How-To-Compute

IT-Pro Blog: Anleitungen, Tipps und Tricks um euch das Leben leichter zu machen.

XenMobile Selbstverwaltete CA erstellen

XenMobile bietet für Zertifikatsbasierte Authentifizierung die Möglichkeit, eine Microsoft CA, eine Generic PKI oder aber seine eigene Zertifizierungsstelle (Discretionary CA) zu werden.

Ich empfehle für produktive Umgebungen die Bereitstellung einer gesonderten Issuing CA auf Basis Microsoft, doch wer mal einen PoC Aufbau durchführen muss und gerade keine PKI Umgebung, oder notwendige Ressourcen besitzt, kann auch die eingebaute XenMobile Zertifizierungsstelle verwenden.

Da ich im Internet leider keinerlei Anleitungen gefunden habe, habe ich mir gedacht, dies doch mal direkt zu bloggen.

Als 1. benötigt ihr ein Zertifikat für eure Zertifizierungsstelle. Dafür nutzt ihr am besten den Webserver Dienst der Microsoft Root CA und beantragt euch manuell ein Zertifikat. Ihr benötigt den privaten und öffentlichen Schlüssel in Form einer *.pfx Datei.

Als Template muss “SubCA” oder eine vorher definierte Vorlage ausgewählt werden. Das Zertifikat wird im lokalen Zertifikatsspeicher des Benutzers gespeichert und muss dann manuell als *.pfx exportiert werden.

Sobald ihr das habt, öffnet ihr XenMobile und und ruft die PKI Entitäten auf, dort dann “Eigenverwaltete ZS” (Discretionary CA) auswählen.

Das vorhandene *.pfx File, welches den privaten und öffentlichen Schlüssel der XenMobile Sub CA enthält über den Button “ZS-Zertifikat importieren” auswählen und hochladen. Einen Namen vergeben und “Weiter”

Bei der Schlüsselverwendung habe ich alles bei den Default Einstellungen belassen.

Hier macht es eigentlich nur Sinn, die Gültigkeit der Zertifikate anzupassen

Die Schlüsselverteilung sollte auf “Zentralisiert” stehen. Damit erstellt der XenMobile Server die Zertifikate und verteilt sie an die mobilen Endgeräte.

Das OCSP Protokoll sollte aktiviert werden. Damit wird dem Citrix Netscaler die Möglichkeit gegeben, den Status der Zertifikate zu prüfen.

Wichtig, im ZS-Zertifikatsfeld muss das Zertifikat für die Eigene CA ausgewählt werden.

Nachdem die Zertifizierungsstelle angelegt wurde, müssen die Anmeldedienstinformationen erstellt werden.

Es wird empfohlen, die Schlüsselgröße auf 2048 Bit und den Signaturalgorithmus auf SHA256 zu stellen.

Bei Antragstellername (Common Name) sollte der Benutzername eingefügt werden. CN=$user.username

Als Antragstellername könnte auch der samaccountname verwendet werden. Dann wäre die Variable CN=$user.samaccountname

Als Alternativen Antragstellernamen sollte der Benutzerprinzipalname hinzugefügt werden. Dafür dient die Variable $user.userprincipalname

Als Zertifikat muss das Root CA Zertifikat ausgewählt werden. Dieses sollte zuvor im XenMobile Server als vertrauenswürdig hinzugefügt werden.

Zertifikate sollten wiederrufen werden. Die Option “Zertifikat in PKI wiederrufen” funktioniert nur mit einer Generic PKI. Zertifikate werden bei XenMobile intern als “revoked” markiert.

PKI Sperrung konfigurieren. Wichtig, als OCSP Zertifikat das XM Issuing CA Zertifikat verwenden

Zertifikate sollten automatisch verlängert werden

Nun könnt ihr die Zertifikate für die Verteilung in XenMobile nutzen.

2 Comments

Add a Comment
  1. Hi!
    Ich hab noch keinen mit Discretionary CA gefunden.
    Wenn du eine Credential Policy für iPhone konfigurierst und zb sha256 einstellst, hast du dann ein sha256 oder sha512 cert am device? Bei mir inmer 512.
    Wenn du discret konfigurierst, kannst du dann noch zusätzlich eine MS CA intigrieren und als credential provider anlegen? z.B für WIFI 802.1x? Verschwindet einfach aus dem Dropdown.

    Können gerne per Mail weiter diskutieren 🙂

    1. Stefan Wendrich

      Hallo Christian,
      ich konnte eine MS CA parallel hinzufügen und Zertifikate ausrollen. Allerdings habe ich auch gemerkt, verhält sich XenMobile etwas “seltsam”, wenn mehr als eine PKI Entität vorhanden ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

How-To-Compute © 2017 Frontier Theme