从 EndpointManagement 吊销证书后在 PKI 上吊销该证书,请将吊销 PKI 上的证书设置为 开,并在实体列表中,单击某个模板。实体列表将显示具有吊销功能的所有可用实体。从 Endpoint Management 吊销证书后,吊销调用将发送给在实体列表中选择的 PKI 。 10. 单击下一步。 此时将显示凭据提供程序 : 吊销 PKI 页面。请在此页面上指出吊销证书时应对 PKI 执行的操作。您还可以选择创 建通知消息。 11. 在凭据提供程序 : 吊销 PKI 页面上,如果要从 PKI 吊销证书,请执行以下操作: • • 将启用外部吊销检查设置更改为开。此时将显示更多与吊销 PKI 相关的字段。 在 OCSP 响应者 CA 证书列表中,单击证书使用者的标识名 (DN) 。 可以为 DN 字段值使用 EndpointManagement 宏。例如: CN=${me},OU =${ment},O=${yname},C=${user.c} endquotation • 在吊销证书时列表中,单击吊销证书时对 PKI 实体执行的以下操作之一: – – – • 不执行任何操作。 续订证书。 吊销和擦除设备。 要指示 EndpointManagement 在吊销证书时发送通知,请将发送通知的值设置为开。 可以从两个通知选项中选择: • • 12. 如果选择选择通知模板,则可以选择预先写好的通知消息,且之后可以进行自定义。这些模板位于通知模 板列表中。 如果选择输入通知详细信息,则可以自行编写通知消息。除了提供收件人的电子邮件地址和消息,还可以 设置发送通知的频率。 单击下一步。 此时将显示凭据提供程序 : 续订页面。在此页面上,可以将 EndpointManagement 配置为执行以下操作: • • 续订证书。可以选择在续订时发送通知,以及选择从操作中排除已过期的证书。 为即将过期的证书发送通知(续订前通知)。 ©1999 – 2023CloudSoftwareGroup,htsreserved.164 CitrixEndpointManagement 13. 在凭据提供程序 : 续订页面上,如果要在证书过期时进行续订,请执行以下操作: 将在证书过期时续订设置为开。此时将显示更多字段。 • 在证书在此时间内提供时续订字段中,键入在过期前多少天续订证书。 • (可选)选择不续订已过期的证书。在此情况下, “ 已过期 ” 表示证书的 “ NotAfter ” 日期在过去,不是指 证书已被吊销。在内部吊销证书后, EndpointManagement 不会续订这些证书。 EndpointManagement 在续订证书时发送通知,请将发送通知设置为开。要指示 Endpoint Management 在证书接近过期时发送通知,请将证书即将过期时通知设置为开。 要指示 对于其中任一选择方式,可以从两个通知选项中选择: • • 选择通知模板:选择预先写好的通知消息,且之后可以进行自定义。这些模板位于通知模板列表中。 输入通知详细信息:自行编写通知消息。提供收件人电子邮件地址、消息和频率,以便发送通知。 在证书在此时间内提供时通知字段中,键入在证书过期前多少天发送通知。 14. 单击保存。 凭据提供程序将显示在 “ 凭据提供程序 ” 表中。 APNs 证书 July7,2023 要在 EndpointManagement 中注册并管理 Apple 设备,请设置 Apple 提供的 Apple 推送通知服务 (APNs) 证书。 该证书通过 Apple 推送网络实现移动设备管理。 工作流程摘要: 步骤 1 :通过以下任一方法创建证书签名请求 (CSR) : • • • 在 macOS 上使用钥匙串访问创建 CSR ( Citrix 推荐) 使用 MicrosoftIIS 创建 CSR 使用 OpenSSL 创建 CSR 步骤 2 :在 EndpointManagement 工具中签署 CSR 步骤 3 :将签名的 CSR 提交给 Apple 以获取 APNs 证书 步骤 4 :使用执行步骤 1 的同一台计算机,完成 CSR 并导出 PKCS#12 文件: • • • 在 macOS 上使用钥匙串访问创建 PKCS#12 文件 使用 MicrosoftIIS 创建 PKCS#12 文件 使用 OpenSSL 创建 PKCS#12 文件 步骤 5 :将 APNs 证书导入 EndpointManagement 步骤 6 :续订 APNs 证书 ©1999 – 2023CloudSoftwareGroup,htsreserved.165 CitrixEndpointManagement 创建证书签名请求 我们建议您在 macOS 上使用钥匙串访问来创建 CSR 。还可以通过 MicrosoftIIS 或 OpenSSL 创建 CSR 。 重要: • 对于用于创建证书的 AppleID : –TheAppleIDmustbeacorporateIDandnotapersonalID. –RecordtheAppleIDthatyouusetocreatethecertificate. –Torenewyourcertificate,differ‑ entAppleIDtorenewthecertificaterequiredevicere‑enrollment. • • 如果您无意或有意吊销了该证书,则无法管理自己的设备。 如果使用 iOSDeveloperEnterpriseProgram 创建移动设备管理器推送证书:请务必在 ApplePush CertificatesPortal 中处理面向迁移的证书的任何操作。 在 macOS 上使用钥匙串访问创建 CSR 1. 在运行 macOS 的计算机上,在应用程序 > 实用工具下方,启动钥匙串访问应用程序。 2. 打开钥匙串访问菜单,然后单击证书助理 > 从证书颁发机构请求证书。 3.“ 证书助理 ” 将提示您输入以下信息: • 电子邮件地址:管理证书的个人或角色帐户的电子邮件地址。 • 常用名称:管理证书的个人或角色帐户的公用名称。 •CA 电子邮件地址:证书颁发机构的电子邮件地址。 4. 选择存储到磁盘和让我指定密钥对信息选项,然后单击继续。 5. 输入 CSR 文件的名称,在您的计算机上保存此文件,然后单击保存。 6. 指定密钥对信息:选择密钥大小 2048 位以及 RSA 算法,然后单击继续。作为 APNs 证书流程的一部分, CSR 文件已可供上载。 7. 8. 证书助理完成 CSR 流程后,单击完成。 要继续,请签署 CSR 。 使用 MicrosoftIIS 创建 CSR 生成 APNs 证书请求的第一步是创建证书签名请求 (CSR) 。对于 Windows ,请通过使用 MicrosoftIIS 生成 CSR 。 1. 2. 3. 4. 打开 MicrosoftIIS 。 双击 IIS 的服务器证书图标。 在服务器证书窗口中,单击创建证书申请。 键入适当的唯一判别名 (DN) 信息。例如,您可以键入 EndpointManagement 服务器的完全限定域名 (FQDN) ,例如 。然后,单击下一步。 5. 为加密服务提供程序选择 MicrosoftRSASChannelCryptographicProvider ,并为位长度选择 2048 , 然后单击下一步。 ©1999 – 2023CloudSoftwareGroup,htsreserved.166 CitrixEndpointManagement 6. 7. 输入文件名并指定 CSR 的保存位置,然后单击完成。 要继续,请签署 CSR 。 使用 OpenSSL 创建 CSR 如果无法使用 macOS 设备或 MicrosoftIIS 生成 CSR ,请使用 OpenSSL 。可以从 OpenSSLWeb 站点下载并安装 OpenSSL 。 1. 在安装 OpenSSL 的计算机上,通过命令提示符或 shell 运行以下命令。 csr-newkeyrsa:2048 – outCompanyAPNScertificate. 2. 此时将显示以下要求证书命名信息的消息。根据请求输入信息。 1Youareabouttobeaskedtoenterinformationthatwillbe incorporatedintoyourcertificaterequest. 2WhatyouareabouttoenteriswhatiscalledaDistinguishedName oraDN. 3Therearequiteafewfieldsbutyoucanleavesomeblank 4Forsomefieldstherewillbeadefaultvalue, 5Ifyouenter'.',thefieldwillbeleftblank. 6----- 7CountryName(2lettercode)[AU]:US 8StateorProvinceName(fullname)[Some-State]:CA 9LocalityName(eg,city)[]:RWC 10OrganizationName(eg,company)[InternetWidgitsPtyLtd]: Customer 11OrganizationalUnitName(eg,section)[:Marketing 12CommonName(eg,YOURname)[]:JohnDoe 13EmailAddress[]:@ 14 3. 在下一条消息中,输入 CSR 私钥的密码。 1 2 3 4 5 Pleaseenterthefollowing'extra'attributes tobesentwithyourcertificaterequest Achallengepassword[]: Anoptionalcompanyname[]: 4. 要继续,请按照下一节中的说明为 CSR 签名。 ©1999 – 2023CloudSoftwareGroup,htsreserved.167 CitrixEndpointManagement 为 CSR 签名 要将证书与 EndpointManagement 一起使用,必须将其提交给 Citrix 进行签名。 Citrix 使用其移动设备管理签名 证书给 CSR 签名并返回 .plist 格式的已签名文件。 1. 在浏览器中,转到 EndpointManagement 工具网站,然后单击请求推送通知证书签名。 2. 在创建新证书页面上,单击上载 CSR 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.168 CitrixEndpointManagement 3. 浏览并选择证书。 重要: 证书必须为 .pem/txt 格式。如果需要,通过右键单击并重命名该文件,将证书的文件扩展名更改为 .pem 或 .txt 。 4. 5. 在 EndpointManagementAPNsCSRSigning ( EndpointManagementAPNsCSR 签名)页面上, 单击 Sign (签名)。将为 CSR 签名并将签名后的 CSR 自动保存到已配置的下载文件夹。 要继续,请按照下一节中的说明提交签名的 CSR 。 将签名后的 CSR 提交给 Apple 以获取 APNs 证书 Citrix 签名的证书签名请求 (CSR) 后,将 CSR 提交给 Apple 以获取导入 EndpointManagement 所需的 APNs 证书。 收到 注意: 有些用户报告登录 Apple 推送门户时遇到问题。作为替代方法,您可以登录 Apple 开发者门户。然后,您可以按 ©1999 – 2023CloudSoftwareGroup,htsreserved.169 CitrixEndpointManagement 照以下步骤进行操作: 1. 2. 3. 4. 5. 6. 在浏览器中,转到 Apple 推送证书门户。 单击 CreateaCertificate (创建证书)。 首次使用 Apple 创建证书:选中 Ihavereadandagreetothesetermsandconditions (我已阅读并 同意这些条款和条件)复选框,然后单击 Accept (接受)。 单击 ChooseFile (选择文件),浏览到计算机上已签名的 CSR ,然后单击 Upload (上载)。此时将显示一条 确认消息,指示上载成功。 单击 Download (下载)以检索 .pem 证书。 要继续,请完成 CSR 并导出 PKCS#12 文件,如下一节中所述。 完成 CSR 并导出 PKCS#12 文件 收到 Apple 提供的 APNs 证书后,返回到钥匙串访问、 MicrosoftIIS 或 OpenSSL 以将证书导出到 PCKS#12 文件 中。 PKCS#12 文件包含 APNS 证书文件和您的私钥。 PFX 文件的扩展名通常为 .pfx 或 .p12 。可以互换使用 .pfx 和 .p12 文件。 重要: Citrix 建议您保存或导出本地系统中的个人密钥和公钥。您需要密钥来访问 APNs 证书以便重复使用。如果没有 相同的密钥,您的证书无效,您必须重复执行整个 CSR 和 APNs 过程。 在 macOS 上使用钥匙串访问创建 PKCS#12 文件 重要: 在此任务中使用的 macOS 设备应与生成 CSR 时使用的 macOS 设备相同。 1. 2. 3. 4. 5. 6. 7. 8. 在设备上,找到从 Apple 收到的生产标识 (.pem) 证书。 启动钥匙串访问应用程序并导航到登录 > 我的证书选项卡。将产品标识证书拖放到打开的窗口中。 单击证书并展开左箭头以验证证书是否包含关联的私钥。 要开始将证书导出到 PCKS#12(.pfx) 证书中,请选择证书和私钥,单击鼠标右键,然后选择导出 2 个项目。 使用唯一的名称为证书文件命名,以便在 EndpointManagement 中使用。请勿在名称中包含空格字符。然 后,为保存的证书选择一个文件夹位置,选择 .pfx 文件格式,然后单击保存。 输入用于导出证书的密码。 Citrix 建议使用具有唯一性的强密码。还要确保证书和密码的安全性,以供以后使用 和引用。 钥匙串访问应用程序将提示您输入登录密码或选定的钥匙串。键入密码,然后单击确定。保存的证书现在即可用 于 EndpointManagement 服务器。 要继续,请参阅将 APNs 证书导入 EndpointManagement 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.170 CitrixEndpointManagement 使用 MicrosoftIIS 创建 PKCS#12 文件 重要: 在此任务中使用的 IIS 服务器应与生成 CSR 时使用的 IIS 服务器相同。 1. 2. 3. 4. 5. 6. 打开 MicrosoftIIS 。 单击服务器证书图标。 在服务器证书窗口中,单击完成证书申请。 浏览至来自 Apple 的 文件。然后,键入友好名称或证书名称,并单击确定。请勿在名称中包 含空格字符。 选择在步骤 4 中找到的证书,然后单击导出。 指定 .pfx 证书的位置和文件名以及密码,然后单击确定。 您需要证书的密码才能将其导入 EndpointManagement 。 7. 8. 将 .pfx 证书复制到计划安装 EndpointManagement 的服务器上。 要继续,请参阅将 APNs 证书导入 EndpointManagement 。 使用 OpenSSL 创建 PKCS#12 文件 如果您使用 OpenSSL 创建 CSR ,还可以使用 OpenSSL 创建 .pfxAPNs 证书。 下,运行以下命令。 是来自您的 CSR 的私钥。 APNs_ 是您刚刚从 Apple 收到的证书。 在命令提示符或 opensslpkcs12-export-inAPNs_ekey .pem-outapns_ 2. 3. 4. 输入 .pfx 证书文件的密码。记住此密码,因为在将证书上载到 EndpointManagement 时要再次使用该密码。 记下 .pfx 证书文件的位置。然后,将该文件复制到 EndpointManagement 服务器中,以便可以使用控制台 上载文件。 要继续,请将 APNs 证书导入 EndpointManagement ,如下一节中所述。 将 APNs 证书导入 EndpointManagement 在收到新 APNs 证书后:将 APNs 证书导入 EndpointManagement ,以便首次添加该证书或者替换证书。 1. 2. 3. 4. 在 EndpointManagement 控制台中,转至设置 > 证书。 单击导入 > 密钥库。 在用作中,选择 APNs 。 浏览到计算机上的 .pfx 或 .p12 文件。 ©1999 – 2023CloudSoftwareGroup,htsreserved.171 CitrixEndpointManagement 5. 输入密码,然后单击导入。 有关 EndpointManagement 中证书的更多信息,请参阅证书和身份验证。 续订 APNs 证书 重要: 如果您在续订过程中使用其他 AppleID ,则必须重新注册用户设备。 要续订 APNs 证书,请执行创建证书的步骤,然后前往 Apple 推送证书门户。使用该门户上载新证书。登录后,将显示 您的现有证书或者从您之前的 Apple 开发人员帐户导入的证书。 在 CertificatesPortal 中,续订证书的唯一区别是要单击 Renew (续订)。您必须在 CertificatesPortal 上拥有开 发人员帐户才能访问该站点。要续订证书,请使用相同的组织名称和 AppleID 。 要确定 APNs 证书的过期时间,请在 EndpointManagement 控制台中转至设置 > 证书。如果证书过期,请不要吊 销。 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 使用 MicrosoftIIS 、钥匙串访问 (macOS) 或 OpenSSL 生成 CSR 。有关生成 CSR 的更多信息,请参阅创建 证书签名请求。 在浏览器中,转到 EndpointManagement 工具。然后,单击 Requestpushnotificationcertificate signature (申请推送通知证书签名)。 单击 +UploadtheCSR ( + 上载 CSR )。 在对话框中,导航到 CSR ,单击 Open (打开),然后单击 Sign (签名)。 收到 .plist 文件时,将其保存。 在步骤 3 标题中,单击 ApplePushCertificatesPortal 并登录。 选择要续订的证书,然后单击 Renew (续订)。 上载 .plist 文件。您将收到输出文件 .pem 。保存 .pem 文件。 使用该 .pem 文件完成 CSR (根据您在步骤 1 中创建 CSR 时使用的方法)。 将证书导出为 .pfx 文件。 在 EndpointManagement 控制台中,导入 .pfx 文件并按如下所示完成配置: 1. 2. 3. 4. 转到设置 > 证书 > 导入。 在导入菜单中,选择密钥库。 从密钥库类型菜单中,选择 PKCS#12 。 在用作中,选择 APNs 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.172 CitrixEndpointManagement 5. 6. 7. 8. 对于密钥库文件,单击浏览并导航到该文件。 在密码中,键入证书密码。 键入可选说明。 单击导入。 EndpointManagement 将您重定向回证书页面。名称、状态、有效期开始时间和有效期结束时间字段将更新。 SAML 单点登录与 CitrixFiles November26,2021 重要: 本文仅适用于未启用 Workspace 的 EndpointManagement 环境。在启用了 Workspace 的环境中, Content Collaboration 直接与 CitrixWorkspace 集成。 ©1999 – 2023CloudSoftwareGroup,htsreserved.173 CitrixEndpointManagement 可以将 EndpointManagement 和 ContentCollaboration 配置为使用安全声明标记语言 (SAML) 来提供对 Citrix Files 移动应用程序的单点登录 (SSO) 访问。此功能包括: • • • 使用 MDXToolkit 启用或封装 MAMSDK 的 CitrixFiles 应用程序 未封装的 CitrixFiles 客户端,例如 Web 站点、 Outlook 插件或同步客户端 对于封装的 CitrixFiles 应用程序:登录到 CitrixFiles 的用户将被重定向到 SecureHub 以进行用户身份 验证并获取 SAML 令牌。成功进行身份验证后, CitrixFiles 移动应用程序会将 SAML 令牌发送到 Content Collaboration 。初始登录后,用户可以通过 SSO 访问 CitrixFiles 移动应用程序。还可以将附件从 Content Collaboration 附加到 SecureMail 邮件,而不需要每次都登录。 • 对于非封装的 CitrixFiles 客户端:使用 Web 浏览器或其他 CitrixFiles 客户端登录到 CitrixFiles 的用户将 被重定向到 EndpointManagement 。 EndpointManagement 对用户进行身份验证,然后用户获取发送到 ContentCollaboration 的 SAML 令牌。初始登录后,用户可以通过 SSO 访问 CitrixFiles 客户端,而不需 要每次都登录。 要将 EndpointManagement 作为 SAML 身份提供程序 (IdP) 用于 ContentCollaboration ,必须将 Endpoint Management 配置与 Enterprise 帐户结合使用,如本文中所述。或者,可以将 EndpointManagement 配置为只 与存储区域连接器一起使用。有关详细信息,请参阅 ContentCollaboration 与 EndpointManagement 结合使 用。 有关详细的参考体系结构图,请参阅体系结构。 必备条件 先完成以下必备条件,才能对 EndpointManagement 和 CitrixFiles 应用程序配置 SSO : •MAMSDK 或兼容版本的 MDXToolkit (适用于 CitrixFiles 移动应用程序)。 有关详细信息,请参阅 EndpointManagement 兼容性。 • 兼容版本的 CitrixFiles 移动应用程序和 SecureHub 。 •ContentCollaboration 管理员帐户。 • 通过验证的 EndpointManagement 与 ContentCollaboration 之间的连接。 配置 ContentCollaboration 访问权限 在为 ContentCollaboration 设置 SAML 之前,请按以下方式提供 ContentCollaboration 访问信息: 1. 在 EndpointManagementWeb 控制台中,单击配置 >ContentCollaboration 。此时将显示 Content Collaboration 配置页面。 ©1999 – 2023CloudSoftwareGroup,htsreserved.174 CitrixEndpointManagement 2. 配置以下设置: • 域:键入您的 ContentCollaboration 子域名。例如: 。 • 分配给交付组:选择或搜索希望能够对 ShareFile 使用 SSO 的交付组。 •ContentCollaboration 管理员帐户登录 • 用户名:键入 ContentCollaboration 管理员用户名。此用户必须具有管理员权限。 • 密码:键入 ContentCollaboration 管理员密码。 • 用户帐户预配:保留此设置处于禁用状态。使用 CitrixContentCollaboration 用户管理工具进行用户 预配。请参阅预配用户帐户和通讯组。 3. 4. 单击测试连接按钮以确认 ContentCollaboration 管理员帐户的用户名和密码是否可以向指定的 Content Collaboration 帐户进行身份验证。 单击保存。 •EndpointManagement 将与 ContentCollaboration 同步并更新 ContentCollaboration 设置 ShareFile 颁发者 / 实体 ID 和登录 URL 。 • 配置 >ContentCollaboration 页面将显示应用程序内部名称。您需要该名称才能完成后面在修改 设置中介绍的步骤。 ©1999 – 2023CloudSoftwareGroup,htsreserved.175 CitrixEndpointManagement 为封装的 CitrixFilesMDX 应用程序设置 SAML 对于包含通过 MAMSDK 准备的 CitrixFiles 应用程序的单点登录配置,您无需使用 CitrixGateway 。要为未封装的 CitrixFiles 客户端(例如 Web 站点、 Outlook 插件或同步客户端)配置访问权限,请参阅为其他 CitrixFiles 客户 端配置 CitrixGateway 。 要为封装的 CitrixFilesMDX 应用程序配置 SAML ,请执行以下操作: 1. 2. 3. 4. 5. 下载适用于 EndpointManagement 的 CitrixContentCollaboration 客户端。请参阅 下载。 通过 MAMSDK 准备 CitrixFiles 移动应用程序。有关详细信息,请参阅 MAMSDK 概述。 在 EndpointManagement 控制台中,上载准备的 CitrixFiles 移动应用程序。有关上载 MDX 应用程序的信 息,请参阅将 MDX 应用程序添加到 EndpointManagement 。 验证 SAML 设置:使用在前面配置的管理员用户名和密码登录 ContentCollaboration 。 确认为 ContentCollaboration 和 EndpointManagement 配置了相同的时区。确保 EndpointManage‑ ment 按配置的时区显示正确时间。如果不正确, SSO 可能会失败。 验证 CitrixFiles 移动应用程序 1. 2. 3. 在用户设备上,安装和配置 SecureHub 。 从应用商店下载并安装 CitrixFiles 移动应用程序。 启动 CitrixFiles 移动应用程序。 CitrixFiles 将启动,但不提示输入用户名和密码。 使用 SecureMail 验证 1. 2. 3. 在用户设备上,如果尚未安装和配置 SecureHub ,请进行安装和配置。 从应用商店下载、安装并设置 SecureMail 。 打开新的电子邮件窗体,并轻按从 ShareFile 附加。此时将显示可以附加到电子邮件中的文件,但不提示输入 用户名或密码。 为其他 CitrixFiles 客户端配置 CitrixGateway 要配置对未封装的 CitrixFiles 客户端(例如 Web 站点、 Outlook 插件或同步客户端)的访问,请将 CitrixGateway 配置为支持将 EndpointManagement 用作 SAML 身份提供程序,如下所示。 • • • 禁用主页重定向。 创建 CitrixFiles 会话策略和配置文件。 在 CitrixGateway 虚拟服务器上配置策略。 ©1999 – 2023CloudSoftwareGroup,htsreserved.176 CitrixEndpointManagement 禁用主页重定向 对通过 /cginfra 路径发出的请求禁用默认行为。执行该操作后,用户将看到最初请求的内部 URL ,而非配置的主页。 1. 编辑用于 EndpointManagement 登录的 CitrixGateway 虚拟服务器的设置。在 CitrixGateway 中,转至 OtherSettings (其他设置),然后取消选中标签为 RedirecttoHomePage (重定向到主页)的复选框。 2. 3. 在 ShareFile (现在称为 ContentCollaboration )下方,键入 EndpointManagement 内部服务器的名 称和端口号。 在 CitrixEndpointManagement 下,键入您的 EndpointManagementURL 。 此配置授权您向通过 /cginfra 路径输入的 URL 发送请求。 创建 CitrixFiles 会话策略并请求配置文件 请配置以下设置以创建 CitrixFiles 会话策略并请求配置文件: 1. 2. 3. 4. 在 CitrixGateway 配置实用程序的左侧导航窗格中单击 NetScalerGateway>Policies (策略) >Session (会话)。 创建会话策略。在 Policies (策略)选项卡上,单击 Add (添加)。 在 Name (名称)字段中,键入 ShareFile_Policy 。 + 按钮创建操作。此时将显示 CreateNetScalerGatewaySessionProfile (创建 NetScaler Gateway 会话配置文件)页面。 单击 ©1999 – 2023CloudSoftwareGroup,htsreserved.177 CitrixEndpointManagement 配置以下设置: •Name (名称):键入 ShareFile_Profile 。 • 单击 ClientExperience (客户端体验)选项卡,然后配置以下设置: –HomePage (主页):键入 none (无)。 –SessionTime‑out(mins) (会话超时 ( 分钟 ) ):键入 1 。 –SingleSign‑ontoWebApplications (单点登录到 Web 应用程序):选择此设置。 –CredentialIndex (凭据索引):单击 PRIMARY (主要)。 • 单击 PublishedApplications (已发布的应用程序)选项卡。 ©1999 – 2023CloudSoftwareGroup,htsreserved.178 CitrixEndpointManagement 配置以下设置: •ICAProxy ( ICA 代理):单击 ON (开)。 •WebInterfaceAddress ( WebInterface 地址):键入 EndpointManagement 服务器的 URL 。 •SingleSign‑onDomain (单点登录域):键入 ActiveDirectory 的域名。 配置 CitrixGateway 会话配置文件时, SingleSign‑onDomain (单点登录域)的域后缀必须与在 LDAP 中定义的 EndpointManagement 域别名匹配。 5. 6. 单击 Create (创建)以定义会话配置文件。 单击 ExpressionEditor (表达式编辑器)。 ©1999 – 2023CloudSoftwareGroup,htsreserved.179 CitrixEndpointManagement 配置以下设置: •Value (值):键入 NSC_FSRD 。 •HeaderName (标头名称):键入 COOKIE 。 7. 单击 Create (创建),然后单击 Close (关闭)。 在 CitrixGateway 虚拟服务器上配置策略 在 CitrixGateway 虚拟服务器上配置以下设置。 1. 2. 3. 4. 在 CitrixGateway 配置实用程序的左侧导航窗格中单击 NetScalerGateway>VirtualServers (虚拟服 务器)。 在 Details (详细信息)窗格中,单击 CitrixGateway 虚拟服务器。 单击编辑。 单击 Configuredpolicies (已配置的策略) >Sessionpolicies (会话策略),然后单击 Addbinding (添 加绑定)。 ©1999 – 2023CloudSoftwareGroup,htsreserved.180 CitrixEndpointManagement 5. 6. 选择 ShareFile_Policy 。 编辑为选定策略自动生成的 Priority (优先级)编号,以便与列出的任何其他策略相比,其优先级最高(编号最 小)。例如: 7. 单击 Done (完成),然后保存运行的 CitrixGateway 配置。 修改 设置 针对 MDX 和非 MDXCitrixFiles 应用程序进行以下更改。 重要: 内部应用程序名称后附加了一个新编号: • • 每次编辑或重新创建 CitrixFiles 应用程序时 每次在 EndpointManagement 中更改 ContentCollaboration 设置时 因此,您还必须在 CitrixFilesWeb 站点中更新登录 URL ,以反映更新后的应用程序名称。 1. 2. 3. 以 ContentCollaboration 管理员身份登录到您的 ContentCollaboration 帐户 ( < subdomain>. ) 。 在 ContentCollaborationWeb 界面中,单击 Admin (管理),然后选择 ConfigureSingleSign‑on (配 置单点登录)。 按如下所示编辑 LoginURL (登录 URL ): 下面是编辑之前的 LoginURL (登录 URL )示例: /samlsp/websso. do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.181 CitrixEndpointManagement •EndpointManagement 服务器 FQDN 前面插入 CitrixGateway 虚拟服务器的外部 FQDN 和 /cginfra/https/ ,然后在 EndpointManagementFQDN 后面添加 8443 。 在 下面是编辑后的 URL 示例: /cginfra/https/xms .:8443/samlsp/?action=authenticateUser&app= ShareFile_SAML_SP&reqtype=1 • 将参数 &app=ShareFile_SAML_SP 更改为内部 CitrixFiles 应用程序名称。默认情况下,内部名称为 ShareFile_SAML 。但是,每次更改配置时,都会向内部名称附加一个数字( ShareFile_SAML_2 、 ShareFile_SAML_3 等)。可以在配置 >ContentCollaboration 页面上查找应用程序内部名称。 下面是编辑后的 URL 示例: /cginfra/https/xms .:8443/samlsp/?action=authenticateUser&app= ShareFile_SAML&reqtype=1 • 向 URL 的末尾添加 &nssso=true 。 下面是最终 URL 示例: /cginfra/https/xms .:8443/samlsp/?action=authenticateUser&app= ShareFile_SAML&reqtype=1&nssso=true 。 4. 在 OptionalSettings (可选设置)下方,选中 EnableWebAuthentication (启用 Web 身份验证)复 选框。 ©1999 – 2023CloudSoftwareGroup,htsreserved.182 CitrixEndpointManagement 验证配置 请执行以下配置以验证设置。 1. 在浏览器中访问 。 系统会将您重定向到 CitrixGateway 登录表单。如果未被重定向,请验证前面的配置设置。 2. 输入所配置的 CitrixGateway 和 EndpointManagement 环境的用户名和密码。 此时将在 下显示您的 CitrixFiles 文件夹。如果未显示您的 CitrixFiles 文件夹,请确保您输入了正确的登录凭据。 通过 CitrixCloud 使用 AzureActiveDirectory 进行身份验证 October18,2022 EndpointManagement 支持通过 CitrixCloud 使用 AzureActiveDirectory(AzureAD) 凭据进行身份验证。此 身份验证方法仅适用于通过 CitrixWorkspace 应用程序或 CitrixSecureHub 注册 MDM 的用户。如果 Endpoint Management 已启用工作区,则用户可从 CitrixWorkspace 应用程序访问资源。如果您未启用 CitrixWorkspace 与 CitrixEndpointManagement 的集成,则用户可以从 SecureHub 访问资源。 在 MAM 中注册的设备无法通过 CitrixCloud 使用 AzureAD 凭据进行身份验证。要将 SecureHub 与 MDM+MAM EndpointManagement 配置为使用 CitrixGateway 进行 MAM 注册。有关更多信息,请参阅 CitrixGateway 和 EndpointManagement 。 结合使用,请将 EndpointManagement 使用 CitrixCloud 服务、 Citrix 身份与 AzureActiveDirectory 联盟。 Citrix 建议您使 用 Citrix 身份提供程序来代替与 AzureActiveDirectory 直接连接。 ©1999 – 2023CloudSoftwareGroup,htsreserved.183 CitrixEndpointManagement EndpointManagement 支持以下平台使用 AzureAD 进行身份验证: • • • 未在 Apple 商务管理或 Apple 校园教务管理中注册的 iOS 和 macOS 设备 在 Apple 商务管理中注册的 iOS 和 macOS 设备 适用于 BYOD 和完全托管模式的 AndroidEnterprise 设备(预览版) 通过 CitrixCloud 使用 AzureAD 进行身份验证具有以下限制: • • 不适用于 EndpointManagement 本地帐户。 不支持通过 AzureAD 对注册邀请进行身份验证。如果您向用户发送了一个包含注册 URL 的注册邀请,用户将 通过 LDAP 进行身份验证,而非通过 AzureAD 。 必备条件 • • • • • AzureActiveDirectory 用户凭据 ActiveDirectory 中的用户组必须与 AzureActiveDirectory 中的用户组匹配。 ActiveDirectory 中的用户名和电子邮件地址必须与 AzureActiveDirectory 中的用户名和 CitrixCloud 帐户,安装了用于目录服务同步的 CitrixCloudConnector 。 CitrixGateway 。 Citrix 建议您启用基于证书的身份验证以实现完整的单点登录体验。如果您在 Citrix Gateway 上使用 LDAP 身份验证进行 MAM 注册,最终用户在注册期间会遇到双身份验证提示。有关详细信息, 请参阅客户端证书或证书加域身份验证。 如果 EndpointManagement 未启用 Workspace ,则为 SecureHub 。 如果 • •EndpointManagement 已启用 Workspace ,则 CitrixWorkspace 应用程序。有关启用 Citrix Workspace 集成的信息,请参阅 Workspace 配置。 • 在 AndroidEnterprise 的注册配置文件中,将允许用户拒绝设备管理设置为关闭。如果用户拒绝设备管理, 则无法使用身份提供商注册进行身份验证。有关详细信息,请参阅注册安全性。 可以在启用或不启用 Workspace 的情况下配置此功能。 如果 EndpointManagement 启用了 Workspace ,则配置 如果将 EndpointManagement 与 CitrixWorkspace 集成,则通过 CitrixCloud 使用 AzureAD 配置身份验证的 一般步骤如下: 1. 2. 将 CitrixCloud 配置为使用 AzureAD 作为身份提供程序。 将 AzureAD 配置为 CitrixWorkspace 的身份验证方法。 如果 EndpointManagement 未启用 Workspace ,则配置 如果未为 EndpointManagement 启用 CitrixWorkspace ,则通过 CitrixCloud 使用 AzureAD 配置身份验证的 一般步骤如下: 1. 2. 将 CitrixCloud 配置为使用 AzureAD 作为身份提供程序。 将 Citrix 身份配置为 EndpointManagement 的 IdP 类型。 ©1999 – 2023CloudSoftwareGroup,htsreserved.184 CitrixEndpointManagement 完成该配置后,已加入域的 SecureHub 用户可以使用 SecureHub 使用其 AzureAD 凭据登录。 SecureHub 对 MAM 设备使用客户端证书身份验证。 将 CitrixCloud 配置为使用 AzureActiveDirectory 作为您的身份提供程序 要将此服务设置为与 CitrixWorkspace 应用程序和 SecureHub 配合使用,请在 CitrixCloud 中配置 AzureActive Directory 。 1. 2. 3. 转到 并登录到您的 CitrixCloud 帐户。 在 CitrixCloud 菜单中,转至身份识别和访问管理页面并连接到 AzureActiveDirectory 。 键入您的管理员登录 URL ,然后单击连接。 4. 5. 登录后,您的 AzureActiveDirectory 帐户将连接到 CitrixCloud 。身份识别和访问管理 > 身份验证页面显 示哪些帐户用于登录您的 CitrixCloud 和 AzureAD 帐户。 要为通过 CitrixWorkspace 应用程序和 SecureHub 注册的用户启用 AzureAD 的身份验证,请在工作区配 置 > 身份验证下,选择 AzureActiveDirectory 。完成配置后,您可以通过 CitrixWorkspace 应用程序和 SecureHub 注册用户设备。 将 Citrix 身份配置为适用于 EndpointManagement 的 IdP 类型 此配置仅适用于通过 SecureHub 注册的用户。在 CitrixCloud 中配置 AzureActiveDirectory 后,请按如下所示 配置 EndpointManagement 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.185 CitrixEndpointManagement 1. 2. 在 EndpointManagement 控制台中,转至设置 > 身份提供程序 (IDP) ,然后单击添加。 在身份提供程序 (IDP) 页面上,配置以下内容: •IDP 名称:键入唯一名称以标识您正在创建的 IdP 连接。 •IDP 类型:选择 Citrix 身份平台。 • 身份验证域:选择 AzureActiveDirectory 。此域对应于 CitrixCloudWorkspace 配置 > 身份验证 页面上的身份提供程序域。 3. 单击下一步。在 IDP 声明使用情况页面上,配置以下内容: • 用户标识符类型:默认情况下,此字段设置为 userPrincipalName 。确保在本地活动目录和 Azure ActiveDirectoryActiveDirectory 中为所有用户配置相同的标识符。 EndpointManagement 使用 此标识符将身份提供商上的用户与本地 ActiveDirectory 用户映射。 • 4. 用户标识符字符串:此字段自动填充。 单击下一步,检查摘要页面,然后单击保存。 SecureHub 用户、 EndpointManagement 控制台和自助服务门户用户现在可以使用其 AzureActive Directory 凭据登录。 SecureHub 身份验证流程 EndpointManagement 使用以下流程在通过 SecureHub 注册的设备上使用 AzureAD 作为 IdP 对用户进行身份 验证: 1. 2. 3. 4. 5. 6. 用户开始使用 SecureHub 。 SecureHub 将身份验证请求传递到 Citrix 身份,该身份再将请求传递到 AzureActiveDirectory 。 用户键入 AzureActiveDirectory 用户名和密码。 AzureActiveDirectory 验证用户并将某个代码发送到 Citrix 身份。 Citrix 身份将该代码发送到 SecureHub ,后者再将该代码发送到 EndpointManagement 服务器。 EndpointManagement 通过使用代码和密码获取 ID 令牌,然后验证 ID 令牌中的用户信息。 Endpoint Management 返回会话 ID 。 通过 CitrixCloud 使用 Okta 进行身份验证 October18,2022 EndpointManagement 支持通过 CitrixCloud 使用 Okta 凭据进行身份验证。此身份验证方法仅适用于通过 Citrix Workspace 应用程序或 CitrixSecureHub 注册 MDM 的用户。如果 EndpointManagement 已启用工作区,则用 户可从 CitrixWorkspace 应用程序访问资源。如果您未启用 CitrixWorkspace 与 CitrixEndpointManagement 的集成,则用户可以从 SecureHub 访问资源。 ©1999 – 2023CloudSoftwareGroup,htsreserved.186 CitrixEndpointManagement 在 MAM 中注册的设备无法通过 CitrixCloud 使用 Okta 凭据进行身份验证。要将 SecureHub 与 MDM+MAM 结合 使用,请将 EndpointManagement 配置为使用 CitrixGateway 进行 MAM 注册。有关更多信息,请参阅 Citrix Gateway 和 EndpointManagement 。 EndpointManagement 使用 CitrixCloud 服务、 Citrix 身份与 Okta 联合。 Citrix 建议您使用 Citrix 身份提供程 序来代替与 Okta 直接连接。 EndpointManagement 支持以下平台使用 Okta 进行身份验证: • • • 未在 Apple 商务管理或 Apple 校园教务管理中注册的 iOS 和 macOS 设备 在 Apple 商务管理中注册的 iOS 和 macOS 设备 适用于 BYOD 和完全托管模式的 AndroidEnterprise 设备(预览版) 通过 CitrixCloud 使用 Okta 进行身份验证有以下限制: • • 不适用于 EndpointManagement 本地帐户。 不支持通过 Okta 进行注册邀请的身份验证。如果您向用户发送了一个包含注册 URL 的注册邀请,用户将通过 LDAP 进行身份验证,而非通过 Okta 。 必备条件 • • • • • Okta 用户凭据 ActiveDirectory 中的用户组必须与 Okta 中的用户组匹配。 活动目录中的用户名和电子邮件地址必须与 Okta 中的用户名和电子邮件地址相匹配。 CitrixCloud 帐户,安装了用于目录服务同步的 CitrixCloudConnector CitrixGateway 。 Citrix 建议您启用基于证书的身份验证以实现完整的单点登录体验。如果您在 Citrix Gateway 上使用 LDAP 身份验证进行 MAM 注册,最终用户在注册期间会遇到双身份验证提示。有关详细信息, 请参阅客户端证书或证书加域身份验证。 如果 EndpointManagement 未启用 Workspace ,则为 SecureHub 。 如果 • •EndpointManagement 已启用 Workspace ,则 CitrixWorkspace 应用程序。有关启用 Citrix Workspace 集成的信息,请参阅 Workspace 配置。 • 在 AndroidEnterprise 的注册配置文件中,将允许用户拒绝设备管理设置为关闭。如果用户拒绝设备管理, 则无法使用身份提供商注册进行身份验证。有关详细信息,请参阅注册安全性。 可以在启用或不启用 Workspace 的情况下配置此功能。 如果 EndpointManagement 启用了 Workspace ,则配置 如果将 EndpointManagement 与 CitrixWorkspace 集成,则通过 CitrixCloud 使用 Okta 配置身份验证的一般 步骤如下: 1. 2. 将 CitrixCloud 配置为使用 Okta 作为您的身份提供商。 将 Okta 配置为 CitrixWorkspace 的身份验证方法。 ©1999 – 2023CloudSoftwareGroup,htsreserved.187 CitrixEndpointManagement 要将 CitrixCloud 配置为使用 Okta 作为身份提供程序并将 Okta 设置为 CitrixWorkspace 的身份验证方法,请参 阅将 Okta 作为身份提供程序连接到 CitrixCloud 。 完成配置后,您可以通过 CitrixWorkspace 应用程序注册用户设备。 如果 EndpointManagement 未启用 Workspace ,则配置 如果未为 EndpointManagement 启用 CitrixWorkspace ,则通过 CitrixCloud 配置使用 Okta 进行身份验证的 常规步骤为: 1. 2. 将 CitrixCloud 配置为使用 Okta 作为您的身份提供商。 将 Citrix 身份配置为 EndpointManagement 的 IdP 类型。 将 CitrixCloud 配置为使用 Okta 作为您的身份提供程序 要在 CitrixCloud 中配置 Okta ,请参阅将 Okta 作为身份提供商连接到 CitrixCloud 。 将 Citrix 身份配置为适用于 EndpointManagement 的 IdP 类型 此配置仅适用于通过 SecureHub 注册的用户。在 CitrixCloud 中配置 AzureActiveDirectory 后,请按如下所示 配置 EndpointManagement 。 1. 2. 在 EndpointManagement 控制台中,转至设置 > 身份提供程序 (IDP) ,然后单击添加。 在身份提供程序 (IDP) 页面上,配置以下内容: •IDP 名称:键入用于识别要创建的 IdP 连接的唯一名称。 •IDP 类型:选择 Citrix 身份提供商。 • 身份验证域:选择 CitrixCloud 域。如果不确定要选择哪一个,则您的域将显示在 CitrixCloud 身份和 访问管理 > 身份验证页面上。 3. 单击下一步。在 IDP 声明用法页面中,配置以下设置: ©1999 – 2023CloudSoftwareGroup,htsreserved.188 CitrixEndpointManagement • 用户标识符类型:此字段设置为 userPrincipalName 。确保在本地 ActiveDirectory 和 Okta 中为所 有用户配置相同的标识符。 EndpointManagement 使用此标识符将身份提供商上的用户与本地 Active Directory 用户映射。 • 用户标识符字符串:此字段自动填充。 完成此配置后,已加入域的 SecureHub 用户可以使用 SecureHub 使用其 Okta 凭据登录。 SecureHub 对 MAM 设备使用客户端证书身份验证。 SecureHub 身份验证流程 EndpointManagement 使用以下流程在通过 SecureHub 注册的设备上使用 Okta 作为 IdP 的用户进行身份验证: 1. 2. 3. 4. 5. 6. 用户开始使用 SecureHub 。 SecureHub 将身份验证请求传递给 Citrix 身份,然后 Citrix 身份将请求传递给 Okta 。 用户键入其用户名和密码。 Okta 验证用户并向 Citrix 身份发送代码。 Citrix 身份将该代码发送到 SecureHub ,后者再将该代码发送到 EndpointManagement 服务器。 EndpointManagement 通过使用代码和密码获取 ID 令牌,然后验证 ID 令牌中的用户信息。 Endpoint Management 返回会话 ID 。 通过 CitrixCloud 使用本地 CitrixGateway 进行身份验证 October18,2022 EndpointManagement 支持通过 CitrixCloud 使用本地 CitrixGateway 进行身份验证。此身份验证方法仅适用 于通过 CitrixWorkspace 应用程序或 CitrixSecureHub 注册 MDM 的用户。如果 EndpointManagement 已启 用工作区,则用户可从 CitrixWorkspace 应用程序访问资源。如果您未启用 CitrixWorkspace 与 CitrixEndpoint Management 的集成,则用户可以从 SecureHub 访问资源。 在 MAM 中注册的设备无法通过 CitrixCloud 使用本地 CitrixGateway 凭据进行身份验证。要将 SecureHub 与 MDM+MAM 结合使用,请将 EndpointManagement 配置为使用 CitrixGateway 进行 MAM 注册。有关更多信 息,请参阅 CitrixGateway 和 EndpointManagement 。 EndpointManagement 支持通过 CitrixCloud 对以下平台使用本地 CitrixGateway 进行身份验证: ©1999 – 2023CloudSoftwareGroup,htsreserved.189 CitrixEndpointManagement •iOS 设备 • 适用于 BYOD 和完全托管模式的 AndroidEnterprise 设备 注意: EndpointManagement 不支持使用本地 CitrixGateway 进行身份验证以便通过 CitrixCloud 发送注册邀 请。如果您向用户发送包含注册 URL 的注册邀请,则用户将通过 LDAP 而非本地 CitrixGateway 作为身份提供 程序进行身份验证。 Citrix 建议您启用基于证书的身份验证以实现完整的单点登录体验。如果您在 CitrixGateway 上使用 LDAP 身份验证 进行 MAM 注册,最终用户在注册期间会遇到双身份验证提示。有关详细信息,请参阅客户端证书或证书加域身份验证。 必备条件 •CitrixGateway 。 Citrix 建议您启用基于证书的身份验证以实现完整的单点登录体验。如果您在 Citrix Gateway 上使用 LDAP 身份验证进行 MAM 注册,则最终用户在注册过程中会遇到双重身份验证提示。有关详 细信息,请参阅客户端证书或证书加域身份验证。 • 安装了 CitrixCloudConnector 的 CitrixCloud 帐户以进行目录服务同步。 •SecureHub20.5.0 及更高版本(如果 EndpointManagement 未启用工作区)。 • 如果 EndpointManagement 已启用 Workspace ,则 CitrixWorkspace 应用程序。有关启用 Citrix Workspace 集成的信息,请参阅 Workspace 配置。 可以在启用或不启用 Workspace 的情况下配置此功能。 如果 EndpointManagement 启用了 Workspace ,则配置 如果将 EndpointManagement 与 CitrixWorkspace 集成,则通过 CitrixCloud 使用本地 CitrixGateway 配置 身份验证的一般步骤如下: 1. 2. 将 CitrixCloud 配置为使用 CitrixGateway 作为您的身份提供商。 将 CitrixGateway 配置为 CitrixWorkspace 的身份验证方法。 要将 CitrixCloud 配置为使用 CitrixGateway 作为身份提供程序,并将 CitrixGateway 设置为 CitrixWorkspace 的身份验证方法,请参阅将本地 CitrixGateway 作为身份提供程序连接到 CitrixCloud 。 完成配置后,您可以通过 CitrixWorkspace 应用程序注册用户设备。 如果 EndpointManagement 未启用 Workspace ,则配置 如果未为 EndpointManagement 启用 CitrixWorkspace ,则通过 CitrixCloud 使用本地 CitrixGateway 配置 身份验证的一般步骤如下: 1. 2. 将 CitrixCloud 配置为使用 CitrixGateway 作为您的身份提供商。 将 Citrix 身份配置为 EndpointManagement 的 IdP 类型。 ©1999 – 2023CloudSoftwareGroup,htsreserved.190 CitrixEndpointManagement 将 CitrixCloud 配置为使用 CitrixGateway 作为您的身份提供程序 要在 CitrixCloud 中设置 CitrixGateway 身份验证,请参阅将本地 CitrixGateway 作为身份提供程序连接到 Citrix Cloud 。 将 Citrix 身份提供程序配置为适用于 EndpointManagement 的 IdP 类型 此配置仅适用于通过 SecureHub 注册的用户。在 CitrixCloud 中配置 CitrixGateway 后,请按如下所示配置 EndpointManagement 。 1. 2. 在 EndpointManagement 控制台中,转至设置 > 身份提供程序 (IDP) ,然后单击添加。 在身份提供程序 (IDP) 页面上,配置以下内容: •IDP 名称:键入唯一名称以标识您正在创建的 IdP 连接。 •IDP 类型:选择 Citrix 身份提供商。 • 身份验证域:选择 CitrixGateway 。此域对应于 CitrixCloudWorkspace 配置 > 身份验证页面上的 身份提供程序域。 3. 单击下一步。在 IDP 声明使用情况页面上,配置以下内容: • • 4. 用户标识符类型:默认情况下,此字段设置为 userPrincipalName 。 用户标识符字符串:此字段自动填充。 单击下一步,检查摘要页面,然后单击保存。 现在,您可以使用本地 CitrixGateway 作为身份提供程序通过 SecureHub 注册用户设备。 SecureHub 身份验证流程 EndpointManagement 使用以下流程在通过 SecureHub 注册的设备上使用本地 CitrixGateway 作为 IdP 对用 户进行身份验证: 1. 用户开始使用 SecureHub 。 Hub 将身份验证请求传递给 Citrix 身份,后者会将请求传递给本地 CitrixGateway 。 3. 用户键入其用户名和密码。 4. 本地 CitrixGateway 会验证用户并向 Citrix 身份发送代码。 身份将该代码发送到 SecureHub ,后者再将该代码发送到 EndpointManagement 服务器。 ntManagement 通过使用代码和密码获取 ID 令牌,然后验证 ID 令牌中的用户信息。 Endpoint Management 返回会话 ID 。 