Requerendo certificados de cliente para o acesso ao Citrix com NetScaler
Neste documento, veremos cómo configurar desde el appliance de Citrix NetScaler que sea obrigatório el que los equipos clientes dispongan de um certificado instalado em local (también se podría que lo tuviesen en un pendrive) para que puedan acceder al portal de Citrix, a sus aplicaciones; sin el certificado ni verían el portal corporativo.
Esto es un complemento adicional para securizar aún más nuestros entornos, podremos dar certificados a nossos utilizadores generándolos desde a nossa CA y podremos revocarlos quando sea necesario, naquele momento sin um certificado válido no podría entrar el utilizador al portal web de Citrix, sea un Access Gateway que vaya contra un StoreFront o un Web Interface.
Nada mau, sobre nossa CA que tengamos ya instalada, deberemos hacer una copia de seguridad, por isso “Certification Authotity” > “All Tasks” > “Backup CA…”
Marcamos que nos exporte al menos la clave privada “Private key and CA certificate” y lo guardamos en un directorio que creemos para tal efecto.
Nada mau, ya en el NS, Nós vamos “SSL” > “Import PKCS#12”,
En 'PKCS12 File Name’ deberemos selecionar el archivo .p12 que nos haya generado el backup de la CA; ojo con los espacios, sobra decirlo en un NS, Não? 😉
Le indicamos un nombre en ‘Output File Name’ y le asignamos la contraseña que pusimos a la hora de hacer el backup de la CA & “OKEY”,
Vamos de nuevo a “SSL” > “Manage Certificates/Keys/CSRs” y confirmamos que tenemos dos archivos nuevos, tanto el .p12 cómo el certificado de la CA importado, “Fechar”.
Em “SSL” > “SSL Certificates” > “Instalar…”
Damos un nombre al certificado que vamos a instalar, algo que nos haga referencia a nuestra CA. En ‘Certificate File Name’ y en ‘Private Key File Name’ indicaremos el path del fichero generado cuando importamos el archivo PKCS12. “Instalar” y confirmamos que no slo ha creado bien.
Lo siguiente será dar de alta las CRL (Lista de Revogação de Certificados) para poder posteriormente forzar a que se checké si los certificados son o no válidos. Desde “SSL” > “CRL” > “Adicionar…”
Indicamos un ‘CRL Name’ y un fichero, seleccionamos formato DER, seleccionamos el certificado de la CA, marcamos ‘Enable CRL Auto Refresh’ y configuraremos el método de acceso contra la CRL de nuestra entidad emisora de certificados, podremos hacerlo fácilmente mediante HTTP y contra la URL del fichero .crl que obtendremos fácilmente dentro del entorno web de gestión de la CA (los espacios de la URL los podremos introducir con ‘%20’, si es que tenemos) & ‘Port’ ao 80 que suele ser lo más normal (ojo también con las reglas de firewall que podamos necesitar, si es que el NS está en la DMZ y la CA en la Red de Servidores). Marcaremos ‘Interval’ Para “NOW” para forzar el checkeo y ver si lo introducido es correcto o no. “Criar”,
E é isso! confirmamos que en ‘Validity Status’ tenemos 'Valid'!
Si en 'Days to Expire’ tenemos algo distinto a '1', debemos modificar el intervalo de publicación CRL dentro de nuestra CA. Nos vamos a la Entidad de certificación, botón derecho 'Certificados revocados’ > Propriedades > en la pestaña 'Parámetros para la publication de listas de revocación', cambiamos el intervalo a 1 día/hora & no hacemos diferenciales. Lo actualizaremos con boton derecho en 'Certificados revocados’ > 'Todas las tareas’ > 'Publicar'.
Si es correct, modificamos el CRL y programamos el checkeo contra la CRL al menos que sea diario y antes de la entrada de los empleados, para que todos os certificados revogados até ao dia anterior não tenham validade e lhes neguem o acesso.
Okey, para exigir no CAG que previamente o cliente deve ter um certificado de cliente válido, selecionaremos em “Access Gateway” > “Virtual Servers” > “Abrir…” nosso AG.
Selecionaremos o certificado da nossa CA, Clique em “Adicionar” > “como CA” para o adicionar ao portal.
No check indicaremos “CRL Mandatory” e configuramos em “SSL Paramet…” que seja obrigatório.
Deveremos marcar “Autenticação de Cliente” e diremos se o certificado de cliente é 'Mandatory'’ ou 'Optional', o normal será exigi-lo. “OKEY”. Em princípio com o NetScaler já teremos concluído. Olho! se na altura de finalizar os passos seguintes, tenemos los certificados bien desplegados y no conseguimos entrar en el portal del CAG, se nos queda la web en blanco y en la URL vemos 'agesso.jsp’ indicará que bem el Web Interface o el StoreFront no pueden conectarse contra el CAG y devolver la autenticación de los clientes, ya que el CAG está a necessitar de certificados e o WI o SF no lo tienen, se poderia resolver rápido duplicando el CAG del NS pero sin requisito de certificado y a este se conectará el WI o SF (modificando su archivo hosts).
Si nuestra CA está en Windows 2003 Standard no podremos usar la modificacion de plantillas de certificados ya que se geran para version Enterprise. Tendríamos que generar los certificados accediendo a la página de solicitud de certificados (Referências HTTP://CA_SERVER/certsrv), generar una solicitud avanzada de certificado en nuestra CA, donde en el tipo de plantilla selecionaremos 'Usuario’ y el formato de la solicitud será en formato PKCS10, una vez generado, exportaremos o certificado con clave privada y lo renomearemos com o nome que nos interessa para instalarselo al utilizador correspondente.
Si nuestra CA está en Windows 2003 Enterprise o Windows 2008 ou superior, en estas versões la CA sí que aceptaría modificar las plantillas, por lo que podremos generar nuestras plantillas de certificados al gusto. Então, abrimos la consola de la Entidad de Certificados > “Certificate Templates” > “Gerir”.
Duplicaremos la plantilla de “Utilizador”,
Selecionar “Servidor Windows 2003 Enterprise” & “OKEY”
O primeiro será dar um nome ao modelo para que os administradores da Citrix, quando gerarem os certificados aos utilizadores, o associem de forma correta. Além de um período de validade.
Neste caso serão modelos que posteriormente preencheremos de forma manual, sem integração com DA, então na aba “Nome do Sujeito” Indicar “Fornecer na requisição” e iremos preencher com cada certificado. No “Requisitos de Emissão” ou requisitos de emissão, poderíamos assinalar uma caixa e que cada certificado solicitado deva ser aprovado pelo administrador, e não será válido até que isso aconteça (a partir do mmc da CA deveria ser aceite).
Uma vez criada a template devemos incorporá-la na CA, por isso, desde “Templates de Certificado” > “Novo” > “Modelo de certificado a emitir”.
Selecionamos a template recém criada & “OKEY”,
Solicitando certificados para os utilizadores,
Este seria o apartado que deveríamos repetir tantas vezes quantos os utilizadores que tenham acesso externo à organização, devemos gerar um certificado por utilizador, o que é o ideal, mas não obrigatório, uma vez que, ao ter chave, o utilizador não poderá exportar o certificado ou pelo menos não poderá importá-lo noutros equipamentos sem conhecer a senha; e se o revogarmos afetamos apenas este utilizador e não todos.
Abrimos http://CA_SERVER/certsrv, autenticamo-nos como administrador, Clique em “Solicitar um certificado”,
“Pedido de certificado avançado”
“Criar e submeter um pedido a esta CA”,
Em “Modelo de certificado” selecionamos o modelo recém-gerado, e ao termos selecionado que iríamos introduzir os dados manualmente, agora teremos de os preencher, indicaremos os dados de cada utilizador; lembrar de selecionar PKCS10 como formato, pelo menos 2048 bits de chave & “Enviar”,
Como confiamos no site, teremos executado o complemento ActiveX que nos permitirá criar e instalar este certificado, Clique em “Instalar este certificado”!
Nos habrá instalado el certificado en el equipo desde donde lo acabamos de generar, lo normal, será exportarlo (con clave privada & protegido por contraseña!) e instalarselo al usuario en su equipo. Con esto ya hemos forçado a que sin un certificado válido de nuestra CA, no se pueda aceder ao portal da Citrix de nuestra organización, sea para acceder a aplicaciones (XenApp) o escritorios (XenDesktop).



































