用户帐户、角色和注册 October18,2022 ©1999 – 2023CloudSoftwareGroup,htsreserved.191 CitrixEndpointManagement 您可以在 EndpointManagement 控制台的管理选项卡和设置页面上执行用户配置任务。除非另有说明,否则本文提 供完成以下任务的步骤。 • 注册安全模式和邀请 – • 从设置 > 注册,配置最多七种注册安全模式并发送注册邀请。每种注册安全模式都有自己的安全级别和用 户注册设备所必须采取的步骤数。 用户帐户和组的角色 – – 从设置 > 基于角色的访问控制,向用户和组分配预定义角色或权限集合。这些权限控制用户对系统功能的 访问级别。有关详细信息,请参阅使用 RBAC 配置角色。 从设置 > 通知模板,创建或更新用于自动化操作、注册和发送给用户的标准通知消息的通知模板。可以将 通知模板配置为通过两个不同的通道来发送消息: SecureHub 或 SMTP 。有关更多信息,请参阅:创建 和更新通知模板。 • 用户帐户和组: – 从管理 > 用户中,手动添加用户帐户或使用 .csv 预配文件导入帐户并管理本地组。但是,大多数 Endpoint Management 部署都连接到 LDAP 以获取用户和组信息。在以下用例中,您可能希望在本地创建用户帐 户: – 从设置 > 工作流,使用工作流对用户帐户的创建和删除进行管理。 * * 在零售等环境中,设备是共用的,而不是由单个用户专用。 如果您使用不受支持的目录,例如 NovelleDirectory 。 关于用户帐户 EndpointManagement 用户帐户适用于本地、 ActiveDirectory 或云用户。 • 云用户:云用户是 CitrixCloud 在将管理员添加到您的 CitrixCloud 客户帐户时创建的特殊用户帐户。云用户 帐户使用与 CitrixCloud 上的管理员帐户相同的用户名,并且默认为管理员角色。云用户帐户提供单点登录并 执行其他管理功能。 要向 CitrixCloud 帐户添加管理员,请参阅邀请新管理员。 对于云用户: • • • • 您可以通过 CitrixCloud 控制台更改云用户的角色和用户属性。请参阅管理 CitrixCloud 管理员。 要更改密码,请参阅管理员。 要删除云用户,请在 CitrixCloud 中转到身份和访问管理 > 管理员。单击用户行末尾的省略号,然后选择删除 管理员。 您无法将云用户添加到本地组。 配置注册安全模式 您可以配置设备注册安全模式,以便在 EndpointManagement 中为设备注册指定安全级别和通知模板。 EndpointManagement 提供六种注册安全模式,每种模式都有自己的安全级别以及用户注册设备必须采取的步骤。 您可以从管理 > 注册邀请页面在 EndpointManagement 控制台中配置注册安全模式。有关信息,请参阅注册邀 ©1999 – 2023CloudSoftwareGroup,htsreserved.192 CitrixEndpointManagement 请。 注意: 如果计划使用自定义通知模板,则必须先设置模板,然后再配置注册安全模式。有关通知模板的详细信息,请参 阅创建或更新通知模板。 1. 2. 3. 在 EndpointManagement 控制台上,单击控制台右上角的齿轮图标。此时将显示设置页面。 单击注册。此时将显示注册页面,其中包含所有可用注册安全模式的表格。默认情况下,启用所有注册安全模式。 在列表中选择任何注册安全模式以对其进行编辑。然后,将模式设置为默认模式或禁用该模式。 选中注册安全模式旁边的复选框以查看选项菜单。或者,单击列表中的其他任意位置可查看列表右侧的选项菜单。 提示: 编辑注册安全模式时,可以指定过期截止日期,在截止日期之后,用户将无法注册其设备。有关信息,请参 阅本文中的编辑注册安全模式。此值显示在用户和组注册邀请配置页面。 根据您的平台,您可以选择以下注册安全模式: • • • • • • 用户名 + 密码 邀请 URL 邀请 URL+PIN 邀请 URL+ 密码 双重 用户名 +PIN ©1999 – 2023CloudSoftwareGroup,htsreserved.193 CitrixEndpointManagement 有关特定于平台的注册安全模式的信息,请参阅各平台的注册安全模式。 可以将注册邀请用作限制为特定用户或组注册的功能的有效方式。要发送注册邀请,只能使用邀请 URL 、邀请 URL+PIN 或邀请 URL+ 密码注册安全模式。对于使用用户名 + 密码、双重身份验证或用户名 +PIN 注册的 设备,用户必须在 SecureHub 中手动输入其凭据。 您可以使用一次性 PIN (有时又称为 OTP )注册邀请作为双重身份验证解决方案。一次性 PIN 注册邀请控制用 户可以注册的设备数量。 OTP 邀请不适用于 Windows 设备。 编辑注册安全模式 1. 在注册列表中,选择注册安全模式,然后单击编辑。此时将显示编辑注册模式页面。根据所选择的模式,您可能 会看到不同的选项。 2. 适当更改以下信息: • 此时间后过期:键入过期期限,过了此期限后用户将无法注册其设备。此值显示在用户和组注册邀请配置 页面。 键入 0 可防止邀请过期。 • • 天:在列表中,单击天或小时,对应于您在此时间后过期中输入的过期期限。 最大尝试次数:键入用户可以尝试注册的次数,超出此次数后用户将被锁定,无法进行注册过程。此值显 示在用户和组注册邀请配置页面。 键入 0 表示尝试次数不受限制。 ©1999 – 2023CloudSoftwareGroup,htsreserved.194 CitrixEndpointManagement •PIN 长度:键入用于设置生成的 PIN 的长度的数字。 • • 数字:在列表中,单击数字或字母数字以选择 PIN 类型。 通知模板: – – – 3. 单击保存。 注册 URL 模板:在列表中,单击用于注册 URL 的模板。例如,注册邀请模板向用户发送电子邮件。 有关通知模板的详细信息,请参阅创建或更新通知模板。 注册 PIN 模板:在列表中,单击用于注册 PIN 的模板。 注册确认模板:在列表中,单击用于向用户通知已成功注册的模板。 将注册安全模式设为默认模式 除非您选择不同的注册安全模式,否则默认注册安全模式用于所有设备注册请求。如果没有将注册安全模式设置为默认 模式,则必须为每个设备注册创建注册请求。 1. 2. 如果未启用要用作默认值的注册安全模式,请选择它并单击启用。唯一可以用作默认的注册安全模式是用户名 + 密码、双因素或用户名 +PIN 码。 选择注册安全模式,然后单击默认。所选模式现已成为默认模式。如果将任何其他注册安全模式设为默认模式, 此模式将不再作为默认模式。 禁用注册安全模式 禁用注册安全模式将使此模式不可供用户使用,既不可用于组注册邀请,也不可在自助服务门户中提供。您可以通过禁 用一种注册安全模式并启用另一种注册安全模式来更改允许用户注册设备的方式 1. 选择注册安全模式。 不能禁用默认注册安全模式。如果要禁用默认注册安全模式,必须首先删除其默认状态。 2. 单击禁用。注册安全模式不再处于启用状态。 添加、编辑、解锁或删除本地用户帐户 可以手动向 EndpointManagement 中添加本地用户帐户,也可以使用预配文件导入帐户。有关从置备文件导入用户 帐户的步骤,请参阅导入用户帐户。 所有 CitrixCloud 管理员都是作为 EndpointManagement 管理员创建的。如果创建具有自定义访问权限的 Citrix Cloud 管理员,请确保访问包括 EndpointManagement 。有关添加 CitrixCloud 管理员的信息,请参阅添加管理 员。 1. 在 EndpointManagement 控制台中,单击管理 > 用户。此时将显示用户页面。 ©1999 – 2023CloudSoftwareGroup,htsreserved.195 CitrixEndpointManagement 2. 单击显示过滤器以过滤列表。 添加本地用户帐户 1. 在用户页面上,单击添加本地用户。此时将显示添加本地用户页面。 2. 配置以下设置: • • 用户名:键入名称,这是必填字段。您可以在名称中包括以下内容:空格、大写字母和小写字母。 密码:键入可选用户密码。密码的长度至少为 14 个字符,并且必须满足以下全部条件: – – – – – 至少包含两个数字 至少包含一个大写字母和一个小写字母 至少包含一个特殊字符 不要包含字典单词或限制单词,例如 Citrix 用户名或电子邮件地址。 不要包含三个以上的连续字符和重复字符或键盘模式,例如 1111 、 1234 或 asdf ©1999 – 2023CloudSoftwareGroup,htsreserved.196 CitrixEndpointManagement • 角色:在列表中,单击用户角色。有关角色的更多信息,请参阅使用 RBAC 配置角色。可能的选项包括: – – – – • • ADMIN DEVICE_PROVISIONING SUPPORT USER 成员身份:在列表中,单击要添加此用户的一个或多个组。 用户属性:添加可选用户属性。对于要添加的每个用户属性,单击添加,然后执行以下操作: – – 用户属性:在列表中,单击某个属性,然后在该属性旁边的字段中键入用户属性。 单击完成保存用户属性或单击取消。 要删除现有用户属性,请将鼠标悬停在包含该属性的行上方,然后单击右侧的 X 。属性立即被删除。 要编辑现有用户属性,请单击属性并进行更改。单击完成保存更改后的列表,或者单击取消保留列表不变。 3. 单击保存。创建用户后,本地用户帐户的用户类型字段将保留为空。 编辑本地用户帐户 1. 在用户页面上的用户列表中,通过单击选择某个用户,然后单击编辑。此时将显示编辑本地用户页面。 2. 适当更改以下信息: • • • 用户名:无法更改用户名。 密码:更改或添加用户密码。 角色:在列表中,单击用户角色。 ©1999 – 2023CloudSoftwareGroup,htsreserved.197 CitrixEndpointManagement • • 成员身份:在列表中,单击要添加或编辑用户帐户的一个或多个组。要从组中删除用户帐户,请取消选中 组名称旁边的复选框。 用户属性:请执行以下操作之一: – – 对于您要更改的各个用户属性,请单击属性并进行更改。单击完成保存更改后的列表,或者单击取消 保留列表不变。 对于要添加的每个用户属性,单击添加,然后执行以下操作: – 3. 对于要删除的每个现有用户属性,请将鼠标悬停在包含此属性的行上,然后单击右侧的 X 。属性立即 被删除。 * * 用户属性:在列表中,单击某个属性,然后在该属性旁边的字段中键入用户属性。 单击完成保存用户属性或单击取消。 单击保存以保存您所做的更改,或者单击取消保留用户不变。 解锁本地用户帐户 根据以下服务器属性,本地用户帐户被锁定: • • 有关详细信息,请参阅服务器属性定义。 当本地用户帐户被锁定时,您可以从 EndpointManagement 控制台解锁该帐户。 1. 2. 3. 在用户页面上的用户帐户列表中,通过单击选择某个用户帐户。 单击解锁用户。此时将显示确认对话框。 单击解锁以解锁用户帐户,或者单击取消保持用户不变。 无法从 EndpointManagement 控制台解锁 ActiveDirectory 用户。锁定的 ActiveDirectory 用户必须联系其 ActiveDirectory 技术支持重置密码。 删除本地用户帐户 1. 在用户页面上的用户帐户列表中,通过单击选择某个用户帐户。 可以通过选中每个用户帐户旁边的复选框,选择多个要删除的用户帐户。 2. 3. 单击删除。此时将显示确认对话框。 单击删除以删除用户帐户或单击取消。 删除 ActiveDirectory 用户 要一次删除一个或多个 ActiveDirectory 用户,请选择这些用户,然后单击删除。 ©1999 – 2023CloudSoftwareGroup,htsreserved.198 CitrixEndpointManagement 如果要删除的用户具有已注册的设备,而您希望重新注册这些设备,请先删除这些设备,然后再重新注册。要删除某个 设备,请转至管理 > 设备,选择该设备,然后单击删除。 导入用户帐户 您可以从称为预配文件的 .csv 文件导入本地用户帐户和属性,该文件可以手动创建。有关设置预配文件格式的详细信息, 请参阅预配文件的格式。 注意: • 对于本地用户,请使用域名以及导入文件中的用户名。例如,指定 username@domain 。如果在 Endpoint Management 中将创建或导入的本地用户用于托管域,则用户无法使用对应的 LDAP 凭据进行注册。 • 如果将用户帐户导入到 EndpointManagement 内部用户目录,请禁用默认域以加快导入过程的速度。 请注意,禁用域会影响注册。您可以在内部用户导入完成后重新启用默认域。 • 本地用户可以采用用户主体名称 (UPN) 格式。但是, Citrix 建议您不要使用托管域。例如,如果 处于托管状态,请勿使用以下 UPN 格式创建本地用户: **************** 。 准备好预配文件后,请按照以下步骤将此文件导入到 EndpointManagement 中。 1. 2. 在 EndpointManagement 控制台中,单击管理 > 用户。此时将显示用户页面。 单击导入本地用户。此时将显示导入预配文件对话框。 3. 4. 5. 对于要导入的预配文件的格式,选择用户或属性。 通过单击浏览并导航到要使用的预配文件所在位置,选择此文件。 单击导入。 ©1999 – 2023CloudSoftwareGroup,htsreserved.199
2024年9月11日发(作者:桥嘉言)
CitrixEndpointManagement
•MDXToolkit
–
–
–
–
Apple
开发人员证书
Apple
预配配置文件(按应用程序)
AppleAPNs
证书(用于
CitrixSecureMail
)
Android
密钥库文件
MAMSDK
不封装应用程序,因此不需要证书。
•CitrixGateway
–
–
–
–
–
–
注意:
客户端设备必须具有所需的根
/
中间证书,才能与颁发服务器证书的证书颁发机构建立信任。否则,您可能会收到
用于
MDMFQDN
的
SSL
证书
用于网关
FQDN
的
SSL
证书
用于
ShareFileSZCFQDN
的
SSL
证书
用于
Exchange
负载平衡(卸载配置)的
SSL
证书
用于
StoreFront
负载平衡的
SSL
证书
用于上述证书的根和中间
CA
证书
SSL
错误
61
。要解决此问题,请执行以下操作:
1.
2.
3.
下载或获取由您的
SSL
证书提供商颁发的
SSL
根
/
中间证书文件(
.crt
或
.cer
)。通常,根
/
中间
/
服务器证
书存在于您的
SSL
服务提供商提供的证书包中。
在客户端设备上安装根
/
中间证书。
如果客户端设备上安装了防病毒软件,请确保防病毒软件信任证书。
上载证书
您上载的每个证书在证书表中都有一个条目,其中包括其内容摘要。配置需要证书的
PKI
集成组件时,请选择满足该
条件的服务器证书。例如,您可能希望将
EndpointManagement
配置为与
Microsoft
证书颁发机构
(CA)
集成。与
MicrosoftCA
的连接必须通过使用客户端证书进行身份验证。
EndpointManagement
可能不会处理给定证书的私钥。同样,
EndpointManagement
可能不需要上载的证书的
私钥。
本节介绍了上载证书的常规过程。有关创建、上载和配置客户端证书的详细信息,请参阅客户端证书或证书加域身份验
证。
您有两个用于上载证书的选项:
•
•
将证书单独上载到控制台。
使用
RESTAPI
执行证书的批量上载。此选项仅适用于
iOS
设备。
将证书上载到控制台时,您可以:
•
导入密钥库。然后,您在密钥库存储库中找出要安装的条目,除非您要上载
PKCS#12
格式。
©1999
–
2023CloudSoftwareGroup,htsreserved.100
CitrixEndpointManagement
•
私钥)
在配置
MicrosoftCA
实体时,您指定
CA
证书。您从属于
CA
证书的所有服务器证书列表中选择
CA
证书。同样,配置
客户端身份验证时,您可以从包含
EndpointManagement
具有私钥的所有服务器证书的列表中进行选择。
导入证书。
您可以上载
CA
用于对请求进行签名的
CA
证书(不带私钥)。您还可以上载用于客户端身份验证的
SSL
客户端证书(带
导入密钥库
密钥库是安全证书的存储库。按照设计,密钥库可以包含多个条目。从密钥库加载时,必须指定用于识别要加载的条目
的条目别名。如果未指定别名,则将加载库中的第一个条目。由于
PKCS#12
文件通常仅包含一个条目,当选择
PKCS
#12
作为密钥库类型时,不会显示别名字段。
1.
在
EndpointManagement
控制台中,单击控制台右上角的齿轮图标。使用搜索栏可查找并打开证书设置。
2.
3.
单击导入。此时将显示导入对话框。
配置以下设置:
•
导入:选择密钥库。
©1999
–
2023CloudSoftwareGroup,htsreserved.101
CitrixEndpointManagement
•
•
密钥库类型:在列表中,单击
PKCS#12
。
用作:在列表中,单击您计划使用证书的方式。可用选项如下:
–EndpointManagement
功能上使用的证书。将服务器证书上载到
EndpointManagementWeb
控制台。这些证书包括
CA
证书、
RA
证书以及用于您基础结构其他
服务器:服务器证书是
组件的客户端身份验证的证书。此外,您还可以使用服务器证书来存储您要部署到设备的证书。此用
法特别适用于在设备上建立信任所使用的
CA
。
–SAML
:安全声明标记语言
(SAML)
认证允许您提供对服务器、
Web
站点和应用程序的
SSO
访问
权限。
–APNs
:利用
Apple
提供的
APNs
证书可通过
Apple
推送网络进行移动设备管理。
–SSL
侦听器:安全套接字层
(SSL)
侦听器向
EndpointManagement
通知
SSL
加密活动。
•
密钥库文件:浏览以查找要导入的密钥库。密钥库是一个
.p12
或
.pfx
文件。选择文件,然后单击打开。
•
密码:键入分配给证书的密码。
•
说明:(可选)键入密钥库的说明,以帮助您将其与其他密钥库区分开。
4.
单击导入。密钥库将添加到证书表中。
©1999
–
2023CloudSoftwareGroup,htsreserved.102
CitrixEndpointManagement
导入证书
导入证书时,
EndpointManagement
将尝试基于输入内容构建证书链。
EndpointManagement
将导入某个链中
的所有证书来为每个证书创建一个服务器证书条目。仅当文件或密钥库条目中的证书形成链时,才可执行此操作。证书
链中的每个后续证书都必须是前一个证书的颁发者。
您可以为导入的证书添加可选说明。此说明将仅附加到链中的第一个证书上。可在以后更新提醒说明。
1.
2.
在
EndpointManagement
控制台中,单击控制台右上角的齿轮图标。使用搜索栏可查找并打开证书设置。
在证书页面上,单击导入。此时将显示导入对话框。配置以下设置:
•
•
导入:单击证书。
用作:选择您计划使用证书的方式。可用选项如下:
–EndpointManagement
功能上使用的证书。将服务器证书上载到
EndpointManagementWeb
控制台。这些证书包括
CA
证书、
RA
证书以及用于您基础结构其他
服务器:服务器证书是
组件的客户端身份验证的证书。此外,您还可以使用服务器证书来存储您要部署到设备的证书。此选
项特别适用于在设备上建立信任所使用的
CA
。
–SAML
:安全声明标记语言
(SAML)
认证允许您提供对服务器、
Web
站点和应用程序的单点登录
(SSO)
访问权限。
–SSL
侦听器:安全套接字层
(SSL)
侦听器向
EndpointManagement
通知
SSL
加密活动。
•
•
•
3.
证书导入:浏览以查找要导入的证书。选择文件,然后单击打开。
私钥文件:浏览以查找证书的可选私钥文件。私钥用于与证书一起使用以便进行加密和解密。选择文件,然
后单击打开。
说明:键入证书的说明(可选),以帮助您将其与其他证书区分开。
单击导入。证书将添加到证书表中。
使用
RESTAPI
批量上载证书
有时一次上载一个证书并不合理。在这些情况下,请使用
RESTAPI
执行证书的批量上载。此方法支持
.p12
格式的证
书。有关
RESTAPI
的详细信息,请参阅
RESTAPI
。
1.
以
device_identity_value.p12
格式重命名每个证书文件。
device_identity_value
可以是每
个设备的
IMEI
、序列号或
MEID
。
例如,您选择使用序列号作为标识方法。一台设备具有序列号
A12BC3D4EFGH
,因此将您希望在该设备上安
装的证书文件命名为
A12BC3D4EFGH.p12
。
2.
创建一个文本文件以存储
.p12
证书的密码。在该文件中,在新行中键入每个设备的设备标识符和密码。使用格式
device_identity_value=password
。请参阅以下内容:
1
2
3
4
A12BC3D4EFGH.p12=password1!
A12BC3D4EFIJ.p12=password2@
A12BC3D4EFKL.p12=password3#
©1999
–
2023CloudSoftwareGroup,htsreserved.103
CitrixEndpointManagement
3.
4.
5.
将所有证书和您创建的文本文件打包到
.zip
文件中。
启动
RESTAPI
客户端,登录
EndpointManagement
,然后获取身份验证令牌。
导入您的证书,确保您将以下内容放入消息正文中:
1{
2
3
4
5
6
7
8
"alias":"",
"useAs":"device",
"uploadType":"keystore",
"keystoreType":"PKCS12",
"identityType":"SERIAL_NUMBER",
"SERIAL_NUMBER","IMEI","MEID"
"credentialFileName":""
#identitytypecanbe
#Thecredentialfile
9}
10
11
6.
7.
使用凭据类型
AlwaysonIKEv2
(始终启用
IKEv2
)和设备身份验证方法基于设备标识的设备证书创建
VPN
策略。选择您的证书文件名中使用的设备标识类型。请参阅
VPN
设备策略。
注册
iOS
设备并等待部署
VPN
策略。通过检查设备上的
MDM
配置来确认证书安装。还可以在
Endpoint
Management
控制台中检查设备详细信息。
©1999
–
2023CloudSoftwareGroup,htsreserved.104
CitrixEndpointManagement
还可以通过创建一个包含为每个要删除的证书列出的
device_identity_value
的文本文件来批量删除证书。在
RESTAPI
中,调用删除
API
并使用以下请求,将
device_identity_value
替换为适当的标识符:
1
2
3
4
5
6
7
```
{
"identityType"="device_identity_value"
}
```
©1999
–
2023CloudSoftwareGroup,htsreserved.105
CitrixEndpointManagement
更新证书
EndpointManagement
只允许系统中每个公钥一次存在一个证书。如果尝试为已导入证书的同一密钥对导入证书,
您可以:
•
•
替换现有条目。
删除条目。
上载新证书以替换旧证书后,无法删除旧证书。配置
PKI
实体设置时,两个证书都存在于
SSL
客户端证书菜单中。列表
中较新的证书位于旧证书下方。
更新证书
1.
按照客户端证书或证书加域身份验证中的步骤创建替换证书。
重要:
请勿使用该选项创建使用现有私钥的证书。创建证书以更新过期证书时,私钥也必须是新的。
2.
3.
在
EndpointManagement
控制台中,单击控制台右上角的齿轮图标。使用搜索栏可查找并打开证书设置。
在导入对话框中,导入新证书。
©1999
–
2023CloudSoftwareGroup,htsreserved.106
CitrixEndpointManagement
当更新服务器证书时,使用先前证书的组件将自动切换到使用新证书。同样,如果已经在设备上部署服务器证书,证书
将在下一次部署时自动更新。
要更新
APNs
证书,请执行创建证书的步骤,然后转到
ApplePushCertificatesPortal
。有关详细信息,请参阅续
订
APNs
证书。
如果您的
CitrixGateway
设置为进行
SSL
卸载,请确保使用新的
来更新您的负载平衡器。
注意:
如果您已从
XenMobile
本地迁移到
EndpointManagement
,并且正在更新证书,请在完成上述步骤后与
Citrix
支持部门联系。您需要向他们提供新证书的副本(
PFX
格式),包括证书密码。
Citrix
支持将更新云端
NetScaler
并重启租户节点以完成证书更新过程。
更新
PKI
服务证书颁发机构
(CA)
可以请求
CitrixCloudOperations
团队在您的
EndpointManagement
部署中刷新或重新生成内部
PKI
证书颁发
机构
(CA)
。为这些请求打开一个技术支持案例。
1WhenthenewCAsareavailable,CloudOperationsletsyouknowthatyou
canproceedwithrenewingthedevicecertificatesforyourusers.
续订设备证书
如果设备上的证书过期,证书将变得无效。您不能再在您的环境中运行安全事务,也不能访问
EndpointManagement
资源。证书颁发机构
(CA)
会在过期日期之前提示您续订
SSL
证书。执行上述步骤以更新证书,然后在已注册的设备上
启动证书续订。
对于受支持的
iOS
、
macOS
和
Android
设备,可以通过安全操作(证书续订)启动证书续订。可以从
Endpoint
Management
控制台或公用
RESTAPI
续订设备证书。对于注册的
Windows
设备,用户必须重新注册其设备才能接
收新的设备证书颁发机构
(CA)
。
下次设备连接回
EndpointManagement
时,
EndpointManagement
服务器会根据新
CA
颁发新的设备证书。
使用控制台续订设备证书
1.
2.
转到管理
>
设备,然后选择要为其续订设备证书的设备。
单击安全,然后单击证书续订。
©1999
–
2023CloudSoftwareGroup,htsreserved.107
CitrixEndpointManagement
已注册的设备继续运行而不会中断。
EndpointManagement
在设备重新连接到服务器时颁发设备证书。
要查询特定设备证书颁发者
CA
组中的设备,请执行以下操作:
1.
2.
在管理
>
设备中,展开过滤器窗格。
在过滤器窗格中,展开设备证书颁发者
CA
,然后选择要续订的颁发者
CA
。
在设备表中,将显示所选颁发者
CA
的设备。
使用
RESTAPI
续订设备证书
EndpointManagement
在内部将以下证书颁发机构
(CA)
用于
PKI
:根
CA
、设备
CA
、服务器
CA
。这些
CA
是一个逻
辑组并具有组名称。在
EndpointManagement
预配过程中,服务器会生成三个
CA
,并为其指定组名称
“default”
。
CA
颁发以下
API
来管理和续订设备证书。已注册的设备继续运行而不会中断。
EndpointManagement
在设备重新
连接到服务器时颁发设备证书。有关详细信息,请下载
PublicAPIforRESTServices
(用于
REST
服务的公共
API
)
。
•
•
•
返回仍在使用旧
CA
的设备的列表(请参阅
“
适用于
REST
的公共
API
服务
中的第
3.16.2
节)
续订设备证书(请参阅第
3.16.58
节)
获取所有
CA
组(请参阅第
3.23.1
节)
©1999
–
2023CloudSoftwareGroup,htsreserved.108
CitrixEndpointManagement
用于
CitrixSecureMail
的
APNs
证书
Apple
推送通知服务
(APNs)
证书每年都会过期。请务必在
APNsSSL
证书过期之前创建该证书,并在
Citrix
门户中
进行更新。如果证书过期,用户会面临
SecureMail
推送通知不一致的情况。此外,您不能再为您的应用程序发送推送
通知。
用于
iOS
设备管理的
APNs
证书
要在
EndpointManagement
中注册和管理
iOS
设备,应设置和创建
Apple
提供的
APNs
证书。如果证书过期,用
户将不能在
EndpointManagement
中注册,而您不能管理其
iOS
设备。有关详细信息,请参阅
APNs
证书。
可以通过登录
ApplePushCertificatesPortal
来查看
APNs
证书状态和过期日期。请务必以创建证书的同一用户身
份登录。
在过期日期之前
30
天和
10
天,您还会收到
Apple
发送的电子邮件通知。通知包含以下信息:
1ThefollowingApplePushNotificationServicecertificate,createdfor
ngorallowingthis
certificatetoexpirewillrequireexistingdevicestobere-
enrolledwithanewpushcertificate.
Pleasecontactyourvendortogenerateanewrequest(asignedCSR),
thenvisit/pushcerttorenewyourApple
PushNotificationServicecertificate.
ThankYou,
ApplePushNotificationService
2
3
4
5
6
7
8
MDXToolkit
(
iOS
分发证书)
在物理
iOS
设备上运行的应用程序(
AppleAppStore
中的应用程序除外)具有以下签名要求:
•
•
使用预配配置文件为应用程序签名。
使用相应的分发证书为应用程序签名。
要验证您的
iOS
分发证书是否有效,请执行以下操作:
1.
2.
3.
从
Apple
企业开发人员门户中,为您计划用
MDX
封装的每个应用程序创建一个显式应用程序
ID
。可接受的应
用程序
ID
示例:
tName
.
从
Apple
企业开发人员门户中,转到
ProvisioningProfiles
(预配配置文件)
>Distribution
(分发),并
创建一个内部预配配置文件。对在上一步中创建的每个应用程序
ID
重复此步骤。
下载所有预配配置文件。有关详细信息,请参阅封装
iOS
移动应用程序。
要确认所有
EndpointManagement
服务器证书是否有效,请执行以下操作:
©1999
–
2023CloudSoftwareGroup,htsreserved.109
CitrixEndpointManagement
1.
2.
在
EndpointManagement
控制台中,单击设置
>
证书。
检查包括
APNs
、
SSL
侦听器、根和中间证书在内的所有证书是否有效。
Android
密钥库
密钥库是指包含用于为您的
Android
应用程序签名的证书的文件。当您的密钥有效期过期后,用户不能再无缝地升级
到应用程序的新版本。
CitrixGateway
有关如何处理
CitrixGateway
的证书过期的详细信息,请参阅
Citrix
支持知识中心中的
Howtohandlecertificate
。
expiryonNetScaler
(如何处理
NetScaler
的证书过期)
如果
CitrixGateway
证书过期,用户将无法注册和访问应用商店。过期的证书还会阻止用户使用
SecureMail
时连接
到
ExchangeServer
。此外,用户不能枚举和打开
HDX
应用程序(具体取决于哪个证书过期)。
ExpiryMonitor
和
CommandCenter
可以帮助您跟踪
CitrixGateway
证书。
Center
会在证书过期时通知您。这
些工具可以协助监视以下
CitrixGateway
证书:
•
•
•
•
•
•
用于
MDMFQDN
的
SSL
证书
用于网关
FQDN
的
SSL
证书
用于
ShareFileSZCFQDN
的
SSL
证书
用于
Exchange
负载平衡(卸载配置)的
SSL
证书
用于
StoreFront
负载平衡的
SSL
证书
用于上述证书的根和中间
CA
证书
CitrixGateway
和
EndpointManagement
December3,2021
与
EndpointManagement
集成后,
CitrixGateway
可提供对您的内部网络和资源的远程设备访问。
Endpoint
Management
在设备上的应用程序与
CitrixGateway
之间创建一个
MicroVPN
。
可以使用
CitrixGateway
服务(预览版)或本地
CitrixGateway
(又称为
NetScalerGateway
)。有关两种
Citrix
Gateway
解决方案的概述,请参阅将
CitrixGateway
与
EndpointManagement
结合使用。
配置身份验证以便远程设备能够访问内部网络
1.
2.
在
EndpointManagement
控制台中,单击控制台右上角的齿轮图标。此时将显示设置页面。
在服务器下方,单击
CitrixGateway
。此时将显示
CitrixGateway
页面。在以下示例中,存在一个
Citrix
Gateway
实例。
©1999
–
2023CloudSoftwareGroup,htsreserved.110
CitrixEndpointManagement
3.
配置以下设置:
•
•
•
4.
身份验证:选择是否启用身份验证。默认值为开。
向用户提供用于身份验证的证书:选择是否希望
EndpointManagement
与
SecureHub
共享身份验
证证书。共享证书使
CitrixGateway
能够处理客户端证书身份验证。默认值为关。
凭据提供程序:在列表中,单击要使用的凭据提供程序。有关更多信息,请参阅凭证提供程序。
单击保存。
添加
CitrixGateway
服务实例(预览版)
保存身份验证设置后,请向
EndpointManagement
中添加一个
CitrixGateway
实例。
1.
2.
3.
在
EndpointManagement
控制台中,单击右上角的齿轮图标。此时将打开设置页面。
在设置页面上,滚动到
CitrixGateway
磁贴,然后单击开始安装程序。此时将显示
CitrixGateway
页面。
选择
CitrixGatewayservice(cloud)
(
CitrixGateway
服务
(
云
)
)并指定网关服务的资源位置。
•ResourcelocationforGatewayservice
(网关服务的资源位置):如果您使用的是
SecureMail
,
此选项为必填项。指定
STA
服务的资源位置。资源位置必须包括已配置的
CitrixGateway
。如果稍后要
删除为网关服务配置的资源位置,请更新此设置。
完成这些设置后,单击连接以建立连接。新
CitrixGateway
已添加。
CitrixGatewayservice(cloud)
(
CitrixGateway
服务
(
云
)
)磁贴将显示在设置页面上。要编辑实例,请单击查看更多。如果网关连接器在所选
资源位置中不可用,请单击
AddGatewayConnector
(添加网关连接器)。按照屏幕上的指导安装网关连接
器。也可以稍后添加网关连接器。
©1999
–
2023CloudSoftwareGroup,htsreserved.111
CitrixEndpointManagement
4.
单击
SaveandExportScript
(保存并导出脚本)。
•SaveandExportScript
(保存并导出脚本)。单击按钮保存您的设置并导出配置捆绑包。可以将脚本
从捆绑包上载到
CitrixGateway
,以便使用
EndpointManagement
设置对其进行配置。有关信息,
请参阅这些步骤后面的
“
配置本地
CitrixGateway
以与
EndpointManagement
配合使用
”
。
您已添加新
CitrixGateway
。
CitrixGateway
磁贴将显示在设置页面上。要编辑实例,请单击查看更多。
将本地
CitrixGateway
配置为与
EndpointManagement
结合使用
要配置本地
CitrixGateway
以与
EndpointManagement
配合使用,请执行下面各部分中详细介绍的以下常规步
骤:
1.
2.
3.
确认您的环境是否满足必备条件。
从
EndpointManagement
控制台导出脚本捆绑包。
从捆绑包中提取文件。如果您仅在
CitrixGateway
上使用经典策略,并且运行的是
CitrixADC13.0
或更早版
本,请在文件名中使用带
“Classic”
的脚本。如果您正在使用任何高级策略或者运行
CitrixADC13.1
或更高版
本,请在文件名中使用带
“Advanced”
的脚本。
4.
5.
在
CitrixGateway
上运行相应的脚本。请参阅脚本附带的自述文件了解最新的详细说明。
测试配置。
这些脚本配置
EndpointManagement
所需的以下
CitrixGateway
设置:
•
•
•
•
•
•
•
•
•
MDM
和
MAM
需要的
CitrixGateway
虚拟服务器
CitrixGateway
虚拟服务器的会话策略
EndpointManagement
服务器详细信息
用于证书验证的代理负载平衡器
CitrixGateway
虚拟服务器的身份验证策略和操作。这些脚本描述了
LDAP
配置设置。
代理服务器的流量操作和策略
无客户端访问配置文件
CitrixGateway
上的静态本地
DNS
记录
其他绑定:服务策略、
CA
证书
这些脚本不处理以下配置:
•
•
•
•
Exchange
负载平衡
CitrixFiles
负载平衡
ICA
代理配置
SSL
卸载
使用
CitrixGateway
配置脚本的必备条件
EndpointManagement
要求:
©1999
–
2023CloudSoftwareGroup,htsreserved.112
CitrixEndpointManagement
•
请先完成
EndpointManagement
中的
LDAP
和
CitrixGateway
配置,然后再导出脚本捆绑包。如果更改
设置,请再次导出脚本捆绑包。
CitrixGateway
要求:
•
在
CitrixGateway
上使用基于证书的身份验证时,必须在
CitrixADC
设备上创建
SSL
证书。请参阅在
Citrix
ADC
设备上创建和使用
SSL
证书。
•CitrixGateway
(最低版本
11.0
,内部版本号
70.12
)。
•CitrixGatewayIP
地址已配置并且连接到
LDAP
服务器(平衡了
LDAP
的负载时除外)。
•CitrixGateway
子网
(SNIP)IP
地址已配置,连接到必需的后端服务器,并且能够通过端口
8443/TCP
访问公
用网络。
•DNS
可以解析公共域。
•CitrixGateway
已通过平台
/
通用许可证或试用版许可证获得许可。有关信息,请参阅
.
com/article/CTX126049
。
从
EndpointManagement
中导出脚本包
保存身份验证设置后,请向
EndpointManagement
中添加一个
CitrixGateway
实例。
1.
2.
3.
在
EndpointManagement
控制台中,单击右上角的齿轮图标。此时将打开设置页面。
在设置页面上,滚动到
CitrixGateway
磁贴,然后单击开始安装程序。此时将显示
CitrixGateway
页面。
选择
CitrixGateway(
本地
)
并配置以下设置:
©1999
–
2023CloudSoftwareGroup,htsreserved.113
CitrixEndpointManagement
©1999
–
2023CloudSoftwareGroup,htsreserved.114
CitrixEndpointManagement
•
•
•
名称:键入
CitrixGateway
实例的名称。
外部
URL
:键入
CitrixGateway
的可公开访问的
URL
。例如,
。
登录类型:选择登录类型。类型包括域、仅限安全令牌、域和安全令牌、证书、证书和域以及证书和安全令
牌。默认值为域。
如果您有多个域,请使用证书和域。有关详细信息,请参阅为多个域配置身份验证。
CitrixGateway
上的基于证书的身份验证需要额外的配置。例如,必须将根
CA
证书上载到您的
CitrixADC
设
备。请参阅在
CitrixADC
设备上创建和使用
SSL
证书。
有关详细信息,请参阅部署手册中的身份验证。
4.
单击
SaveandExportScript
(保存并导出脚本)。
•SaveandExportScript
(保存并导出脚本)。单击按钮保存您的设置并导出配置捆绑包。可以将脚本
从捆绑包上载到
CitrixGateway
,以便使用
EndpointManagement
设置对其进行配置。有关信息,
请参阅这些步骤后面的
“
配置本地
CitrixGateway
以与
EndpointManagement
配合使用
”
。
您已添加新
CitrixGateway
。
CitrixGateway
磁贴将显示在设置页面上。要编辑实例,请单击查看更多。
在您的环境中安装脚本
脚本包中包括以下内容。
•
•
•
•
1.
包含详细说明的
readme
文件
包含用于在
NetScaler
中配置所需组件的
NetScalerCLI
命令的脚本
公用根
CA
证书和中间
CA
证书
包含用于删除
NetScaler
配置的
NetScalerCLI
命令的脚本
将证书文件(在脚本包中提供)上载并安装在
CitrixADC
设备上的
/nsconfig/ssl/
目录中。请参阅在
Citrix
ADC
设备上创建和使用
SSL
证书。
以下示例显示了如何安装根证书。
©1999
–
2023CloudSoftwareGroup,htsreserved.115
CitrixEndpointManagement
©1999
–
2023CloudSoftwareGroup,htsreserved.116
CitrixEndpointManagement
请务必同时安装根证书和中间证书。
2.
编辑脚本(
ConfigureCitrixGatewayScript_
或
ConfigureCitrixGatewayScript_
),
以便用环境中的详细信息替换所有占位符。
3.
按照脚本包附带的自述文件所述,在
NetScalerbashshell
中运行编辑后的脚本。例如:
/netscaler/nscli-U: Password>batch-f"/var/OfflineNSGConfigtBundle_" 脚本完成后,将显示以下行。 ©1999 – 2023CloudSoftwareGroup,htsreserved.117 CitrixEndpointManagement 测试配置 要验证配置,请执行以下操作: 1. 验证 CitrixGateway 虚拟服务器显示的状态是否为运行。 2. 验证代理负载平衡虚拟服务器显示的状态是否为运行。 3. 4. 打开 Web 浏览器,连接到 CitrixGatewayURL ,并尝试进行身份验证。如果身份验证成功,您将被重定向到 “HTTP 状态 404‑ 未找到 ” 消息。 注册设备,并确保其获取 MDM 和 MAM 注册。 为多个域配置身份验证 如果您有多个 EndpointManagement 实例(例如,用于测试、开发和生产环境),请手动为其他环境配置 Citrix Gateway 。(只能运行一次 NetScalerforXenMobile 向导。) CitrixGateway 配置 要为多域环境配置 CitrixGateway 身份验证策略和会话策略,请执行以下操作: 1. 在 CitrixGateway 配置实用程序中的配置选项卡上,展开 CitrixGateway> 策略 > 身份验证。 ©1999 – 2023CloudSoftwareGroup,htsreserved.118 CitrixEndpointManagement 2. 3. 在导航窗格中,单击 LDAP 。 单击后即可编辑 LDAP 配置文件。将服务器登录名称属性更改为 userPrincipalName 或您想要用于执行搜 索操作的属性。记下您指定的属性。在 EndpointManagement 控制台中配置 LDAP 设置时,请提供该属性。 4. 5. 针对每个 LDAP 策略重复以上步骤。每个域均需要一个单独的 LDAP 策略。 在绑定到 CitrixGateway 虚拟服务器的会话策略中,导航到编辑会话配置文件 > 已发布的应用程序。请确保单 点登录域为空。 EndpointManagement 配置 要为多域环境配置 EndpointManagementLDAP ,请执行以下操作: 1. 在 EndpointManagement 控制台中,转至设置 >LDAP 并添加或编辑一个目录。 2. 提供相关信息。 • • 在域别名中,指定要用于执行用户身份验证的每个域。用逗号分隔这些域,并且在域之间不要使用空格。例 如: ,, 请确保用户搜索依据字段与在 CitrixGatewayLDAP 策略中指定的服务器登录名称属性保持一致。 ©1999 – 2023CloudSoftwareGroup,htsreserved.119 CitrixEndpointManagement 删除对特定 URL 的入站连接请求 如果您的环境中的 CitrixGateway 是为 SSL 卸载配置的,您可能希望网关删除对特定 URL 的入站连接请求。如果您 更喜欢这种额外的安全性,请联系 CitrixCloudOperations 部门,并请求他们允许将您的 IP 添加到您的本地数据中 心白。 域或域加安全令牌身份验证 December3,2021 EndpointManagement 支持对一个或多个(与轻型目录访问协议 (LDAP) 兼容的)目录执行基于域的身份验证。可 以在 EndpointManagement 中配置到一个或多个目录的连接。 EndpointManagement 使用 LDAP 配置导入组、 用户帐户和相关属性。 重要提示: 用户在 EndpointManagement 中注册设备后, EndpointManagement 不支持将身份验证模式从一种身份 验证模式更改为其他身份验证模式。例如,在用户注册后,您无法将身份验证模式从域身份验证更改为域 + 证书。 关于 LDAP LDAP 是一个独立于供应商的开源应用程序协议,用于通过 Internet 协议 (IP) 网络访问和维护分布式目录信息服务。 目录信息服务用于共享通过网络可用的用户、系统、网络、服务和应用程序信息。 ©1999 – 2023CloudSoftwareGroup,htsreserved.120 CitrixEndpointManagement LDAP 的常见用处是为用户提供单点登录 (SSO) ,即每个用户在多项服务之间共享一个密码。通过单点登录,用户登录 一次公司 Web 站点,可对公司 Intranet 进行经过身份验证访问。 客户端通过连接到 LDAP 服务器(称为目录系统代理程序 (DirectorySystemAgent,DSA) )启动 LDAP 会话。然后, 客户端向服务器发送操作请求,服务器通过相应的身份验证进行响应。 在 EndpointManagement 中添加或编辑 LDAP 连接 您通常在加入 EndpointManagement 时配置 LDAP 连接,如配置 LDAP 中所述。如果您在该部分中显示的屏幕可 用之前加载,请使用本部分中的信息添加 LDAP 连接。 1. 2. 在 EndpointManagement 控制台中,转到设置 >LDAP 。 在服务器下方,单击 LDAP 。此时将显示 LDAP 页面。 3. 在 LDAP 页面上,单击添加或编辑。此时将显示添加 LDAP 或编辑 LDAP 页面。 ©1999 – 2023CloudSoftwareGroup,htsreserved.121 CitrixEndpointManagement 4. 配置以下设置: • • • • 目录类型:在列表中,单击相应的目录类型。默认值为 MicrosoftActiveDirectory 。 主服务器:键入用于 LDAP 的主服务器;可以输入 IP 地址或完全限定的域名 (FQDN) 。 辅助服务器:(可选)如果配置了辅助服务器,请输入辅助服务器的 IP 地址或 FQDN 。此服务器是故障转 移服务器,在无法访问主服务器时使用。 端口:键入 LDAP 服务器使用的端口号。默认情况下,对于不安全的 LDAP 连接,端口号设置为 389 。对 安全的 LDAP 连接使用端口号 636 ,对 Microsoft 不安全 LDAP 连接使用 3268 ,或者对 Microsoft 安 全 LDAP 连接使用 3269 。 • • • 域名:键入域名。 用户基础 DN :通过唯一标识符在 ActiveDirectory 中键入用户的位置。语法示例包括: ou=users 、 dc=example 或 dc=com 。 组基础 DN :在 ActiveDirectory 中键入组的位置。例如 cn=users,dc=domain,dc=net ,其 中 cn=users 表示组的容器名称, dc 表示 ActiveDirectory 的域组件。 ©1999 – 2023CloudSoftwareGroup,htsreserved.122 CitrixEndpointManagement • • • 用户 ID :键入与 ActiveDirectory 帐户关联的用户 ID 。 密码:键入与用户关联的密码。 域别名:键入域名的别名。如果在注册后更改域别名设置,用户必须重新注册。 •EndpointManagement 锁定限制:键入 0 到 999 之间的数字,表示失败登录尝试次数。值为 0 表示 EndpointManagement 从不根据失败登录尝试次数锁定用户。默认值为 0 。 请注意将此锁定限制设置为低于 LDAP 锁定策略的值。如果 EndpointManagement 无法向 LDAP 服 务器进行身份验证,这样做有助于防止用户锁定。例如,如果 LDAP 锁定策略设置为 5 次尝试,请将此锁 定限制配置为 4 或更低的值。 •EndpointManagement 锁定时间:键入 0 到 99999 之间的数字,表示用户超过锁定限制后必须等 待的分钟数。值为 0 表示不强制用户在锁定后等待。默认值为 1 。 • • • 全局目录 TCP 端口:键入全局目录服务器的 TCP 端口号。默认情况下, TCP 端口号设置为 3268 ;对于 SSL 连接,使用端口号 3269 。 全局目录根上下文:(可选)键入用于在 ActiveDirectory 中启用全局目录搜索的全局根上下文值。此搜 索是除标准 LDAP 搜索之外的方法,可在任何域中使用,无需指定实际的域名。 用户搜索依据:选择 EndpointManagement 用于搜索此目录中的用户的用户名或用户 ID 的格式。用 户在注册时以此格式输入其用户名或用户 ID 。如果在注册后通过设置更改用户搜索,用户必须重新注册。 如果选择 userPincipalName ,则用户以下格式输入用户主体名称 (UPN) : – 用户名 @ 域 如果选择 sAMAccountName ,则用户将输入以下格式之一的安全帐户管理员 (SAM) 名称: – – • 5. 用户名 @ 域 域 用户名 使用安全连接:选择是否使用安全连接。默认值为否。 单击保存。 删除 LDAP 兼容目录 1. 在 LDAP 表中,选择要删除的目录。 可以通过选中每个属性旁边的复选框,选择多个要删除的属性。 2. 单击删除。此时将显示确认对话框。再次单击删除。 配置域加安全令牌身份验证 可以将 EndpointManagement 配置为要求用户通过 RADIUS 协议使用其 LDAP 凭据以及一次性密码进行身份验 证。 ©1999 – 2023CloudSoftwareGroup,htsreserved.123 CitrixEndpointManagement 要实现最佳可用性,可以将此配置与 CitrixPIN 和 ActiveDirectory 密码缓存组合在一起。采用该配置时,用户不需 要重复输入其 LDAP 用户名和密码。用户在注册、密码过期和帐户锁定时输入用户名和密码。 配置 LDAP 设置 使用 LDAP 进行身份验证要求您在 EndpointManagement 上安装证书颁发机构颁发的 SSL 证书。有关信息,请参 阅上传证书。 1. 2. 在设置中,单击 LDAP 。 选择 MicrosoftActiveDirectory ,然后单击编辑。 3. 4. 确认 “ 端口 ” 为 636 (用于安全 LDAP 连接)还是 3269 (用于 Microsoft 安全 LDAP 连接)。 将使用安全连接更改为是。 配置 CitrixGateway 设置 以下步骤假定您已向 EndpointManagement 中添加 CitrixGateway 实例。要添加 CitrixGateway 实例,请参阅 CitrixGateway 和 EndpointManagement 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.124 CitrixEndpointManagement 1. 2. 3. 在设置中,单击 CitrixGateway 。 选择 CitrixGateway ,然后单击编辑。 在登录类型中,选择域和安全令牌。 启用 CitrixPIN 和用户密码缓存 要启用 CitrixPIN 和用户密码缓存,请转至设置 > 客户端属性,然后选中这些复选框:启用 CitrixPIN 身份验证和启 用用户密码缓存。有关详细信息,请参阅客户端属性。 配置 CitrixGateway 以进行域和安全令牌身份验证 为与 EndpointManagement 配合使用的虚拟服务器配置 CitrixGateway 会话配置文件和策略。有关信息,请参阅 CitrixGateway 文档。 客户端证书或证书加域身份验证 February14,2022 EndpointManagement 的默认配置是用户名和密码身份验证。要为 EndpointManagement 环境中的注册和访 问再增加一个安全层,请考虑使用基于证书的身份验证。在 EndpointManagement 环境中,此配置是用于实现安全 性和用户体验的最佳组合。证书加域身份验证通过 CitrixGateway 进行的双重身份验证可提供最佳 SSO 选择和安全 性。 要实现最佳可用性,可以将证书加域身份验证与 CitrixPIN 和 ActiveDirectory 密码缓存组合在一起。因此,用户不 需要重复输入其 LDAP 用户名和密码。用户在注册、密码过期和帐户锁定时输入用户名和密码。 重要: 用户在 EndpointManagement 中注册设备后, EndpointManagement 不支持将身份验证模式从域身份验 证更改为某些其他身份验证模式。 如果禁用了 LDAP 并且不希望使用智能卡或类似方法,配置证书可代替智能卡来访问 EndpointManagement 。用户 随后使用 EndpointManagement 生成的唯一 PIN 进行注册。用户获取访问权限后, EndpointManagement 随 后创建和部署后续用来在 EndpointManagement 环境中执行身份验证的证书。 CitrixGateway 仅证书身份验证或证书加域身份验证时,可以使用 NetScalerforXenMobile 向导设置 EndpointManagement 所需的配置。只能运行一次 NetScalerforXenMobile 向导。 使用 在高度安全的环境中,在组织外的公共或不安全网络中使用 LDAP 凭据会被视为组织面临的首要安全威胁。对于高度安 全的环境,可以选择使用客户端证书和安全令牌的双重身份验证。有关信息,请参阅为证书和安全令牌身份验证配置 EndpointManagement 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.125 CitrixEndpointManagement MAM 和 MDM+MAM 中注册的设备。必须依次配置 Microsoft 服务器、 Endpoint Management 和 CitrixGateway ,才能对这些设备使用客户端证书身份验证。执行本文所述的如下常规步骤。 客户端证书身份验证适用于在 在 Microsoft 服务器上: 1. 2. 3. 向 Microsoft 管理控制台中添加证书管理单元。 向证书颁发机构 (CA) 中添加模板。 从 CA 服务器创建 PFX 证书。 在 EndpointManagement 中: 1. 2. 3. 4. 将证书上载到 EndpointManagement 。 为基于证书的身份验证创建 PKI 实体。 配置凭据提供程序。 将 CitrixGateway 配置为提供用于进行身份验证的用户证书。 有关 CitrixGateway 配置的信息,请参阅 CitrixADC 文档中的以下文章: • 客户端身份验证 •SSL 配置文件基础结构 • 配置和绑定客户端证书身份验证策略。 必备条件 • • • 创建 Microsoft 证书服务实体模板时,通过排除特殊字符来避免已注册的设备可能会出现的身份验证问题。例 如,请勿在模板名称中使用以下字符: :!$()##%+*~?|{}[] ExchangeActiveSync 配置基于证书的身份验证,请参阅有关 ExchangeServer 的微软文档。为 ExchangeActiceSync 配置证书颁发机构 (CA) 服务器站点以要求客户端证书。 要为 如果使用专用服务器证书来确保流向 ExchangeServer 的 ActiveSync 流量安全,请确保移动设备具有所有根 证书 / 中间证书。否则,在 SecureMail 中设置邮箱时,基于证书的身份验证将失败。在 ExchangeIIS 控制台 中,必须执行以下操作: – – – 添加一个 Web 站点以供 EndpointManagement 和 Exchange 使用,并绑定 Web 服务器证书。 使用端口 9443 。 对于该 Web 站点,必须添加两个应用程序,一个用于 Microsoft‑Server‑ActiveSync ,一个用于 EWS 。 对于这两个应用程序,请在 SSLSettings ( SSL 设置)下方选择 RequireSSL (需要 SSL )。 向 Microsoft 管理控制台添加证书管理单元 1. 2. 打开该控制台,然后单击添加 / 删除管理单元。 添加以下管理单元: • • 证书模板 证书 ( 本地计算机 ) ©1999 – 2023CloudSoftwareGroup,htsreserved.126 CitrixEndpointManagement • • 证书 ‑ 当前用户 证书颁发机构 ( 本地 ) 3. 展开证书模板。 4. 依次选择用户模板和复制模板。 ©1999 – 2023CloudSoftwareGroup,htsreserved.127 CitrixEndpointManagement 5. 提供模板显示名称。 重要: 仅在必要时选中在 ActiveDirectory 中发布证书复选框。如果选中了此选项,则将在 ActiveDirectory 中创建所有用户客户端证书,这可能会导致您的 ActiveDirectory 数据库混乱不堪。 6. 7. 选择 Windows2003Server 作为模板类型。在 Windows2012R2Server 中,在兼容性下选择证书颁发 机构,然后设置接受方 Windows2003 。 在安全下,单击添加,然后选择 EndpointManagement 将用于生成证书的 AD 用户帐户。 重要提示: 在此处仅添加服务帐户用户。请仅将注册权限添加到此 AD 用户帐户。 如本文后面所述,您将使用服务帐户创建用户 .pfx 证书。有关信息,请参阅从 CA 服务器创建 PFX 证书。 ©1999 – 2023CloudSoftwareGroup,htsreserved.128 CitrixEndpointManagement 8. 在加密下方,务必提供密钥大小。以后可在 EndpointManagement 配置过程中输入密钥大小。 ©1999 – 2023CloudSoftwareGroup,htsreserved.129 CitrixEndpointManagement 9. 在使用者名称下方,选择在请求中提供。应用更改并保存。 向证书颁发机构添加模板 1. 转至证书颁发机构并选择证书模板。 ©1999 – 2023CloudSoftwareGroup,htsreserved.130 CitrixEndpointManagement 2. 在右侧窗格中单击鼠标右键,然后选择新建 > 要颁发的证书模板。 3. 选择在上一步中创建的模板,然后单击确定将其添加到证书颁发机构。 ©1999 – 2023CloudSoftwareGroup,htsreserved.131 CitrixEndpointManagement 从 CA 服务器创建 PFX 证书 1. 2. 3. 使用登录时使用的服务帐户创建用户 .pfx 证书。 .pfx 会上传到 EndpointManagement ,然后端点管理将代 表注册其设备的用户请求用户证书。 在当前用户下方,展开证书。 在右侧窗格中单击鼠标右键,然后单击申请新证书。 4. 此时将显示证书注册屏幕。单击 Next (下一步)。 ©1999 – 2023CloudSoftwareGroup,htsreserved.132 CitrixEndpointManagement 5. 选择 ActiveDirectory 注册策略,然后单击下一步。 6. 选择用户模板,然后单击注册。 ©1999 – 2023CloudSoftwareGroup,htsreserved.133 CitrixEndpointManagement 7. 导出在上一步中创建的 .pfx 文件。 8. 单击是,导出私钥。 ©1999 – 2023CloudSoftwareGroup,htsreserved.134 CitrixEndpointManagement 9. 选中如果可能,则包括证书路径中的所有证书和导出所有扩展属性复选框。 ©1999 – 2023CloudSoftwareGroup,htsreserved.135 CitrixEndpointManagement 10. 设置在将此证书上载到 EndpointManagement 中时要使用的密码。 ©1999 – 2023CloudSoftwareGroup,htsreserved.136 CitrixEndpointManagement 11. 将证书保存到您的硬盘驱动器。 将证书上载到 EndpointManagement 1. 2. 3. 在 EndpointManagement 控制台中,单击右上角的齿轮图标。此时将显示设置屏幕。 依次单击证书和导入。 输入以下参数: • • • • • 导入:密钥库 密钥库类型: PKCS#12 用作:服务器 密钥库文件:单击 “ 浏览 ” 选择刚刚创建的 .pfx 证书。 密码:输入为此证书创建的密码。 ©1999 – 2023CloudSoftwareGroup,htsreserved.137 CitrixEndpointManagement 4. 5. 单击导入。 验证是否已正确安装证书。正确安装的证书将显示为用户证书。 为基于证书的身份验证创建 PKI 实体 1. 2. 3. 在设置中,转至更多 > 证书管理 >PKI 实体。 依次单击添加和 Microsoft 证书服务实体。此时将显示 Microsoft 证书服务实体 : 常规信息屏幕。 输入以下参数: • 名称:键入任意名称。 •Web 注册服务根 URL : RootCA-URL/certsrv/ (请务必在 URL 路径结尾添加一个 斜杠 / 。) • 页面名称: (默认值) • : (默认值) • 身份验证类型:客户端证书 •SSL 客户端证书:选择用于颁发 EndpointManagement 客户端证书的用户证书。如果不存在证书,请 按照上一节中的步骤上传证书。 ©1999 – 2023CloudSoftwareGroup,htsreserved.138 CitrixEndpointManagement 4. 在模板下方,添加配置 Microsoft 证书时创建的模板。请勿添加空格。 5. 6. 跳过 “HTTP 参数 ” ,然后单击 CA 证书。 选择与您的环境对应的根 CA 名称。此根 CA 属于从 EndpointManagement 客户端证书中导入的链的一部 分。 7. 单击保存。 配置凭据提供程序 1. 2. 3. 在设置中,转至更多 > 证书管理 > 凭据提供程序。 单击添加。 在常规下方,输入以下参数: • • • • • 名称:键入任意名称。 说明:键入任意说明。 颁发实体:选择之前创建的 PKI 实体。 颁发方法:签名 模板:选择在 “PKI 实体 ” 下方添加的模板。 ©1999 – 2023CloudSoftwareGroup,htsreserved.139 CitrixEndpointManagement 4. 单击证书签名请求,然后输入以下参数: • • • • 密钥算法: RSA 密钥大小: 2048 签名算法: SHA256withRSA 使用者名称: cn=$me 对于使用者备用名称,请单击添加,然后输入以下参数: • • 类型:用户主体名称 值: $incipalname 5. 单击分发并输入以下参数: • • 颁发 CA 证书:选择签署了 EndpointManagement 客户端证书的颁发 CA 。 选择分发模式:选择首选集中式 : 服务器端密钥生成。 6. 7. 对于后两个部分(吊销 EndpointManagement 和吊销 PKI ),根据需要设置参数。在此示例中,跳过这两 个选项。 单击续订。 ©1999 – 2023CloudSoftwareGroup,htsreserved.140 CitrixEndpointManagement 8. 9. 在证书过期时启用续订。 让所有其他设置保留为默认设置,或者根据需要进行更改。 10. 单击保存。 将 SecureMail 配置为使用基于证书的身份验证 将 SecureMail 添加到 EndpointManagement 时,请务必在应用程序设置下方配置 Exchange 设置。 在 EndpointManagement 中配置 CitrixGateway 证书传递 1. 2. 3. 在 EndpointManagement 控制台中,单击右上角的齿轮图标。此时将显示设置屏幕。 在服务器下方,单击 CitrixGateway 。 如果尚未添加 CitrixGateway ,请单击添加并指定以下设置: • • • • • • 名称:设备的描述性名称。 别名:设备的可选别名。 外部 URL : YourCitrixGatewayURL 登录类型:选择证书和域 需要密码:关 设置为默认值:开 ©1999 – 2023CloudSoftwareGroup,htsreserved.141 CitrixEndpointManagement 4. 对于身份验证和向用户提供用于身份验证的证书,选择开。 5. 6. 对于凭据提供程序,选择一个提供程序,然后单击保存。 要使用用户证书中的 sAMAccount 属性作为用户主体名称 (UPN) 的备用名称,请按如下所示在 Endpoint Management 中配置 LDAP 连接器:转至设置 >LDAP ,选择目录并单击编辑,然后在用户搜索依据中选择 sAMAccountName 。 启用 CitrixPIN 和用户密码缓存 要启用 CitrixPIN 和用户密码缓存,请转至设置 > 客户端属性,然后选中这些复选框:启用 CitrixPIN 身份验证和启 用用户密码缓存。有关详细信息,请参阅客户端属性。 客户端证书配置故障排除 成功配置前述配置及 CitrixGateway 配置后,用户工作流如下: ©1999 – 2023CloudSoftwareGroup,htsreserved.142 CitrixEndpointManagement 1. 用户注册其移动设备。 ntManagement 会提示用户创建 CitrixPIN 。 3. 4. 随后用户被重定向到应用商店。 用户启动 SecureMail 时, EndpointManagement 不提示其提供用户凭据以用于邮箱配置。相反, Secure Mail 将从 SecureHub 请求客户端证书,并将其提交给 MicrosoftExchangeServer 以进行身份验证。如果 EndpointManagement 在用户启动 SecureMail 时提示用户提供凭据,请检查您的配置。 如果用户能够下载并安装 SecureMail ,但邮箱配置过程中 SecureMail 无法完成配置: 1. 2. 如果 MicrosoftExchangeServerActiveSync 使用专用 SSL 服务器证书来确保流量安全,请验证是否已在 移动设备上安装根证书 / 中间证书。 验证为 ActiveSync 选择的身份验证类型是否为要求提供客户端证书。 3. 在 MicrosoftExchangeServer 上,检查 Microsoft‑Server‑ActiveSync 站点以验证是否已启用客户端 证书映射身份验证。默认情况下,客户端证书映射身份验证处于禁用状态。此选项位于配置编辑器 > 安全 > 身份 ©1999 – 2023CloudSoftwareGroup,htsreserved.143 CitrixEndpointManagement 验证下方。 选择 True 后,请务必单击应用以使更改生效。 4. 在 EndpointManagement 控制台中检查 CitrixGateway 设置:确保向用户提供用于身份验证的证书设置 为开,并且为凭据提供程序选择了正确的配置文件。 确定是否已向移动设备提供客户端证书 1. 2. 3. 在 EndpointManagement 控制台中,转至管理 > 设备,然后选择设备。 单击编辑或显示更多。 转至交付组部分,并搜索以下条目: CitrixGatewayCredentials:Requestedcredential,CertId= 验证是否已启用客户端证书协商 1. 运行以下 netsh 命令以显示 IISWeb 站点上绑定的 SSL 证书配置: netshhttpshowsslcert ©1999 – 2023CloudSoftwareGroup,htsreserved.144 CitrixEndpointManagement 2. 如果 NegotiateClientCertificate (协商客户端证书)的值为 Disabled (已禁用),请运行以下命令将其 启用: netshhttpdeletesslcertipport=0.0.0.0:443 netshhttpaddsslcertipport=0.0.0.0:443certhash=cert_hashappid={ app_id}certstorename=store_nameverifyclientcertrevocation=Enable VerifyRevocationWithCachedClientCertOnly=DisableUsageCheck=Enable clientcertnegotiation=Enable 例如: netshhttpaddsslcertipport=0.0.0.0:443certhash=23498dfsdfhaf98rhkjqf9823rkjhd appid={123asd456jd-a12b-3c45-d678-123456lkjhgf}certstorename= =DisableUsageCheck=Enableclientcertnegotiation=Enable 如果无法通过 EndpointManagement 向 WindowsPhone8.1 设备提供根证书 / 中间证书,请执行以下操作: ExampleCertStoreNameverifyclientcertrevocation=EnableVerifyRevocationWithCached • 通过电子邮件将根证书 / 中间证书 (.cer) 文件发送到 WindowsPhone8.1 设备并直接安装。 如果无法在 WindowsPhone8.1 上成功安装 SecureMail ,请验证以下项: • • • 应用程序注册令牌( .AETX 文件)是否已使用企业中心设备策略通过 EndpointManagement 提供。 创建应用程序注册令牌时使用的证书提供程序提供的企业证书是否与用于封装 SecureMail 并为 SecureHub 应用程序签名的企业证书相同。 是否使用相同的发布者 ID 签名并封装 SecureHub 、 SecureMail 和应用程序注册令牌。 PKI 实体 October18,2022 EndpointManagement 公钥基础结构 (PKI) 实体配置代表执行实际 PKI 操作(颁发、吊销和状态信息)的组件。这 些组件是 EndpointManagement 的内部组件或外部组件。内部组件称为自主组件。外部组件属于企业基础结构的组 成部分。 EndpointManagement 支持以下类型的 PKI 实体: •Microsoft 证书服务 • 任意证书颁发机构 (CA) EndpointManagement 支持以下 CA 服务器: •WindowsServer2008R2 •WindowsServer2012 •WindowsServer2012R2 ©1999 – 2023CloudSoftwareGroup,htsreserved.145 CitrixEndpointManagement •WindowsServer2016 •WindowsServer2019 常见 PKI 概念 无论何种类型,每个 PKI 实体均拥有下列功能的子集: • • • 签名:基于证书签名请求 (CSR) 颁发新证书。 提取:恢复现有证书和密钥对。 吊销:吊销客户端证书。 关于 CA 证书 配置 PKI 实体时,请向 EndpointManagement 指明哪个 CA 证书将成为该实体所颁发(或从该实体恢复)的证书的 签署者。该 PKI 实体可以返回任意多个不同 CA 签名(提取或新签名)的证书。 请在 PKI 实体配置过程中提供其中每个颁发机构的证书。为此,请将证书上载到 EndpointManagement ,然后在 PKI 实体中引用这些证书。对于任意 CA ,证书实际上是签名 CA 证书。对于外部实体,必须手动指定该证书。 重要: 创建 Microsoft 证书服务实体模板时,为避免已注册的设备可能会出现的身份验证问题:请勿在模板名称中使用 特殊字符。例如,请勿使用: !:$()##%+*~?|{}[] Microsoft 证书服务 EndpointManagement 通过其 Web 注册界面与 MicrosoftCertificateServices 交互。 EndpointManage‑ ment 仅支持通过该接口颁发新证书。如果 MicrosoftCA 生成 CitrixGateway 用户证书, CitrixGateway 将支持 续订和吊销这些证书。 要在 EndpointManagement 中创建 MicrosoftCAPKI 实体,必须指定证书服务 Web 界面的基本 URL 。如果选 择此项,则使用 SSL 客户端身份验证保护 EndpointManagement 与证书服务 Web 界面之间的连接。 添加 Microsoft 证书服务实体 1. 2. 在 EndpointManagement 控制台中,单击控制台右上角的齿轮图标,然后单击 PKI 实体。 在 PKI 实体页面上,单击添加。 此时将显示一个 PKI 实体类型菜单。 3. 单击 Microsoft 证书服务实体。 此时将显示 Microsoft 证书服务实体 : 常规信息页面。 4. 在 Microsoft 证书服务实体 : 常规信息页面上,配置以下设置: ©1999 – 2023CloudSoftwareGroup,htsreserved.146 CitrixEndpointManagement • 名称:为新实体键入名称,此名称以后将用于指代该实体。实体名称必须唯一。 •Web 注册服务根 URL :键入 MicrosoftCAWeb 注册服务的基本 URL 。例如: 192.0.0.1/ certsrv/ 。该 URL 可使用纯 HTTP 或 HTTP‑over‑SSL 。 • 页面名称: 页面的名称。若非因为某些原因重命名了此页面,请使用默认名 称。 • : 页面的名称。若非因为某些原因重命名了此页面,请使用默认名称。 • 身份验证类型:选择要使用的身份验证方法。 – 无 –HTTPBasic :键入连接所需的用户名和密码。 – 客户端证书:选择正确的 SSL 客户端证书。 • 使用 CloudConnector :选择开可使用 CloudConnector 连接到 PKI 服务器。然后,指定资源位置 以及连接的允许使用的相对路径。 – – 资源位置:从在 CitrixCloudConnector 中定义的资源位置进行选择。 允许使用的相对路径:允许为指定资源位置使用的相对路径。每行请指定一个路径。可以使用星号 (*) 通配符。 假定资源位置为 eRoot/certsrv 。要提供对该路径中的所有 URL 的 访问权限,请在允许使用的相对路径中输入 /* 。 5. 单击测试连接以确保服务器可以访问。如果不可访问,则会显示一条消息,指出连接失败。请检查配置设置。 ©1999 – 2023CloudSoftwareGroup,htsreserved.147 CitrixEndpointManagement 6. 单击下一步。 此时将显示 Microsoft 证书服务实体 : 模板页面。在此页面上,指定 MicrosoftCA 所支持模板的内部名称。创 建凭据提供程序时,从此处定义的列表中选择模板。使用此实体的每个凭据提供程序仅使用一个此类模板。 有关 Microsoft 证书服务模板的要求,请参阅您的 MicrosoftServer 版本对应的 Microsoft 文档。除了证书 中注明的证书格式外, EndpointManagement 对其分发的证书没有要求。 7. 8. 在 Microsoft 证书服务实体 : 模板页面上,单击添加,键入模板的名称,然后单击保存。为要添加的每个模板重 复执行此步骤。 单击下一步。 此时将显示 Microsoft 证书服务实体 :HTTP 参数页面。在此页面上,您可以指定自定义参数以供 Endpoint Management 添加到向 MicrosoftWeb 注册界面发送的 HTTP 请求。自定义参数仅对 CA 上运行的自定义脚 本有用。 9. 在 Microsoft 证书服务实体 : 下一步。 HTTP 参数页面上,单击添加,键入要添加的 HTTP 参数的名称和值,然后单击 此时将显示 Microsoft 证书服务实体 :CA 证书页面。在此页面上,必须将系统通过此实体获取的证书的签署者 告知 EndpointManagement 。续订 CA 证书后,将在 EndpointManagement 中对其进行更新。 Endpoint Management 以透明方式将更改应用于实体。 CA 证书页面上,选择要用于此实体的证书。 10. 11. 在 Microsoft 证书服务实体 : 单击保存。 实体将显示在 PKI 实体表格中。 CitrixGateway 证书吊销列表 (CRL) EndpointManagement 仅支持对第三方证书颁发机构使用证书吊销列表 (CRL) 。如果您配置了 MicrosoftCA , EndpointManagement 将使用 CitrixGateway 管理吊销。 配置基于客户端证书的身份验证时,请考虑是否要配置 CitrixGateway 证书吊销列表 (CRL) 设置 EnableCRLAuto Refresh (启用 CRL 自动刷新)。此步骤可确保处于仅 MAM 模式的设备的用户无法使用设备上的现有证书进行身份验 证。 EndpointManagement 将重新颁发新证书,因为吊销用户证书后, EndpointManagement 不会限制用户生成用 户证书。此设置提高了 CRL 检查过期的 PKI 实体时 PKI 实体的安全性。 任意 CA 向 EndpointManagement 提供 CA 证书及关联的私钥时,将创建任意 CA 。 EndpointManagement 将根据您指 定的参数,在内部处理证书颁发、吊销和状态信息。 ©1999 – 2023CloudSoftwareGroup,htsreserved.148 CitrixEndpointManagement 配置任意 CA 时,可以为该 CA 激活联机证书状态协议 (OCSP) 支持。如果您启用了 OCSP 支持, CA 将向该 CA 颁发 的证书中添加 id-pe-authorityInfoAccess 扩展。该扩展指向以下位置处的 EndpointManagement 内部 OCSP 响应者: 配置 OCSP 服务时,请为相关任意实体指定 OCSP 签名证书。可以将 CA 证书本身用作签署者。要避免 CA 私钥的不必 要暴露(建议避免),请创建一个由 CA 证书签名并包含 id-kp-OCSPSigningextendedKeyUsage 扩展的委 派 OCSP 签名证书。 EndpointManagementOCSPResponderService 支持在请求中使用基本 OCSP 响应及以下散列算法: •SHA‑256 •SHA‑384 •SHA‑512 响应通过 SHA‑256 及签名证书的密钥算法( DSA 、 RSA 或 ECDSA )进行签名。 为您的 CA 生成和导入证书 1. 在服务器上,使用本地系统帐户打开 Microsoft 管理控制台 (MMC) ,然后打开证书管理单元。在右侧窗格中, 右键单击,然后单击所有任务 > 请求新证书。 2. 在打开的向导中,单击下一步两次。在请求证书列表中,选择从属证书颁发机构,然后单击更多信息链接。 ©1999 – 2023CloudSoftwareGroup,htsreserved.149 CitrixEndpointManagement 3. 在窗口中,键入主题名称和替代名称。单击确定。 ©1999 – 2023CloudSoftwareGroup,htsreserved.150 CitrixEndpointManagement 4. 5. 单击注册,然后单击完成。 在 MMC 中,右键单击您创建的证书。单击所有任务 > 导出。将证书导出为带有私钥的 .pfx 文件。如果可能,请 选择在证书路径中包含所有证书的选项。 ©1999 – 2023CloudSoftwareGroup,htsreserved.151 CitrixEndpointManagement 6. 在 EndpointManagement 控制台中,导航到设置 > 证书。 7. 单击导入。在打开的窗口中,浏览以前导出的证书和私钥文件。 ©1999 – 2023CloudSoftwareGroup,htsreserved.152 CitrixEndpointManagement 8. 单击导入。证书将添加到表中。 添加任意 CA 1. 2. 在 EndpointManagement 控制台中,单击控制台右上角的齿轮图标,然后单击更多 >PKI 实体。 在 PKI 实体页面上,单击添加。 ©1999 – 2023CloudSoftwareGroup,htsreserved.153 CitrixEndpointManagement 3. 单击任意 CA 。 4. 在 “ 自由裁量 CA :常规信息 ” 页面上,配置以下内容: • • 名称:键入任意 CA 的描述性名称。 用于对证书请求进行签名的 CA 证书:单击任意 CA 用于为证书请求签名的证书。 此证书列表是根据您通过配置 > 设置 > 证书上载到 EndpointManagement 的 CA 证书(带私钥)生成 的。 5. 单击下一步。 6. 在 “ 自由 CA :参数 ” 页面上,配置以下内容: • • 序列号生成器:任意 CA 为其颁发的证书生成序列号。从此列表中,单击按顺序或不按顺序以确定序列号 的生成方式。 下一个序列号:键入一个用于确定颁发的下一个序列号的值。 ©1999 – 2023CloudSoftwareGroup,htsreserved.154 CitrixEndpointManagement • • • 7. 证书有效期:键入证书有效的天数。 密钥用法:通过将相应的密钥设置为开,标识任意 CA 所颁发证书的目的。一旦设置, CA 仅限于为此目的 颁发证书。 扩展密钥用法:要添加更多参数,请单击添加,键入密钥名称,然后单击保存。 单击下一步。 8. 在任意 CA: 分发页面上,选择分发模式: • • 集中式 : 服务器端密钥生成。 Citrix 建议使用集中选项。在服务器上生成并存储私钥,然后分发到用户设备。 分布式 : 设备端密钥生成。私钥在用户设备上生成。此分布式模式使用 SCEP 并需要采用 keyUsage keyEncryption 扩展名的 RA 加密证书和采用 KeyUsagedigitalSignature 扩展名的 RA 签名证 书。同一个证书可以同时用于加密和签名。 9. 单击下一步。 10. 在 “ 自由授权 CA :在线证书状态协议 (OCSP)” 页面上,配置以下内容: • • 如果要向此 CA 签名的证书添加 AuthorityInfoAccess (RFC2459) 扩展,请将为此 CA 启用 OCSP 支持设置为开。此扩展指向位于 的 CAOCSP 响应者。 如果启用了 OCSP 支持,请选择 OSCP 签名 CA 证书。此证书列表使用您上载到 EndpointManagement 的 CA 证书生成。 启用该功能使 CitrixADC 有机会检查证书的状态。 Citrix 建议您启用此功能。 ©1999 – 2023CloudSoftwareGroup,htsreserved.155 CitrixEndpointManagement 11. 单击保存。 任意 CA 将显示在 PKI 实体表格中。 配置凭据提供程序 1. 2. 在 EndpointManagement 控制台中,导航到设置 > 凭据提供程序,然后单击添加。 在凭据提供程序:常规信息页面上,配置以下内容: • • • • 3. 名称:为新提供程序配置键入唯一名称。此名称之后将用于在 EndpointManagement 控制台的其他部 分标识该配置。 说明:凭据提供程序的说明。尽管此字段为可选字段,但说明可以提供有关此凭据提供程序的有用详细信 息。 发行实体:选择自行授权 CA 。 颁发方法:单击签名或提取以选择系统用于从已配置的实体获取证书的方法。对于客户端证书身份验证, 请使用签名。 单击下一步。在凭据提供程序 : 证书签名请求页面上,根据您的证书配置来配置以下各项: • 密钥算法:选择用于获取新密钥对的密钥算法。可用值为 RSA 、 DSA 和 ECDSA 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.156 CitrixEndpointManagement • • • • 密钥大小:键入密钥对的大小(以位为单位)。此字段为必填字段。 Citrix 建议使用 2048 位。 签名算法:单击用于新证书的值。值取决于密钥算法。 Citrix 建议使用 SHA256withRSA 。 使用者名称:必填。键入新证书使用者的标识名 (DN) 。使用 CN=${me} 作为用户名 或 CN=${ountname} 以使用 samAccountName 。 要向使用者备用名称表中添加新条目,请单击添加。选择备用名称的类型,然后在第二列中键入一个值。 添加以下内容: – – 类型:用户主体名称 值: $incipalname 与主题名称一样,您可以在值字段中使用 EndpointManagement 宏。 4. 单击下一步。在凭据提供程序:分发页面上,配置以下内容: • • 颁发 CA 证书:选择之前添加的自行授权 CA 证书。 选择分发模式:选择以下生成和分发密钥的方法之一: – 首选集中式 : 服务器端密钥生成: Citrix 建议采用此集中式选项。它支持 EndpointManagement 支持的所有平台,并且在使用 CitrixGateway 身份验证时也需要使用此模式。在服务器上生成并存 储私钥,然后分发到用户设备。 – 首选分布式 : 设备端密钥生成:在用户设备上生成并存储私钥。此分布式模式使用 SCEP 并需要采 用 keyUsagekeyEncryption 的 RA 加密证书和采用 KeyUsagedigitalSignature 的 RA 签名 证书。同一个证书可以同时用于加密和签名。 – 仅分布式:设备端密钥生成:此选项与 “ 首选分布式:设备端密钥生成 ” 相同,但是如果设备端密钥 生成失败或不可用,则没有选项可用。 如果选择首选分布式 : 设备端密钥生成或仅限分布式 : 设备端密钥生成,请单击 RA 签名证书和 RA 加密证书。同 一个证书可用于这两个目的。此时将显示有关这些证书的新字段。 5. 单击下一步。在凭据提供程序:吊销 EndpointManagement 页面上,配置 EndpointManagement 内 部将通过此提供程序配置颁发的证书标记为已撤销的条件。配置以下设置: ©1999 – 2023CloudSoftwareGroup,htsreserved.157 CitrixEndpointManagement • • • 6. 在吊销已颁发的证书中,选择一个表明何时应吊销证书的选项。 要指示 EndpointManagement 在吊销证书时发送通知,请将发送通知的值设置为开并选择通知模板。 使用 EndpointManagement 作为自行决定 PKI 时,撤销 PKI 上的证书不起作用。 单击下一步。在凭据提供程序:吊销 PKI 页面上,确定如果证书被吊销,应对 PKI 采取哪些操作。您还可以选 择创建通知消息。配置以下设置: • • 启用外部撤销检查:打开此设置。此时将显示更多与吊销 PKI 相关的字段。 在 OCSP 响应方 CA 证书列表中,选择证书主题的判别名称 (DN) 。 可以为 DN 字段值使用 EndpointManagement 宏。例如: CN=${me},OU =${ment},O=${yname},C=${user.c} endquotation • 在吊销证书时列表中,单击吊销证书时对 PKI 实体执行的以下操作之一: – – – • 不执行任何操作。 续订证书。 吊销和擦除设备。 要指示 EndpointManagement 在吊销证书时发送通知,请将发送通知的值设置为开。 ©1999 – 2023CloudSoftwareGroup,htsreserved.158 CitrixEndpointManagement 可以从两个通知选项中选择: – – 7. 如果选择选择通知模板,则可以选择预先写好的通知消息,且之后可以进行自定义。这些模板位于通 知模板列表中。 如果选择输入通知详细信息,则可以自行编写通知消息。除了提供收件人的电子邮件地址和消息,还 可以设置发送通知的频率。 单击下一步。在凭据提供商:续订页面上,配置以下内容: 将证书过期时续订设置为开。此时将显示更多字段。 • 在证书在此时间内提供时续订字段中,键入在过期前多少天续订证书。 • (可选)选择不续订已过期的证书。在此情况下, “ 已过期 ” 表示证书的 “ NotAfter ” 日期在过去,不是指 证书已被吊销。在内部吊销证书后, EndpointManagement 不会续订这些证书。 EndpointManagement 在续订证书时发送通知,请将发送通知设置为开。要指示 Endpoint Management 在证书接近过期时发送通知,请将证书即将过期时通知设置为开。 要指示 对于其中任一选择方式,可以从两个通知选项中选择: • • 8. 选择通知模板:选择预先写好的通知消息,且之后可以进行自定义。这些模板位于通知模板列表中。 输入通知详细信息:自行编写通知消息。提供收件人电子邮件地址、消息和频率,以便发送通知。 单击保存。 凭据提供程序 May19,2022 凭据提供程序是在 EndpointManagement 系统的各个部分中使用的实际证书配置。凭据提供程序定义证书的来源、 参数和生命周期。无论这些证书是设备配置的一部分还是独立的配置(即,按原样推送到设备),都是这样。 ©1999 – 2023CloudSoftwareGroup,htsreserved.159 CitrixEndpointManagement 设备注册约束证书生命周期。也就是说, EndpointManagement 在注册前不颁发证书,尽管 EndpointManage‑ ment 可能会在注册的过程中颁发某些证书。此外,在某个注册环境下从内部 PKI 颁发的证书会在注册被吊销时吊销。 管理关系终止后,不保留任何有效证书。 一个凭据提供程序配置可用于多个位置,从而达到通过一个配置同时控制任意多个证书的效果。这时,其唯一性在于部 署资源和部署。例如,如果凭据提供程序 P 作为配置 C 的一部分部署到设备 D : P 的颁发设置将决定部署到 D 的证书。 同样,在更新 C 时将应用 D 的续订设置。并且,删除 C 或吊销 D 时将应用 D 的吊销设置。 根据这些规则, EndpointManagement 中的凭据提供程序配置确定以下各项: • • • • • 证书的来源。 获取证书的方法:签发新证书还是提取(恢复)现有证书和密钥对。 用于颁发或恢复的参数。例如,密钥大小、密钥算法和证书扩展名等证书签名请求 (CSR) 参数。 将证书交付给设备的方式。 吊销条件。尽管在管理关系终止后 EndpointManagement 中的所有证书都将被吊销,但该配置可以指定在更早 时间吊销。例如,配置可以指定在删除关联设备配置时吊销证书。此外,在某些情况下, EndpointManagement 中关联证书的吊销可能会发送给后端公钥基础结构 (PKI) 。也就是说,在 EndpointManagement 中吊销证书 可能导致在 PKI 上吊销证书。 • 续订设置。通过指定凭据提供程序获取的证书可以在即将过期时自动续订。或者采用与之不同的方式,在接近过 期时由系统发送通知。 配置选项的可用性主要取决于为凭据提供程序选择的 PKI 实体的类型和颁发方法。 证书颁发方法 可以通过签名获得证书,也就是所谓的颁发方法。 利用此方法,颁发包括创建新私钥、创建 CSR 和将 CSR 提交给证书颁发机构 (CA) 进行签名。 EndpointManagement 支持 MS 证书服务实体和任意 CA 实体的签名方法。 凭据提供程序使用签名颁发方法。 证书交付 EndpointManagement 中可用的证书交付模式共有两种:集中和分散。分布式模式使用简单证书注册协议 (SCEP) , 并且只有在客户端支持该协议时方可使用(仅限 iOS )。在某些情况下,必须采用分布式模式。 对于支持分散式( SCEP 辅助)交付的凭据提供程序,需要特殊的配置步骤:设置注册机构 (RA) 证书。需要 RA 证 书是因为,使用 SCEP 协议时, EndpointManagement 充当实际证书颁发机构的委派者(注册者)。 Endpoint Management 必须向客户端证实自己有权执行此类操作。通过向 EndpointManagement 上载上述证书,可以建 立该机构。 需要两种不同的证书角色(尽管同一证书即可满足这两项要求): RA 签名和 RA 加密。这些角色的限制如下: •RA 签名证书必须拥有 X.509 密钥用法数字签名。 •RA 加密证书必须拥有 X.509 密钥用法密钥加密。 ©1999 – 2023CloudSoftwareGroup,htsreserved.160 CitrixEndpointManagement 要配置凭据提供程序的 RA 证书,请先将证书上载到 EndpointManagement ,然后在凭据提供程序中链接到这些证 书。 仅当凭据提供程序为证书角色配置了证书时,才可将凭据提供程序视为支持分散式交付。可以将每个凭据提供程序配置 为首选集中式模式、首选分布式模式或要求分布式模式。实际结果取决于具体环境:如果环境不支持分布式模式,但是 凭据提供程序要求使用该模式,部署将失败。同样,如果环境要求使用分布式模式,但凭据提供程序不支持该模式,部 署也将失败。在所有其他情况下,将会应用首选设置。 下面显示了 SCEP 在整个 EndpointManagement 的分布: 上下文支持 SCEP 是 是 是 否 否 否 不可以,但 Windows10 和 需要 SCEP 是 否 否 否 否 否 否 iOS 配置文件服务 iOS 移动设备管理注册 iOS 配置文件 SHTP 注册 SHTP 配置 WindowsTablet 注册 WindowsTablet 配置 Windows11 版本支持的网络设备 策略除外 证书吊销 有三种类型的吊销。 • 内部吊销:内部吊销影响由 EndpointManagement 维护的证书状态。重新评估提供的证书时,或者提供证书 的 OCSP 状态信息时, EndpointManagement 会考虑此状态。凭据提供程序配置决定在各种条件下此状态 受到的影响。例如,凭据提供程序可以指定从设备中删除证书后将这些证书标记为已吊销。 • • 外部传播的吊销:又称 “ 吊销 EndpointManagement” ,这种类型的吊销适用于从外部 PKI 获取的证书。在 凭据提供程序配置定义的条件下, EndpointManagement 在内部吊销证书时也会在 PKI 上吊销该证书。 PKI” ,这种类型的吊销也仅适用于从外部 PKI 获取的证书。每次 Endpoint Management 评估指定证书的状态时, EndpointManagement 都将向 PKI 查询该状态。如果证书已吊销, EndpointManagement 将在内部吊销该证书。此机制使用 OCSP 协议。 外部引起的吊销:又称 “ 吊销 这三种类型并不互斥,而是可以一起应用。外部吊销或独立查询结果可能会导致内部吊销。内部吊销会潜在影响外部吊 销。 ©1999 – 2023CloudSoftwareGroup,htsreserved.161 CitrixEndpointManagement 证书续订 证书续订由吊销现有证书和颁发另一个证书两个过程组成。 EndpointManagement 将首先尝试获取新证书,然后再吊销之前的证书,以避免在颁发失败时造成服务中断。如果 采用分散式(支持 SCEP )交付,仅当证书成功安装到设备后再进行吊销。否则,将在新证书发送给设备之前进行吊销。 这种吊销与证书是否安装成功无关。 配置吊销时,需要指定特定的持续时间(天)。如果设备已连接,服务器将验证证书的 “ NotAfter ” 日期是否晚于当前 日期减去指定的持续时间。如果证书满足该条件, EndpointManagement 将尝试续订该证书。 创建凭据提供程序 凭据提供程序的配置方式有多种,主要取决于为其选择的颁发实体和颁发方法。可以将使用内部实体或外部实体的凭据 提供程序区分开来: • 任意实体属于内部实体,位于 EndpointManagement 内部。任意实体的颁发方法始终为签名。签名意味着, 在执行每个颁发操作时, EndpointManagement 都将使用为该实体选择的 CA 证书给新密钥对签名。该密钥 对是在设备上生成还是在服务器上生成取决于所选的分发方法。 • 1. 2. 外部实体包括 MicrosoftCA ,属于您的企业基础结构的一部分。 在 EndpointManagement 控制台中,单击右上角的齿轮图标,然后单击设置 > 凭据提供程序。 在凭据提供程序页面上,单击添加。 此时将显示凭据提供程序 : 常规信息页面。 3. 在凭据提供程序 : 常规信息页面上,执行以下操作: • • • • • 名称:为新提供程序配置键入唯一名称。此名称之后将用于在 EndpointManagement 控制台的其他部 分标识该配置。 说明:凭据提供程序的说明。尽管此字段为可选字段,但说明可以提供有关此凭据提供程序的有用详细信 息。 颁发实体:单击凭据颁发实体。 颁发方法:单击签名或提取以选择系统用于从已配置的实体获取证书的方法。对于客户端证书身份验证, 请使用签名。 如果模板列表可用,请为凭据提供程序选择您在 PKI 实体下添加的模板。 在设置 >PKI 实体中添加 Microsoft 证书服务实体时,这些模板将变为可用。 4. 单击下一步。 此时将显示凭据提供程序 : 证书签名请求页面。 5. 在凭据提供程序 : 证书签名请求页面上,根据您的证书配置来配置以下各项: • 密钥算法:选择用于获取新密钥对的密钥算法。可用值为 RSA 、 DSA 和 ECDSA 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.162 CitrixEndpointManagement • 密钥大小:键入密钥对的大小(以位为单位)。此字段为必填字段。 允许的值取决于密钥类型。例如, DSA 密钥的最大大小为 2048 位。为避免出现错误的负值(取决于基础 硬件和软件), EndpointManagement 不强制实施密钥大小。应始终先在测试环境中测试凭据提供程 序配置,然后在生产环境中激活这些配置。 • • 签名算法:单击用于新证书的值。值取决于密钥算法。 使用者名称:必填。键入新证书使用者的标识名 (DN) 。例如: CN=${me},OU=${ment},O=${yname },C=${user.c}endquotation Forexample,forclientcertificateauthentication,usethesesettings: – – – – • Keyalgorithm:RSA Keysize:2048 Signaturealgorithm:SHA256withRSA Subjectname: cn=$me 要向使用者备用名称表中添加新条目,请单击添加。选择备用名称的类型,然后在第二列中键入一个值。 对于客户端证书身份验证,请指定以下设置: – – 类型:用户主体名称 值: $incipalname 与 “ 使用者名称 ” 相同,可以在值字段中使用 EndpointManagement 宏。 6. 单击下一步。 此时将显示凭据提供程序 : 分发页面。 7. 在凭据提供程序 : 分发页面上,执行以下操作: • • 在颁发 CA 证书列表中,单击提供的 CA 证书。由于凭据提供程序使用任意 CA 实体,因此该凭据提供程序 的 CA 证书将始终为在该实体上配置的 CA 证书。 CA 证书在此显示是为了与使用外部实体的配置保持一致。 在选择分发模式中,单击以下生成和分发密钥方式中的一种: – 首选集中式 : 服务器端密钥生成: Citrix 建议采用此集中式选项。它支持 EndpointManagement 支持的所有平台,并且在使用 CitrixGateway 身份验证时也需要使用此模式。在服务器上生成并存 储私钥,然后分发到用户设备。 – 首选分布式 : 设备端密钥生成:在用户设备上生成并存储私钥。此分布式模式使用 SCEP 并需要采 用 keyUsagekeyEncryption 的 RA 加密证书和采用 KeyUsagedigitalSignature 的 RA 签名 证书。同一个证书可以同时用于加密和签名。 – 仅限分布式 : 设备端密钥生成:此选项与 “ 首选分布式 : 设备端密钥生成 ” 的工作方式相同,但是此选 项是 “ 仅限 ” 而非 “ 首选 ” ,当设备端生成密钥失败或不可用时,没有其他选项可用。 如果选择首选分布式 : 设备端密钥生成或仅限分布式 : 设备端密钥生成,请单击 RA 签名证书和 RA 加密证书。同 一个证书可用于这两个目的。此时将显示有关这些证书的新字段。 ©1999 – 2023CloudSoftwareGroup,htsreserved.163 CitrixEndpointManagement 8. 单击下一步。 此时将显示凭据提供程序 : 吊销 EndpointManagement 页面。在此页面上,配置 EndpointManagement 在内部将通过此提供程序配置颁发的证书标记为吊销的条件。 9. 在凭据提供程序 : 吊销 EndpointManagement 页面上,执行以下操作: • • • 在吊销已颁发的证书中,选择一个表明何时应吊销证书的选项。 要指示 EndpointManagement 在吊销证书时发送通知,请将发送通知的值设置为开并选择通知模板。 要在从 EndpointManagement 吊销证书后在 PKI 上吊销该证书,请将吊销 PKI 上的证书设置为 开,并在实体列表中,单击某个模板。实体列表将显示具有吊销功能的所有可用实体。从 Endpoint Management 吊销证书后,吊销调用将发送给在实体列表中选择的 PKI 。 10. 单击下一步。 此时将显示凭据提供程序 : 吊销 PKI 页面。请在此页面上指出吊销证书时应对 PKI 执行的操作。您还可以选择创 建通知消息。 11. 在凭据提供程序 : 吊销 PKI 页面上,如果要从 PKI 吊销证书,请执行以下操作: • • 将启用外部吊销检查设置更改为开。此时将显示更多与吊销 PKI 相关的字段。 在 OCSP 响应者 CA 证书列表中,单击证书使用者的标识名 (DN) 。 可以为 DN 字段值使用 EndpointManagement 宏。例如: CN=${me},OU =${ment},O=${yname},C=${user.c} endquotation • 在吊销证书时列表中,单击吊销证书时对 PKI 实体执行的以下操作之一: – – – • 不执行任何操作。 续订证书。 吊销和擦除设备。 要指示 EndpointManagement 在吊销证书时发送通知,请将发送通知的值设置为开。 可以从两个通知选项中选择: • • 12. 如果选择选择通知模板,则可以选择预先写好的通知消息,且之后可以进行自定义。这些模板位于通知模 板列表中。 如果选择输入通知详细信息,则可以自行编写通知消息。除了提供收件人的电子邮件地址和消息,还可以 设置发送通知的频率。 单击下一步。 此时将显示凭据提供程序 : 续订页面。在此页面上,可以将 EndpointManagement 配置为执行以下操作: • • 续订证书。可以选择在续订时发送通知,以及选择从操作中排除已过期的证书。 为即将过期的证书发送通知(续订前通知)。 ©1999 – 2023CloudSoftwareGroup,htsreserved.164 CitrixEndpointManagement 13. 在凭据提供程序 : 续订页面上,如果要在证书过期时进行续订,请执行以下操作: 将在证书过期时续订设置为开。此时将显示更多字段。 • 在证书在此时间内提供时续订字段中,键入在过期前多少天续订证书。 • (可选)选择不续订已过期的证书。在此情况下, “ 已过期 ” 表示证书的 “ NotAfter ” 日期在过去,不是指 证书已被吊销。在内部吊销证书后, EndpointManagement 不会续订这些证书。 EndpointManagement 在续订证书时发送通知,请将发送通知设置为开。要指示 Endpoint Management 在证书接近过期时发送通知,请将证书即将过期时通知设置为开。 要指示 对于其中任一选择方式,可以从两个通知选项中选择: • • 选择通知模板:选择预先写好的通知消息,且之后可以进行自定义。这些模板位于通知模板列表中。 输入通知详细信息:自行编写通知消息。提供收件人电子邮件地址、消息和频率,以便发送通知。 在证书在此时间内提供时通知字段中,键入在证书过期前多少天发送通知。 14. 单击保存。 凭据提供程序将显示在 “ 凭据提供程序 ” 表中。 APNs 证书 July7,2023 要在 EndpointManagement 中注册并管理 Apple 设备,请设置 Apple 提供的 Apple 推送通知服务 (APNs) 证书。 该证书通过 Apple 推送网络实现移动设备管理。 工作流程摘要: 步骤 1 :通过以下任一方法创建证书签名请求 (CSR) : • • • 在 macOS 上使用钥匙串访问创建 CSR ( Citrix 推荐) 使用 MicrosoftIIS 创建 CSR 使用 OpenSSL 创建 CSR 步骤 2 :在 EndpointManagement 工具中签署 CSR 步骤 3 :将签名的 CSR 提交给 Apple 以获取 APNs 证书 步骤 4 :使用执行步骤 1 的同一台计算机,完成 CSR 并导出 PKCS#12 文件: • • • 在 macOS 上使用钥匙串访问创建 PKCS#12 文件 使用 MicrosoftIIS 创建 PKCS#12 文件 使用 OpenSSL 创建 PKCS#12 文件 步骤 5 :将 APNs 证书导入 EndpointManagement 步骤 6 :续订 APNs 证书 ©1999 – 2023CloudSoftwareGroup,htsreserved.165 CitrixEndpointManagement 创建证书签名请求 我们建议您在 macOS 上使用钥匙串访问来创建 CSR 。还可以通过 MicrosoftIIS 或 OpenSSL 创建 CSR 。 重要: • 对于用于创建证书的 AppleID : –TheAppleIDmustbeacorporateIDandnotapersonalID. –RecordtheAppleIDthatyouusetocreatethecertificate. –Torenewyourcertificate,differ‑ entAppleIDtorenewthecertificaterequiredevicere‑enrollment. • • 如果您无意或有意吊销了该证书,则无法管理自己的设备。 如果使用 iOSDeveloperEnterpriseProgram 创建移动设备管理器推送证书:请务必在 ApplePush CertificatesPortal 中处理面向迁移的证书的任何操作。 在 macOS 上使用钥匙串访问创建 CSR 1. 在运行 macOS 的计算机上,在应用程序 > 实用工具下方,启动钥匙串访问应用程序。 2. 打开钥匙串访问菜单,然后单击证书助理 > 从证书颁发机构请求证书。 3.“ 证书助理 ” 将提示您输入以下信息: • 电子邮件地址:管理证书的个人或角色帐户的电子邮件地址。 • 常用名称:管理证书的个人或角色帐户的公用名称。 •CA 电子邮件地址:证书颁发机构的电子邮件地址。 4. 选择存储到磁盘和让我指定密钥对信息选项,然后单击继续。 5. 输入 CSR 文件的名称,在您的计算机上保存此文件,然后单击保存。 6. 指定密钥对信息:选择密钥大小 2048 位以及 RSA 算法,然后单击继续。作为 APNs 证书流程的一部分, CSR 文件已可供上载。 7. 8. 证书助理完成 CSR 流程后,单击完成。 要继续,请签署 CSR 。 使用 MicrosoftIIS 创建 CSR 生成 APNs 证书请求的第一步是创建证书签名请求 (CSR) 。对于 Windows ,请通过使用 MicrosoftIIS 生成 CSR 。 1. 2. 3. 4. 打开 MicrosoftIIS 。 双击 IIS 的服务器证书图标。 在服务器证书窗口中,单击创建证书申请。 键入适当的唯一判别名 (DN) 信息。例如,您可以键入 EndpointManagement 服务器的完全限定域名 (FQDN) ,例如 。然后,单击下一步。 5. 为加密服务提供程序选择 MicrosoftRSASChannelCryptographicProvider ,并为位长度选择 2048 , 然后单击下一步。 ©1999 – 2023CloudSoftwareGroup,htsreserved.166 CitrixEndpointManagement 6. 7. 输入文件名并指定 CSR 的保存位置,然后单击完成。 要继续,请签署 CSR 。 使用 OpenSSL 创建 CSR 如果无法使用 macOS 设备或 MicrosoftIIS 生成 CSR ,请使用 OpenSSL 。可以从 OpenSSLWeb 站点下载并安装 OpenSSL 。 1. 在安装 OpenSSL 的计算机上,通过命令提示符或 shell 运行以下命令。 csr-newkeyrsa:2048 – outCompanyAPNScertificate. 2. 此时将显示以下要求证书命名信息的消息。根据请求输入信息。 1Youareabouttobeaskedtoenterinformationthatwillbe incorporatedintoyourcertificaterequest. 2WhatyouareabouttoenteriswhatiscalledaDistinguishedName oraDN. 3Therearequiteafewfieldsbutyoucanleavesomeblank 4Forsomefieldstherewillbeadefaultvalue, 5Ifyouenter'.',thefieldwillbeleftblank. 6----- 7CountryName(2lettercode)[AU]:US 8StateorProvinceName(fullname)[Some-State]:CA 9LocalityName(eg,city)[]:RWC 10OrganizationName(eg,company)[InternetWidgitsPtyLtd]: Customer 11OrganizationalUnitName(eg,section)[:Marketing 12CommonName(eg,YOURname)[]:JohnDoe 13EmailAddress[]:@ 14 3. 在下一条消息中,输入 CSR 私钥的密码。 1 2 3 4 5 Pleaseenterthefollowing'extra'attributes tobesentwithyourcertificaterequest Achallengepassword[]: Anoptionalcompanyname[]: 4. 要继续,请按照下一节中的说明为 CSR 签名。 ©1999 – 2023CloudSoftwareGroup,htsreserved.167 CitrixEndpointManagement 为 CSR 签名 要将证书与 EndpointManagement 一起使用,必须将其提交给 Citrix 进行签名。 Citrix 使用其移动设备管理签名 证书给 CSR 签名并返回 .plist 格式的已签名文件。 1. 在浏览器中,转到 EndpointManagement 工具网站,然后单击请求推送通知证书签名。 2. 在创建新证书页面上,单击上载 CSR 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.168 CitrixEndpointManagement 3. 浏览并选择证书。 重要: 证书必须为 .pem/txt 格式。如果需要,通过右键单击并重命名该文件,将证书的文件扩展名更改为 .pem 或 .txt 。 4. 5. 在 EndpointManagementAPNsCSRSigning ( EndpointManagementAPNsCSR 签名)页面上, 单击 Sign (签名)。将为 CSR 签名并将签名后的 CSR 自动保存到已配置的下载文件夹。 要继续,请按照下一节中的说明提交签名的 CSR 。 将签名后的 CSR 提交给 Apple 以获取 APNs 证书 Citrix 签名的证书签名请求 (CSR) 后,将 CSR 提交给 Apple 以获取导入 EndpointManagement 所需的 APNs 证书。 收到 注意: 有些用户报告登录 Apple 推送门户时遇到问题。作为替代方法,您可以登录 Apple 开发者门户。然后,您可以按 ©1999 – 2023CloudSoftwareGroup,htsreserved.169 CitrixEndpointManagement 照以下步骤进行操作: 1. 2. 3. 4. 5. 6. 在浏览器中,转到 Apple 推送证书门户。 单击 CreateaCertificate (创建证书)。 首次使用 Apple 创建证书:选中 Ihavereadandagreetothesetermsandconditions (我已阅读并 同意这些条款和条件)复选框,然后单击 Accept (接受)。 单击 ChooseFile (选择文件),浏览到计算机上已签名的 CSR ,然后单击 Upload (上载)。此时将显示一条 确认消息,指示上载成功。 单击 Download (下载)以检索 .pem 证书。 要继续,请完成 CSR 并导出 PKCS#12 文件,如下一节中所述。 完成 CSR 并导出 PKCS#12 文件 收到 Apple 提供的 APNs 证书后,返回到钥匙串访问、 MicrosoftIIS 或 OpenSSL 以将证书导出到 PCKS#12 文件 中。 PKCS#12 文件包含 APNS 证书文件和您的私钥。 PFX 文件的扩展名通常为 .pfx 或 .p12 。可以互换使用 .pfx 和 .p12 文件。 重要: Citrix 建议您保存或导出本地系统中的个人密钥和公钥。您需要密钥来访问 APNs 证书以便重复使用。如果没有 相同的密钥,您的证书无效,您必须重复执行整个 CSR 和 APNs 过程。 在 macOS 上使用钥匙串访问创建 PKCS#12 文件 重要: 在此任务中使用的 macOS 设备应与生成 CSR 时使用的 macOS 设备相同。 1. 2. 3. 4. 5. 6. 7. 8. 在设备上,找到从 Apple 收到的生产标识 (.pem) 证书。 启动钥匙串访问应用程序并导航到登录 > 我的证书选项卡。将产品标识证书拖放到打开的窗口中。 单击证书并展开左箭头以验证证书是否包含关联的私钥。 要开始将证书导出到 PCKS#12(.pfx) 证书中,请选择证书和私钥,单击鼠标右键,然后选择导出 2 个项目。 使用唯一的名称为证书文件命名,以便在 EndpointManagement 中使用。请勿在名称中包含空格字符。然 后,为保存的证书选择一个文件夹位置,选择 .pfx 文件格式,然后单击保存。 输入用于导出证书的密码。 Citrix 建议使用具有唯一性的强密码。还要确保证书和密码的安全性,以供以后使用 和引用。 钥匙串访问应用程序将提示您输入登录密码或选定的钥匙串。键入密码,然后单击确定。保存的证书现在即可用 于 EndpointManagement 服务器。 要继续,请参阅将 APNs 证书导入 EndpointManagement 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.170 CitrixEndpointManagement 使用 MicrosoftIIS 创建 PKCS#12 文件 重要: 在此任务中使用的 IIS 服务器应与生成 CSR 时使用的 IIS 服务器相同。 1. 2. 3. 4. 5. 6. 打开 MicrosoftIIS 。 单击服务器证书图标。 在服务器证书窗口中,单击完成证书申请。 浏览至来自 Apple 的 文件。然后,键入友好名称或证书名称,并单击确定。请勿在名称中包 含空格字符。 选择在步骤 4 中找到的证书,然后单击导出。 指定 .pfx 证书的位置和文件名以及密码,然后单击确定。 您需要证书的密码才能将其导入 EndpointManagement 。 7. 8. 将 .pfx 证书复制到计划安装 EndpointManagement 的服务器上。 要继续,请参阅将 APNs 证书导入 EndpointManagement 。 使用 OpenSSL 创建 PKCS#12 文件 如果您使用 OpenSSL 创建 CSR ,还可以使用 OpenSSL 创建 .pfxAPNs 证书。 下,运行以下命令。 是来自您的 CSR 的私钥。 APNs_ 是您刚刚从 Apple 收到的证书。 在命令提示符或 opensslpkcs12-export-inAPNs_ekey .pem-outapns_ 2. 3. 4. 输入 .pfx 证书文件的密码。记住此密码,因为在将证书上载到 EndpointManagement 时要再次使用该密码。 记下 .pfx 证书文件的位置。然后,将该文件复制到 EndpointManagement 服务器中,以便可以使用控制台 上载文件。 要继续,请将 APNs 证书导入 EndpointManagement ,如下一节中所述。 将 APNs 证书导入 EndpointManagement 在收到新 APNs 证书后:将 APNs 证书导入 EndpointManagement ,以便首次添加该证书或者替换证书。 1. 2. 3. 4. 在 EndpointManagement 控制台中,转至设置 > 证书。 单击导入 > 密钥库。 在用作中,选择 APNs 。 浏览到计算机上的 .pfx 或 .p12 文件。 ©1999 – 2023CloudSoftwareGroup,htsreserved.171 CitrixEndpointManagement 5. 输入密码,然后单击导入。 有关 EndpointManagement 中证书的更多信息,请参阅证书和身份验证。 续订 APNs 证书 重要: 如果您在续订过程中使用其他 AppleID ,则必须重新注册用户设备。 要续订 APNs 证书,请执行创建证书的步骤,然后前往 Apple 推送证书门户。使用该门户上载新证书。登录后,将显示 您的现有证书或者从您之前的 Apple 开发人员帐户导入的证书。 在 CertificatesPortal 中,续订证书的唯一区别是要单击 Renew (续订)。您必须在 CertificatesPortal 上拥有开 发人员帐户才能访问该站点。要续订证书,请使用相同的组织名称和 AppleID 。 要确定 APNs 证书的过期时间,请在 EndpointManagement 控制台中转至设置 > 证书。如果证书过期,请不要吊 销。 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 使用 MicrosoftIIS 、钥匙串访问 (macOS) 或 OpenSSL 生成 CSR 。有关生成 CSR 的更多信息,请参阅创建 证书签名请求。 在浏览器中,转到 EndpointManagement 工具。然后,单击 Requestpushnotificationcertificate signature (申请推送通知证书签名)。 单击 +UploadtheCSR ( + 上载 CSR )。 在对话框中,导航到 CSR ,单击 Open (打开),然后单击 Sign (签名)。 收到 .plist 文件时,将其保存。 在步骤 3 标题中,单击 ApplePushCertificatesPortal 并登录。 选择要续订的证书,然后单击 Renew (续订)。 上载 .plist 文件。您将收到输出文件 .pem 。保存 .pem 文件。 使用该 .pem 文件完成 CSR (根据您在步骤 1 中创建 CSR 时使用的方法)。 将证书导出为 .pfx 文件。 在 EndpointManagement 控制台中,导入 .pfx 文件并按如下所示完成配置: 1. 2. 3. 4. 转到设置 > 证书 > 导入。 在导入菜单中,选择密钥库。 从密钥库类型菜单中,选择 PKCS#12 。 在用作中,选择 APNs 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.172 CitrixEndpointManagement 5. 6. 7. 8. 对于密钥库文件,单击浏览并导航到该文件。 在密码中,键入证书密码。 键入可选说明。 单击导入。 EndpointManagement 将您重定向回证书页面。名称、状态、有效期开始时间和有效期结束时间字段将更新。 SAML 单点登录与 CitrixFiles November26,2021 重要: 本文仅适用于未启用 Workspace 的 EndpointManagement 环境。在启用了 Workspace 的环境中, Content Collaboration 直接与 CitrixWorkspace 集成。 ©1999 – 2023CloudSoftwareGroup,htsreserved.173 CitrixEndpointManagement 可以将 EndpointManagement 和 ContentCollaboration 配置为使用安全声明标记语言 (SAML) 来提供对 Citrix Files 移动应用程序的单点登录 (SSO) 访问。此功能包括: • • • 使用 MDXToolkit 启用或封装 MAMSDK 的 CitrixFiles 应用程序 未封装的 CitrixFiles 客户端,例如 Web 站点、 Outlook 插件或同步客户端 对于封装的 CitrixFiles 应用程序:登录到 CitrixFiles 的用户将被重定向到 SecureHub 以进行用户身份 验证并获取 SAML 令牌。成功进行身份验证后, CitrixFiles 移动应用程序会将 SAML 令牌发送到 Content Collaboration 。初始登录后,用户可以通过 SSO 访问 CitrixFiles 移动应用程序。还可以将附件从 Content Collaboration 附加到 SecureMail 邮件,而不需要每次都登录。 • 对于非封装的 CitrixFiles 客户端:使用 Web 浏览器或其他 CitrixFiles 客户端登录到 CitrixFiles 的用户将 被重定向到 EndpointManagement 。 EndpointManagement 对用户进行身份验证,然后用户获取发送到 ContentCollaboration 的 SAML 令牌。初始登录后,用户可以通过 SSO 访问 CitrixFiles 客户端,而不需 要每次都登录。 要将 EndpointManagement 作为 SAML 身份提供程序 (IdP) 用于 ContentCollaboration ,必须将 Endpoint Management 配置与 Enterprise 帐户结合使用,如本文中所述。或者,可以将 EndpointManagement 配置为只 与存储区域连接器一起使用。有关详细信息,请参阅 ContentCollaboration 与 EndpointManagement 结合使 用。 有关详细的参考体系结构图,请参阅体系结构。 必备条件 先完成以下必备条件,才能对 EndpointManagement 和 CitrixFiles 应用程序配置 SSO : •MAMSDK 或兼容版本的 MDXToolkit (适用于 CitrixFiles 移动应用程序)。 有关详细信息,请参阅 EndpointManagement 兼容性。 • 兼容版本的 CitrixFiles 移动应用程序和 SecureHub 。 •ContentCollaboration 管理员帐户。 • 通过验证的 EndpointManagement 与 ContentCollaboration 之间的连接。 配置 ContentCollaboration 访问权限 在为 ContentCollaboration 设置 SAML 之前,请按以下方式提供 ContentCollaboration 访问信息: 1. 在 EndpointManagementWeb 控制台中,单击配置 >ContentCollaboration 。此时将显示 Content Collaboration 配置页面。 ©1999 – 2023CloudSoftwareGroup,htsreserved.174 CitrixEndpointManagement 2. 配置以下设置: • 域:键入您的 ContentCollaboration 子域名。例如: 。 • 分配给交付组:选择或搜索希望能够对 ShareFile 使用 SSO 的交付组。 •ContentCollaboration 管理员帐户登录 • 用户名:键入 ContentCollaboration 管理员用户名。此用户必须具有管理员权限。 • 密码:键入 ContentCollaboration 管理员密码。 • 用户帐户预配:保留此设置处于禁用状态。使用 CitrixContentCollaboration 用户管理工具进行用户 预配。请参阅预配用户帐户和通讯组。 3. 4. 单击测试连接按钮以确认 ContentCollaboration 管理员帐户的用户名和密码是否可以向指定的 Content Collaboration 帐户进行身份验证。 单击保存。 •EndpointManagement 将与 ContentCollaboration 同步并更新 ContentCollaboration 设置 ShareFile 颁发者 / 实体 ID 和登录 URL 。 • 配置 >ContentCollaboration 页面将显示应用程序内部名称。您需要该名称才能完成后面在修改 设置中介绍的步骤。 ©1999 – 2023CloudSoftwareGroup,htsreserved.175 CitrixEndpointManagement 为封装的 CitrixFilesMDX 应用程序设置 SAML 对于包含通过 MAMSDK 准备的 CitrixFiles 应用程序的单点登录配置,您无需使用 CitrixGateway 。要为未封装的 CitrixFiles 客户端(例如 Web 站点、 Outlook 插件或同步客户端)配置访问权限,请参阅为其他 CitrixFiles 客户 端配置 CitrixGateway 。 要为封装的 CitrixFilesMDX 应用程序配置 SAML ,请执行以下操作: 1. 2. 3. 4. 5. 下载适用于 EndpointManagement 的 CitrixContentCollaboration 客户端。请参阅 下载。 通过 MAMSDK 准备 CitrixFiles 移动应用程序。有关详细信息,请参阅 MAMSDK 概述。 在 EndpointManagement 控制台中,上载准备的 CitrixFiles 移动应用程序。有关上载 MDX 应用程序的信 息,请参阅将 MDX 应用程序添加到 EndpointManagement 。 验证 SAML 设置:使用在前面配置的管理员用户名和密码登录 ContentCollaboration 。 确认为 ContentCollaboration 和 EndpointManagement 配置了相同的时区。确保 EndpointManage‑ ment 按配置的时区显示正确时间。如果不正确, SSO 可能会失败。 验证 CitrixFiles 移动应用程序 1. 2. 3. 在用户设备上,安装和配置 SecureHub 。 从应用商店下载并安装 CitrixFiles 移动应用程序。 启动 CitrixFiles 移动应用程序。 CitrixFiles 将启动,但不提示输入用户名和密码。 使用 SecureMail 验证 1. 2. 3. 在用户设备上,如果尚未安装和配置 SecureHub ,请进行安装和配置。 从应用商店下载、安装并设置 SecureMail 。 打开新的电子邮件窗体,并轻按从 ShareFile 附加。此时将显示可以附加到电子邮件中的文件,但不提示输入 用户名或密码。 为其他 CitrixFiles 客户端配置 CitrixGateway 要配置对未封装的 CitrixFiles 客户端(例如 Web 站点、 Outlook 插件或同步客户端)的访问,请将 CitrixGateway 配置为支持将 EndpointManagement 用作 SAML 身份提供程序,如下所示。 • • • 禁用主页重定向。 创建 CitrixFiles 会话策略和配置文件。 在 CitrixGateway 虚拟服务器上配置策略。 ©1999 – 2023CloudSoftwareGroup,htsreserved.176 CitrixEndpointManagement 禁用主页重定向 对通过 /cginfra 路径发出的请求禁用默认行为。执行该操作后,用户将看到最初请求的内部 URL ,而非配置的主页。 1. 编辑用于 EndpointManagement 登录的 CitrixGateway 虚拟服务器的设置。在 CitrixGateway 中,转至 OtherSettings (其他设置),然后取消选中标签为 RedirecttoHomePage (重定向到主页)的复选框。 2. 3. 在 ShareFile (现在称为 ContentCollaboration )下方,键入 EndpointManagement 内部服务器的名 称和端口号。 在 CitrixEndpointManagement 下,键入您的 EndpointManagementURL 。 此配置授权您向通过 /cginfra 路径输入的 URL 发送请求。 创建 CitrixFiles 会话策略并请求配置文件 请配置以下设置以创建 CitrixFiles 会话策略并请求配置文件: 1. 2. 3. 4. 在 CitrixGateway 配置实用程序的左侧导航窗格中单击 NetScalerGateway>Policies (策略) >Session (会话)。 创建会话策略。在 Policies (策略)选项卡上,单击 Add (添加)。 在 Name (名称)字段中,键入 ShareFile_Policy 。 + 按钮创建操作。此时将显示 CreateNetScalerGatewaySessionProfile (创建 NetScaler Gateway 会话配置文件)页面。 单击 ©1999 – 2023CloudSoftwareGroup,htsreserved.177 CitrixEndpointManagement 配置以下设置: •Name (名称):键入 ShareFile_Profile 。 • 单击 ClientExperience (客户端体验)选项卡,然后配置以下设置: –HomePage (主页):键入 none (无)。 –SessionTime‑out(mins) (会话超时 ( 分钟 ) ):键入 1 。 –SingleSign‑ontoWebApplications (单点登录到 Web 应用程序):选择此设置。 –CredentialIndex (凭据索引):单击 PRIMARY (主要)。 • 单击 PublishedApplications (已发布的应用程序)选项卡。 ©1999 – 2023CloudSoftwareGroup,htsreserved.178 CitrixEndpointManagement 配置以下设置: •ICAProxy ( ICA 代理):单击 ON (开)。 •WebInterfaceAddress ( WebInterface 地址):键入 EndpointManagement 服务器的 URL 。 •SingleSign‑onDomain (单点登录域):键入 ActiveDirectory 的域名。 配置 CitrixGateway 会话配置文件时, SingleSign‑onDomain (单点登录域)的域后缀必须与在 LDAP 中定义的 EndpointManagement 域别名匹配。 5. 6. 单击 Create (创建)以定义会话配置文件。 单击 ExpressionEditor (表达式编辑器)。 ©1999 – 2023CloudSoftwareGroup,htsreserved.179 CitrixEndpointManagement 配置以下设置: •Value (值):键入 NSC_FSRD 。 •HeaderName (标头名称):键入 COOKIE 。 7. 单击 Create (创建),然后单击 Close (关闭)。 在 CitrixGateway 虚拟服务器上配置策略 在 CitrixGateway 虚拟服务器上配置以下设置。 1. 2. 3. 4. 在 CitrixGateway 配置实用程序的左侧导航窗格中单击 NetScalerGateway>VirtualServers (虚拟服 务器)。 在 Details (详细信息)窗格中,单击 CitrixGateway 虚拟服务器。 单击编辑。 单击 Configuredpolicies (已配置的策略) >Sessionpolicies (会话策略),然后单击 Addbinding (添 加绑定)。 ©1999 – 2023CloudSoftwareGroup,htsreserved.180 CitrixEndpointManagement 5. 6. 选择 ShareFile_Policy 。 编辑为选定策略自动生成的 Priority (优先级)编号,以便与列出的任何其他策略相比,其优先级最高(编号最 小)。例如: 7. 单击 Done (完成),然后保存运行的 CitrixGateway 配置。 修改 设置 针对 MDX 和非 MDXCitrixFiles 应用程序进行以下更改。 重要: 内部应用程序名称后附加了一个新编号: • • 每次编辑或重新创建 CitrixFiles 应用程序时 每次在 EndpointManagement 中更改 ContentCollaboration 设置时 因此,您还必须在 CitrixFilesWeb 站点中更新登录 URL ,以反映更新后的应用程序名称。 1. 2. 3. 以 ContentCollaboration 管理员身份登录到您的 ContentCollaboration 帐户 ( < subdomain>. ) 。 在 ContentCollaborationWeb 界面中,单击 Admin (管理),然后选择 ConfigureSingleSign‑on (配 置单点登录)。 按如下所示编辑 LoginURL (登录 URL ): 下面是编辑之前的 LoginURL (登录 URL )示例: /samlsp/websso. do?action=authenticateUser&app=ShareFile_SAML_SP&reqtype=1 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.181 CitrixEndpointManagement •EndpointManagement 服务器 FQDN 前面插入 CitrixGateway 虚拟服务器的外部 FQDN 和 /cginfra/https/ ,然后在 EndpointManagementFQDN 后面添加 8443 。 在 下面是编辑后的 URL 示例: /cginfra/https/xms .:8443/samlsp/?action=authenticateUser&app= ShareFile_SAML_SP&reqtype=1 • 将参数 &app=ShareFile_SAML_SP 更改为内部 CitrixFiles 应用程序名称。默认情况下,内部名称为 ShareFile_SAML 。但是,每次更改配置时,都会向内部名称附加一个数字( ShareFile_SAML_2 、 ShareFile_SAML_3 等)。可以在配置 >ContentCollaboration 页面上查找应用程序内部名称。 下面是编辑后的 URL 示例: /cginfra/https/xms .:8443/samlsp/?action=authenticateUser&app= ShareFile_SAML&reqtype=1 • 向 URL 的末尾添加 &nssso=true 。 下面是最终 URL 示例: /cginfra/https/xms .:8443/samlsp/?action=authenticateUser&app= ShareFile_SAML&reqtype=1&nssso=true 。 4. 在 OptionalSettings (可选设置)下方,选中 EnableWebAuthentication (启用 Web 身份验证)复 选框。 ©1999 – 2023CloudSoftwareGroup,htsreserved.182 CitrixEndpointManagement 验证配置 请执行以下配置以验证设置。 1. 在浏览器中访问 。 系统会将您重定向到 CitrixGateway 登录表单。如果未被重定向,请验证前面的配置设置。 2. 输入所配置的 CitrixGateway 和 EndpointManagement 环境的用户名和密码。 此时将在 下显示您的 CitrixFiles 文件夹。如果未显示您的 CitrixFiles 文件夹,请确保您输入了正确的登录凭据。 通过 CitrixCloud 使用 AzureActiveDirectory 进行身份验证 October18,2022 EndpointManagement 支持通过 CitrixCloud 使用 AzureActiveDirectory(AzureAD) 凭据进行身份验证。此 身份验证方法仅适用于通过 CitrixWorkspace 应用程序或 CitrixSecureHub 注册 MDM 的用户。如果 Endpoint Management 已启用工作区,则用户可从 CitrixWorkspace 应用程序访问资源。如果您未启用 CitrixWorkspace 与 CitrixEndpointManagement 的集成,则用户可以从 SecureHub 访问资源。 在 MAM 中注册的设备无法通过 CitrixCloud 使用 AzureAD 凭据进行身份验证。要将 SecureHub 与 MDM+MAM EndpointManagement 配置为使用 CitrixGateway 进行 MAM 注册。有关更多信息,请参阅 CitrixGateway 和 EndpointManagement 。 结合使用,请将 EndpointManagement 使用 CitrixCloud 服务、 Citrix 身份与 AzureActiveDirectory 联盟。 Citrix 建议您使 用 Citrix 身份提供程序来代替与 AzureActiveDirectory 直接连接。 ©1999 – 2023CloudSoftwareGroup,htsreserved.183 CitrixEndpointManagement EndpointManagement 支持以下平台使用 AzureAD 进行身份验证: • • • 未在 Apple 商务管理或 Apple 校园教务管理中注册的 iOS 和 macOS 设备 在 Apple 商务管理中注册的 iOS 和 macOS 设备 适用于 BYOD 和完全托管模式的 AndroidEnterprise 设备(预览版) 通过 CitrixCloud 使用 AzureAD 进行身份验证具有以下限制: • • 不适用于 EndpointManagement 本地帐户。 不支持通过 AzureAD 对注册邀请进行身份验证。如果您向用户发送了一个包含注册 URL 的注册邀请,用户将 通过 LDAP 进行身份验证,而非通过 AzureAD 。 必备条件 • • • • • AzureActiveDirectory 用户凭据 ActiveDirectory 中的用户组必须与 AzureActiveDirectory 中的用户组匹配。 ActiveDirectory 中的用户名和电子邮件地址必须与 AzureActiveDirectory 中的用户名和 CitrixCloud 帐户,安装了用于目录服务同步的 CitrixCloudConnector 。 CitrixGateway 。 Citrix 建议您启用基于证书的身份验证以实现完整的单点登录体验。如果您在 Citrix Gateway 上使用 LDAP 身份验证进行 MAM 注册,最终用户在注册期间会遇到双身份验证提示。有关详细信息, 请参阅客户端证书或证书加域身份验证。 如果 EndpointManagement 未启用 Workspace ,则为 SecureHub 。 如果 • •EndpointManagement 已启用 Workspace ,则 CitrixWorkspace 应用程序。有关启用 Citrix Workspace 集成的信息,请参阅 Workspace 配置。 • 在 AndroidEnterprise 的注册配置文件中,将允许用户拒绝设备管理设置为关闭。如果用户拒绝设备管理, 则无法使用身份提供商注册进行身份验证。有关详细信息,请参阅注册安全性。 可以在启用或不启用 Workspace 的情况下配置此功能。 如果 EndpointManagement 启用了 Workspace ,则配置 如果将 EndpointManagement 与 CitrixWorkspace 集成,则通过 CitrixCloud 使用 AzureAD 配置身份验证的 一般步骤如下: 1. 2. 将 CitrixCloud 配置为使用 AzureAD 作为身份提供程序。 将 AzureAD 配置为 CitrixWorkspace 的身份验证方法。 如果 EndpointManagement 未启用 Workspace ,则配置 如果未为 EndpointManagement 启用 CitrixWorkspace ,则通过 CitrixCloud 使用 AzureAD 配置身份验证的 一般步骤如下: 1. 2. 将 CitrixCloud 配置为使用 AzureAD 作为身份提供程序。 将 Citrix 身份配置为 EndpointManagement 的 IdP 类型。 ©1999 – 2023CloudSoftwareGroup,htsreserved.184 CitrixEndpointManagement 完成该配置后,已加入域的 SecureHub 用户可以使用 SecureHub 使用其 AzureAD 凭据登录。 SecureHub 对 MAM 设备使用客户端证书身份验证。 将 CitrixCloud 配置为使用 AzureActiveDirectory 作为您的身份提供程序 要将此服务设置为与 CitrixWorkspace 应用程序和 SecureHub 配合使用,请在 CitrixCloud 中配置 AzureActive Directory 。 1. 2. 3. 转到 并登录到您的 CitrixCloud 帐户。 在 CitrixCloud 菜单中,转至身份识别和访问管理页面并连接到 AzureActiveDirectory 。 键入您的管理员登录 URL ,然后单击连接。 4. 5. 登录后,您的 AzureActiveDirectory 帐户将连接到 CitrixCloud 。身份识别和访问管理 > 身份验证页面显 示哪些帐户用于登录您的 CitrixCloud 和 AzureAD 帐户。 要为通过 CitrixWorkspace 应用程序和 SecureHub 注册的用户启用 AzureAD 的身份验证,请在工作区配 置 > 身份验证下,选择 AzureActiveDirectory 。完成配置后,您可以通过 CitrixWorkspace 应用程序和 SecureHub 注册用户设备。 将 Citrix 身份配置为适用于 EndpointManagement 的 IdP 类型 此配置仅适用于通过 SecureHub 注册的用户。在 CitrixCloud 中配置 AzureActiveDirectory 后,请按如下所示 配置 EndpointManagement 。 ©1999 – 2023CloudSoftwareGroup,htsreserved.185 CitrixEndpointManagement 1. 2. 在 EndpointManagement 控制台中,转至设置 > 身份提供程序 (IDP) ,然后单击添加。 在身份提供程序 (IDP) 页面上,配置以下内容: •IDP 名称:键入唯一名称以标识您正在创建的 IdP 连接。 •IDP 类型:选择 Citrix 身份平台。 • 身份验证域:选择 AzureActiveDirectory 。此域对应于 CitrixCloudWorkspace 配置 > 身份验证 页面上的身份提供程序域。 3. 单击下一步。在 IDP 声明使用情况页面上,配置以下内容: • 用户标识符类型:默认情况下,此字段设置为 userPrincipalName 。确保在本地活动目录和 Azure ActiveDirectoryActiveDirectory 中为所有用户配置相同的标识符。 EndpointManagement 使用 此标识符将身份提供商上的用户与本地 ActiveDirectory 用户映射。 • 4. 用户标识符字符串:此字段自动填充。 单击下一步,检查摘要页面,然后单击保存。 SecureHub 用户、 EndpointManagement 控制台和自助服务门户用户现在可以使用其 AzureActive Directory 凭据登录。 SecureHub 身份验证流程 EndpointManagement 使用以下流程在通过 SecureHub 注册的设备上使用 AzureAD 作为 IdP 对用户进行身份 验证: 1. 2. 3. 4. 5. 6. 用户开始使用 SecureHub 。 SecureHub 将身份验证请求传递到 Citrix 身份,该身份再将请求传递到 AzureActiveDirectory 。 用户键入 AzureActiveDirectory 用户名和密码。 AzureActiveDirectory 验证用户并将某个代码发送到 Citrix 身份。 Citrix 身份将该代码发送到 SecureHub ,后者再将该代码发送到 EndpointManagement 服务器。 EndpointManagement 通过使用代码和密码获取 ID 令牌,然后验证 ID 令牌中的用户信息。 Endpoint Management 返回会话 ID 。 通过 CitrixCloud 使用 Okta 进行身份验证 October18,2022 EndpointManagement 支持通过 CitrixCloud 使用 Okta 凭据进行身份验证。此身份验证方法仅适用于通过 Citrix Workspace 应用程序或 CitrixSecureHub 注册 MDM 的用户。如果 EndpointManagement 已启用工作区,则用 户可从 CitrixWorkspace 应用程序访问资源。如果您未启用 CitrixWorkspace 与 CitrixEndpointManagement 的集成,则用户可以从 SecureHub 访问资源。 ©1999 – 2023CloudSoftwareGroup,htsreserved.186 CitrixEndpointManagement 在 MAM 中注册的设备无法通过 CitrixCloud 使用 Okta 凭据进行身份验证。要将 SecureHub 与 MDM+MAM 结合 使用,请将 EndpointManagement 配置为使用 CitrixGateway 进行 MAM 注册。有关更多信息,请参阅 Citrix Gateway 和 EndpointManagement 。 EndpointManagement 使用 CitrixCloud 服务、 Citrix 身份与 Okta 联合。 Citrix 建议您使用 Citrix 身份提供程 序来代替与 Okta 直接连接。 EndpointManagement 支持以下平台使用 Okta 进行身份验证: • • • 未在 Apple 商务管理或 Apple 校园教务管理中注册的 iOS 和 macOS 设备 在 Apple 商务管理中注册的 iOS 和 macOS 设备 适用于 BYOD 和完全托管模式的 AndroidEnterprise 设备(预览版) 通过 CitrixCloud 使用 Okta 进行身份验证有以下限制: • • 不适用于 EndpointManagement 本地帐户。 不支持通过 Okta 进行注册邀请的身份验证。如果您向用户发送了一个包含注册 URL 的注册邀请,用户将通过 LDAP 进行身份验证,而非通过 Okta 。 必备条件 • • • • • Okta 用户凭据 ActiveDirectory 中的用户组必须与 Okta 中的用户组匹配。 活动目录中的用户名和电子邮件地址必须与 Okta 中的用户名和电子邮件地址相匹配。 CitrixCloud 帐户,安装了用于目录服务同步的 CitrixCloudConnector CitrixGateway 。 Citrix 建议您启用基于证书的身份验证以实现完整的单点登录体验。如果您在 Citrix Gateway 上使用 LDAP 身份验证进行 MAM 注册,最终用户在注册期间会遇到双身份验证提示。有关详细信息, 请参阅客户端证书或证书加域身份验证。 如果 EndpointManagement 未启用 Workspace ,则为 SecureHub 。 如果 • •EndpointManagement 已启用 Workspace ,则 CitrixWorkspace 应用程序。有关启用 Citrix Workspace 集成的信息,请参阅 Workspace 配置。 • 在 AndroidEnterprise 的注册配置文件中,将允许用户拒绝设备管理设置为关闭。如果用户拒绝设备管理, 则无法使用身份提供商注册进行身份验证。有关详细信息,请参阅注册安全性。 可以在启用或不启用 Workspace 的情况下配置此功能。 如果 EndpointManagement 启用了 Workspace ,则配置 如果将 EndpointManagement 与 CitrixWorkspace 集成,则通过 CitrixCloud 使用 Okta 配置身份验证的一般 步骤如下: 1. 2. 将 CitrixCloud 配置为使用 Okta 作为您的身份提供商。 将 Okta 配置为 CitrixWorkspace 的身份验证方法。 ©1999 – 2023CloudSoftwareGroup,htsreserved.187 CitrixEndpointManagement 要将 CitrixCloud 配置为使用 Okta 作为身份提供程序并将 Okta 设置为 CitrixWorkspace 的身份验证方法,请参 阅将 Okta 作为身份提供程序连接到 CitrixCloud 。 完成配置后,您可以通过 CitrixWorkspace 应用程序注册用户设备。 如果 EndpointManagement 未启用 Workspace ,则配置 如果未为 EndpointManagement 启用 CitrixWorkspace ,则通过 CitrixCloud 配置使用 Okta 进行身份验证的 常规步骤为: 1. 2. 将 CitrixCloud 配置为使用 Okta 作为您的身份提供商。 将 Citrix 身份配置为 EndpointManagement 的 IdP 类型。 将 CitrixCloud 配置为使用 Okta 作为您的身份提供程序 要在 CitrixCloud 中配置 Okta ,请参阅将 Okta 作为身份提供商连接到 CitrixCloud 。 将 Citrix 身份配置为适用于 EndpointManagement 的 IdP 类型 此配置仅适用于通过 SecureHub 注册的用户。在 CitrixCloud 中配置 AzureActiveDirectory 后,请按如下所示 配置 EndpointManagement 。 1. 2. 在 EndpointManagement 控制台中,转至设置 > 身份提供程序 (IDP) ,然后单击添加。 在身份提供程序 (IDP) 页面上,配置以下内容: •IDP 名称:键入用于识别要创建的 IdP 连接的唯一名称。 •IDP 类型:选择 Citrix 身份提供商。 • 身份验证域:选择 CitrixCloud 域。如果不确定要选择哪一个,则您的域将显示在 CitrixCloud 身份和 访问管理 > 身份验证页面上。 3. 单击下一步。在 IDP 声明用法页面中,配置以下设置: ©1999 – 2023CloudSoftwareGroup,htsreserved.188 CitrixEndpointManagement • 用户标识符类型:此字段设置为 userPrincipalName 。确保在本地 ActiveDirectory 和 Okta 中为所 有用户配置相同的标识符。 EndpointManagement 使用此标识符将身份提供商上的用户与本地 Active Directory 用户映射。 • 用户标识符字符串:此字段自动填充。 完成此配置后,已加入域的 SecureHub 用户可以使用 SecureHub 使用其 Okta 凭据登录。 SecureHub 对 MAM 设备使用客户端证书身份验证。 SecureHub 身份验证流程 EndpointManagement 使用以下流程在通过 SecureHub 注册的设备上使用 Okta 作为 IdP 的用户进行身份验证: 1. 2. 3. 4. 5. 6. 用户开始使用 SecureHub 。 SecureHub 将身份验证请求传递给 Citrix 身份,然后 Citrix 身份将请求传递给 Okta 。 用户键入其用户名和密码。 Okta 验证用户并向 Citrix 身份发送代码。 Citrix 身份将该代码发送到 SecureHub ,后者再将该代码发送到 EndpointManagement 服务器。 EndpointManagement 通过使用代码和密码获取 ID 令牌,然后验证 ID 令牌中的用户信息。 Endpoint Management 返回会话 ID 。 通过 CitrixCloud 使用本地 CitrixGateway 进行身份验证 October18,2022 EndpointManagement 支持通过 CitrixCloud 使用本地 CitrixGateway 进行身份验证。此身份验证方法仅适用 于通过 CitrixWorkspace 应用程序或 CitrixSecureHub 注册 MDM 的用户。如果 EndpointManagement 已启 用工作区,则用户可从 CitrixWorkspace 应用程序访问资源。如果您未启用 CitrixWorkspace 与 CitrixEndpoint Management 的集成,则用户可以从 SecureHub 访问资源。 在 MAM 中注册的设备无法通过 CitrixCloud 使用本地 CitrixGateway 凭据进行身份验证。要将 SecureHub 与 MDM+MAM 结合使用,请将 EndpointManagement 配置为使用 CitrixGateway 进行 MAM 注册。有关更多信 息,请参阅 CitrixGateway 和 EndpointManagement 。 EndpointManagement 支持通过 CitrixCloud 对以下平台使用本地 CitrixGateway 进行身份验证: ©1999 – 2023CloudSoftwareGroup,htsreserved.189 CitrixEndpointManagement •iOS 设备 • 适用于 BYOD 和完全托管模式的 AndroidEnterprise 设备 注意: EndpointManagement 不支持使用本地 CitrixGateway 进行身份验证以便通过 CitrixCloud 发送注册邀 请。如果您向用户发送包含注册 URL 的注册邀请,则用户将通过 LDAP 而非本地 CitrixGateway 作为身份提供 程序进行身份验证。 Citrix 建议您启用基于证书的身份验证以实现完整的单点登录体验。如果您在 CitrixGateway 上使用 LDAP 身份验证 进行 MAM 注册,最终用户在注册期间会遇到双身份验证提示。有关详细信息,请参阅客户端证书或证书加域身份验证。 必备条件 •CitrixGateway 。 Citrix 建议您启用基于证书的身份验证以实现完整的单点登录体验。如果您在 Citrix Gateway 上使用 LDAP 身份验证进行 MAM 注册,则最终用户在注册过程中会遇到双重身份验证提示。有关详 细信息,请参阅客户端证书或证书加域身份验证。 • 安装了 CitrixCloudConnector 的 CitrixCloud 帐户以进行目录服务同步。 •SecureHub20.5.0 及更高版本(如果 EndpointManagement 未启用工作区)。 • 如果 EndpointManagement 已启用 Workspace ,则 CitrixWorkspace 应用程序。有关启用 Citrix Workspace 集成的信息,请参阅 Workspace 配置。 可以在启用或不启用 Workspace 的情况下配置此功能。 如果 EndpointManagement 启用了 Workspace ,则配置 如果将 EndpointManagement 与 CitrixWorkspace 集成,则通过 CitrixCloud 使用本地 CitrixGateway 配置 身份验证的一般步骤如下: 1. 2. 将 CitrixCloud 配置为使用 CitrixGateway 作为您的身份提供商。 将 CitrixGateway 配置为 CitrixWorkspace 的身份验证方法。 要将 CitrixCloud 配置为使用 CitrixGateway 作为身份提供程序,并将 CitrixGateway 设置为 CitrixWorkspace 的身份验证方法,请参阅将本地 CitrixGateway 作为身份提供程序连接到 CitrixCloud 。 完成配置后,您可以通过 CitrixWorkspace 应用程序注册用户设备。 如果 EndpointManagement 未启用 Workspace ,则配置 如果未为 EndpointManagement 启用 CitrixWorkspace ,则通过 CitrixCloud 使用本地 CitrixGateway 配置 身份验证的一般步骤如下: 1. 2. 将 CitrixCloud 配置为使用 CitrixGateway 作为您的身份提供商。 将 Citrix 身份配置为 EndpointManagement 的 IdP 类型。 ©1999 – 2023CloudSoftwareGroup,htsreserved.190 CitrixEndpointManagement 将 CitrixCloud 配置为使用 CitrixGateway 作为您的身份提供程序 要在 CitrixCloud 中设置 CitrixGateway 身份验证,请参阅将本地 CitrixGateway 作为身份提供程序连接到 Citrix Cloud 。 将 Citrix 身份提供程序配置为适用于 EndpointManagement 的 IdP 类型 此配置仅适用于通过 SecureHub 注册的用户。在 CitrixCloud 中配置 CitrixGateway 后,请按如下所示配置 EndpointManagement 。 1. 2. 在 EndpointManagement 控制台中,转至设置 > 身份提供程序 (IDP) ,然后单击添加。 在身份提供程序 (IDP) 页面上,配置以下内容: •IDP 名称:键入唯一名称以标识您正在创建的 IdP 连接。 •IDP 类型:选择 Citrix 身份提供商。 • 身份验证域:选择 CitrixGateway 。此域对应于 CitrixCloudWorkspace 配置 > 身份验证页面上的 身份提供程序域。 3. 单击下一步。在 IDP 声明使用情况页面上,配置以下内容: • • 4. 用户标识符类型:默认情况下,此字段设置为 userPrincipalName 。 用户标识符字符串:此字段自动填充。 单击下一步,检查摘要页面,然后单击保存。 现在,您可以使用本地 CitrixGateway 作为身份提供程序通过 SecureHub 注册用户设备。 SecureHub 身份验证流程 EndpointManagement 使用以下流程在通过 SecureHub 注册的设备上使用本地 CitrixGateway 作为 IdP 对用 户进行身份验证: 1. 用户开始使用 SecureHub 。 Hub 将身份验证请求传递给 Citrix 身份,后者会将请求传递给本地 CitrixGateway 。 3. 用户键入其用户名和密码。 4. 本地 CitrixGateway 会验证用户并向 Citrix 身份发送代码。 身份将该代码发送到 SecureHub ,后者再将该代码发送到 EndpointManagement 服务器。 ntManagement 通过使用代码和密码获取 ID 令牌,然后验证 ID 令牌中的用户信息。 Endpoint Management 返回会话 ID 。 用户帐户、角色和注册 October18,2022 ©1999 – 2023CloudSoftwareGroup,htsreserved.191 CitrixEndpointManagement 您可以在 EndpointManagement 控制台的管理选项卡和设置页面上执行用户配置任务。除非另有说明,否则本文提 供完成以下任务的步骤。 • 注册安全模式和邀请 – • 从设置 > 注册,配置最多七种注册安全模式并发送注册邀请。每种注册安全模式都有自己的安全级别和用 户注册设备所必须采取的步骤数。 用户帐户和组的角色 – – 从设置 > 基于角色的访问控制,向用户和组分配预定义角色或权限集合。这些权限控制用户对系统功能的 访问级别。有关详细信息,请参阅使用 RBAC 配置角色。 从设置 > 通知模板,创建或更新用于自动化操作、注册和发送给用户的标准通知消息的通知模板。可以将 通知模板配置为通过两个不同的通道来发送消息: SecureHub 或 SMTP 。有关更多信息,请参阅:创建 和更新通知模板。 • 用户帐户和组: – 从管理 > 用户中,手动添加用户帐户或使用 .csv 预配文件导入帐户并管理本地组。但是,大多数 Endpoint Management 部署都连接到 LDAP 以获取用户和组信息。在以下用例中,您可能希望在本地创建用户帐 户: – 从设置 > 工作流,使用工作流对用户帐户的创建和删除进行管理。 * * 在零售等环境中,设备是共用的,而不是由单个用户专用。 如果您使用不受支持的目录,例如 NovelleDirectory 。 关于用户帐户 EndpointManagement 用户帐户适用于本地、 ActiveDirectory 或云用户。 • 云用户:云用户是 CitrixCloud 在将管理员添加到您的 CitrixCloud 客户帐户时创建的特殊用户帐户。云用户 帐户使用与 CitrixCloud 上的管理员帐户相同的用户名,并且默认为管理员角色。云用户帐户提供单点登录并 执行其他管理功能。 要向 CitrixCloud 帐户添加管理员,请参阅邀请新管理员。 对于云用户: • • • • 您可以通过 CitrixCloud 控制台更改云用户的角色和用户属性。请参阅管理 CitrixCloud 管理员。 要更改密码,请参阅管理员。 要删除云用户,请在 CitrixCloud 中转到身份和访问管理 > 管理员。单击用户行末尾的省略号,然后选择删除 管理员。 您无法将云用户添加到本地组。 配置注册安全模式 您可以配置设备注册安全模式,以便在 EndpointManagement 中为设备注册指定安全级别和通知模板。 EndpointManagement 提供六种注册安全模式,每种模式都有自己的安全级别以及用户注册设备必须采取的步骤。 您可以从管理 > 注册邀请页面在 EndpointManagement 控制台中配置注册安全模式。有关信息,请参阅注册邀 ©1999 – 2023CloudSoftwareGroup,htsreserved.192 CitrixEndpointManagement 请。 注意: 如果计划使用自定义通知模板,则必须先设置模板,然后再配置注册安全模式。有关通知模板的详细信息,请参 阅创建或更新通知模板。 1. 2. 3. 在 EndpointManagement 控制台上,单击控制台右上角的齿轮图标。此时将显示设置页面。 单击注册。此时将显示注册页面,其中包含所有可用注册安全模式的表格。默认情况下,启用所有注册安全模式。 在列表中选择任何注册安全模式以对其进行编辑。然后,将模式设置为默认模式或禁用该模式。 选中注册安全模式旁边的复选框以查看选项菜单。或者,单击列表中的其他任意位置可查看列表右侧的选项菜单。 提示: 编辑注册安全模式时,可以指定过期截止日期,在截止日期之后,用户将无法注册其设备。有关信息,请参 阅本文中的编辑注册安全模式。此值显示在用户和组注册邀请配置页面。 根据您的平台,您可以选择以下注册安全模式: • • • • • • 用户名 + 密码 邀请 URL 邀请 URL+PIN 邀请 URL+ 密码 双重 用户名 +PIN ©1999 – 2023CloudSoftwareGroup,htsreserved.193 CitrixEndpointManagement 有关特定于平台的注册安全模式的信息,请参阅各平台的注册安全模式。 可以将注册邀请用作限制为特定用户或组注册的功能的有效方式。要发送注册邀请,只能使用邀请 URL 、邀请 URL+PIN 或邀请 URL+ 密码注册安全模式。对于使用用户名 + 密码、双重身份验证或用户名 +PIN 注册的 设备,用户必须在 SecureHub 中手动输入其凭据。 您可以使用一次性 PIN (有时又称为 OTP )注册邀请作为双重身份验证解决方案。一次性 PIN 注册邀请控制用 户可以注册的设备数量。 OTP 邀请不适用于 Windows 设备。 编辑注册安全模式 1. 在注册列表中,选择注册安全模式,然后单击编辑。此时将显示编辑注册模式页面。根据所选择的模式,您可能 会看到不同的选项。 2. 适当更改以下信息: • 此时间后过期:键入过期期限,过了此期限后用户将无法注册其设备。此值显示在用户和组注册邀请配置 页面。 键入 0 可防止邀请过期。 • • 天:在列表中,单击天或小时,对应于您在此时间后过期中输入的过期期限。 最大尝试次数:键入用户可以尝试注册的次数,超出此次数后用户将被锁定,无法进行注册过程。此值显 示在用户和组注册邀请配置页面。 键入 0 表示尝试次数不受限制。 ©1999 – 2023CloudSoftwareGroup,htsreserved.194 CitrixEndpointManagement •PIN 长度:键入用于设置生成的 PIN 的长度的数字。 • • 数字:在列表中,单击数字或字母数字以选择 PIN 类型。 通知模板: – – – 3. 单击保存。 注册 URL 模板:在列表中,单击用于注册 URL 的模板。例如,注册邀请模板向用户发送电子邮件。 有关通知模板的详细信息,请参阅创建或更新通知模板。 注册 PIN 模板:在列表中,单击用于注册 PIN 的模板。 注册确认模板:在列表中,单击用于向用户通知已成功注册的模板。 将注册安全模式设为默认模式 除非您选择不同的注册安全模式,否则默认注册安全模式用于所有设备注册请求。如果没有将注册安全模式设置为默认 模式,则必须为每个设备注册创建注册请求。 1. 2. 如果未启用要用作默认值的注册安全模式,请选择它并单击启用。唯一可以用作默认的注册安全模式是用户名 + 密码、双因素或用户名 +PIN 码。 选择注册安全模式,然后单击默认。所选模式现已成为默认模式。如果将任何其他注册安全模式设为默认模式, 此模式将不再作为默认模式。 禁用注册安全模式 禁用注册安全模式将使此模式不可供用户使用,既不可用于组注册邀请,也不可在自助服务门户中提供。您可以通过禁 用一种注册安全模式并启用另一种注册安全模式来更改允许用户注册设备的方式 1. 选择注册安全模式。 不能禁用默认注册安全模式。如果要禁用默认注册安全模式,必须首先删除其默认状态。 2. 单击禁用。注册安全模式不再处于启用状态。 添加、编辑、解锁或删除本地用户帐户 可以手动向 EndpointManagement 中添加本地用户帐户,也可以使用预配文件导入帐户。有关从置备文件导入用户 帐户的步骤,请参阅导入用户帐户。 所有 CitrixCloud 管理员都是作为 EndpointManagement 管理员创建的。如果创建具有自定义访问权限的 Citrix Cloud 管理员,请确保访问包括 EndpointManagement 。有关添加 CitrixCloud 管理员的信息,请参阅添加管理 员。 1. 在 EndpointManagement 控制台中,单击管理 > 用户。此时将显示用户页面。 ©1999 – 2023CloudSoftwareGroup,htsreserved.195 CitrixEndpointManagement 2. 单击显示过滤器以过滤列表。 添加本地用户帐户 1. 在用户页面上,单击添加本地用户。此时将显示添加本地用户页面。 2. 配置以下设置: • • 用户名:键入名称,这是必填字段。您可以在名称中包括以下内容:空格、大写字母和小写字母。 密码:键入可选用户密码。密码的长度至少为 14 个字符,并且必须满足以下全部条件: – – – – – 至少包含两个数字 至少包含一个大写字母和一个小写字母 至少包含一个特殊字符 不要包含字典单词或限制单词,例如 Citrix 用户名或电子邮件地址。 不要包含三个以上的连续字符和重复字符或键盘模式,例如 1111 、 1234 或 asdf ©1999 – 2023CloudSoftwareGroup,htsreserved.196 CitrixEndpointManagement • 角色:在列表中,单击用户角色。有关角色的更多信息,请参阅使用 RBAC 配置角色。可能的选项包括: – – – – • • ADMIN DEVICE_PROVISIONING SUPPORT USER 成员身份:在列表中,单击要添加此用户的一个或多个组。 用户属性:添加可选用户属性。对于要添加的每个用户属性,单击添加,然后执行以下操作: – – 用户属性:在列表中,单击某个属性,然后在该属性旁边的字段中键入用户属性。 单击完成保存用户属性或单击取消。 要删除现有用户属性,请将鼠标悬停在包含该属性的行上方,然后单击右侧的 X 。属性立即被删除。 要编辑现有用户属性,请单击属性并进行更改。单击完成保存更改后的列表,或者单击取消保留列表不变。 3. 单击保存。创建用户后,本地用户帐户的用户类型字段将保留为空。 编辑本地用户帐户 1. 在用户页面上的用户列表中,通过单击选择某个用户,然后单击编辑。此时将显示编辑本地用户页面。 2. 适当更改以下信息: • • • 用户名:无法更改用户名。 密码:更改或添加用户密码。 角色:在列表中,单击用户角色。 ©1999 – 2023CloudSoftwareGroup,htsreserved.197 CitrixEndpointManagement • • 成员身份:在列表中,单击要添加或编辑用户帐户的一个或多个组。要从组中删除用户帐户,请取消选中 组名称旁边的复选框。 用户属性:请执行以下操作之一: – – 对于您要更改的各个用户属性,请单击属性并进行更改。单击完成保存更改后的列表,或者单击取消 保留列表不变。 对于要添加的每个用户属性,单击添加,然后执行以下操作: – 3. 对于要删除的每个现有用户属性,请将鼠标悬停在包含此属性的行上,然后单击右侧的 X 。属性立即 被删除。 * * 用户属性:在列表中,单击某个属性,然后在该属性旁边的字段中键入用户属性。 单击完成保存用户属性或单击取消。 单击保存以保存您所做的更改,或者单击取消保留用户不变。 解锁本地用户帐户 根据以下服务器属性,本地用户帐户被锁定: • • 有关详细信息,请参阅服务器属性定义。 当本地用户帐户被锁定时,您可以从 EndpointManagement 控制台解锁该帐户。 1. 2. 3. 在用户页面上的用户帐户列表中,通过单击选择某个用户帐户。 单击解锁用户。此时将显示确认对话框。 单击解锁以解锁用户帐户,或者单击取消保持用户不变。 无法从 EndpointManagement 控制台解锁 ActiveDirectory 用户。锁定的 ActiveDirectory 用户必须联系其 ActiveDirectory 技术支持重置密码。 删除本地用户帐户 1. 在用户页面上的用户帐户列表中,通过单击选择某个用户帐户。 可以通过选中每个用户帐户旁边的复选框,选择多个要删除的用户帐户。 2. 3. 单击删除。此时将显示确认对话框。 单击删除以删除用户帐户或单击取消。 删除 ActiveDirectory 用户 要一次删除一个或多个 ActiveDirectory 用户,请选择这些用户,然后单击删除。 ©1999 – 2023CloudSoftwareGroup,htsreserved.198 CitrixEndpointManagement 如果要删除的用户具有已注册的设备,而您希望重新注册这些设备,请先删除这些设备,然后再重新注册。要删除某个 设备,请转至管理 > 设备,选择该设备,然后单击删除。 导入用户帐户 您可以从称为预配文件的 .csv 文件导入本地用户帐户和属性,该文件可以手动创建。有关设置预配文件格式的详细信息, 请参阅预配文件的格式。 注意: • 对于本地用户,请使用域名以及导入文件中的用户名。例如,指定 username@domain 。如果在 Endpoint Management 中将创建或导入的本地用户用于托管域,则用户无法使用对应的 LDAP 凭据进行注册。 • 如果将用户帐户导入到 EndpointManagement 内部用户目录,请禁用默认域以加快导入过程的速度。 请注意,禁用域会影响注册。您可以在内部用户导入完成后重新启用默认域。 • 本地用户可以采用用户主体名称 (UPN) 格式。但是, Citrix 建议您不要使用托管域。例如,如果 处于托管状态,请勿使用以下 UPN 格式创建本地用户: **************** 。 准备好预配文件后,请按照以下步骤将此文件导入到 EndpointManagement 中。 1. 2. 在 EndpointManagement 控制台中,单击管理 > 用户。此时将显示用户页面。 单击导入本地用户。此时将显示导入预配文件对话框。 3. 4. 5. 对于要导入的预配文件的格式,选择用户或属性。 通过单击浏览并导航到要使用的预配文件所在位置,选择此文件。 单击导入。 ©1999 – 2023CloudSoftwareGroup,htsreserved.199