Requerendo certificados de cliente para o acesso ao Citrix com NetScaler

Neste documento, veremos cómo configurar desde el appliance de Citrix NetScaler que sea obrigatório el que los equipos clientes dispongan de um certificado instalado em local (también se podría que lo tuviesen en un pendrive) para que puedan acceder al portal de Citrix, a sus aplicaciones; sin el certificado ni verían el portal corporativo.

Esto es un complemento adicional para securizar aún más nuestros entornos, podremos dar certificados a nossos utilizadores generándolos desde a nossa CA y podremos revocarlos quando sea necesario, naquele momento sin um certificado válido no podría entrar el utilizador al portal web de Citrix, sea un Access Gateway que vaya contra un StoreFront o un Web Interface.

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-01-Bujarra

Nada mau, sobre nossa CA que tengamos ya instalada, deberemos hacer una copia de seguridad, por isso “Certification Authotity” > “All Tasks” > “Backup CA…”

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-02-Bujarra

Marcamos que nos exporte al menos la clave privada “Private key and CA certificate” y lo guardamos en un directorio que creemos para tal efecto.

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-03-Bujarra

Nada mau, ya en el NS, Nós vamos “SSL” > “Import PKCS#12”,

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-04-Bujarra

En 'PKCS12 File Name’ deberemos selecionar el archivo .p12 que nos haya generado el backup de la CA; ojo con los espacios, sobra decirlo en un NS, Não? 😉

Le indicamos un nombre en ‘Output File Namey le asignamos la contraseña que pusimos a la hora de hacer el backup de la CA & “OKEY”,

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-05-Bujarra

Vamos de nuevo a “SSL” > “Manage Certificates/Keys/CSRsy confirmamos que tenemos dos archivos nuevos, tanto el .p12 cómo el certificado de la CA importado, “Fechar”.

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-06-Bujarra

Em “SSL” > “SSL Certificates” > “Instalar…”

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-07-Bujarra

Damos un nombre al certificado que vamos a instalar, algo que nos haga referencia a nuestra CA. En ‘Certificate File Namey en ‘Private Key File Nameindicaremos el path del fichero generado cuando importamos el archivo PKCS12. “Instalar” y confirmamos que no slo ha creado bien.

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-08-Bujarra

Lo siguiente será dar de alta las CRL (Lista de Revogação de Certificados) para poder posteriormente forzar a que se checké si los certificados son o no válidos. Desde “SSL” > “CRL” > “Adicionar…”

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-09-Bujarra

Indicamos un ‘CRL Namey un fichero, seleccionamos formato DER, seleccionamos el certificado de la CA, marcamos ‘Enable CRL Auto Refreshy configuraremos el método de acceso contra la CRL de nuestra entidad emisora de certificados, podremos hacerlo fácilmente mediante HTTP y contra la URL del fichero .crl que obtendremos fácilmente dentro del entorno web de gestión de la CA (los espacios de la URL los podremos introducir con ‘%20’, si es que tenemos) & ‘Port’ ao 80 que suele ser lo más normal (ojo también con las reglas de firewall que podamos necesitar, si es que el NS está en la DMZ y la CA en la Red de Servidores). Marcaremos ‘Interval’ Para “NOWpara forzar el checkeo y ver si lo introducido es correcto o no. “Criar”,

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-10-bujarra

E é isso! confirmamos que en ‘Validity Status’ tenemos 'Valid'!

Si en 'Days to Expire’ tenemos algo distinto a '1', debemos modificar el intervalo de publicación CRL dentro de nuestra CA. Nos vamos a la Entidad de certificación, botón derecho 'Certificados revocados’ > Propriedades > en la pestaña 'Parámetros para la publication de listas de revocación', cambiamos el intervalo a 1 día/hora & no hacemos diferenciales. Lo actualizaremos con boton derecho en 'Certificados revocados’ > 'Todas las tareas’ > 'Publicar'.

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-11-bujarra

Si es correct, modificamos el CRL y programamos el checkeo contra la CRL al menos que sea diario y antes de la entrada de los empleados, para que todos os certificados revogados até ao dia anterior não tenham validade e lhes neguem o acesso.

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-12-bujarra

Okey, para exigir no CAG que previamente o cliente deve ter um certificado de cliente válido, selecionaremos em “Access Gateway” > “Virtual Servers” > “Abrir…” nosso AG.

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-13-bujarra

Selecionaremos o certificado da nossa CA, Clique em “Adicionar” > “como CA” para o adicionar ao portal.

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-14-bujarra

No check indicaremos “CRL Mandatory” e configuramos em “SSL Paramet…” que seja obrigatório.

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-15-bujarra

Deveremos marcar “Autenticação de Cliente” e diremos se o certificado de cliente é 'Mandatory'’ ou 'Optional', o normal será exigi-lo. “OKEY”. Em princípio com o NetScaler já teremos concluído. Olho! se na altura de finalizar os passos seguintes, tenemos los certificados bien desplegados y no conseguimos entrar en el portal del CAG, se nos queda la web en blanco y en la URL vemos 'agesso.jsp’ indicará que bem el Web Interface o el StoreFront no pueden conectarse contra el CAG y devolver la autenticación de los clientes, ya que el CAG está a necessitar de certificados e o WI o SF no lo tienen, se poderia resolver rápido duplicando el CAG del NS pero sin requisito de certificado y a este se conectará el WI o SF (modificando su archivo hosts).

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-16-bujarra

Si nuestra CA está en Windows 2003 Standard no podremos usar la modificacion de plantillas de certificados ya que se geran para version Enterprise. Tendríamos que generar los certificados accediendo a la página de solicitud de certificados (Referências HTTP://CA_SERVER/certsrv), generar una solicitud avanzada de certificado en nuestra CA, donde en el tipo de plantilla selecionaremos 'Usuario’ y el formato de la solicitud será en formato PKCS10, una vez generado, exportaremos o certificado con clave privada y lo renomearemos com o nome que nos interessa para instalarselo al utilizador correspondente.

Si nuestra CA está en Windows 2003 Enterprise o Windows 2008 ou superior, en estas versões la CA sí que aceptaría modificar las plantillas, por lo que podremos generar nuestras plantillas de certificados al gusto. Então, abrimos la consola de la Entidad de Certificados > “Certificate Templates” > “Gerir”.

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-17-bujarra

Duplicaremos la plantilla de “Utilizador”,

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-18-bujarra

Selecionar “Servidor Windows 2003 Enterprise” & “OKEY”

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-19-bujarra

O primeiro será dar um nome ao modelo para que os administradores da Citrix, quando gerarem os certificados aos utilizadores, o associem de forma correta. Além de um período de validade.

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-20-bujarra

Neste caso serão modelos que posteriormente preencheremos de forma manual, sem integração com DA, então na aba “Nome do Sujeito” Indicar “Fornecer na requisição” e iremos preencher com cada certificado. No “Requisitos de Emissão” ou requisitos de emissão, poderíamos assinalar uma caixa e que cada certificado solicitado deva ser aprovado pelo administrador, e não será válido até que isso aconteça (a partir do mmc da CA deveria ser aceite).

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-21-bujarra

Uma vez criada a template devemos incorporá-la na CA, por isso, desde “Templates de Certificado” > “Novo” > “Modelo de certificado a emitir”.

Netscaler-CAG-Citrix-Access-Gateway-Certificado-22-bujarra

Selecionamos a template recém criada & “OKEY”,

 

Solicitando certificados para os utilizadores,

Netscaler-CAG-Citrix-Access-Gateway-Certificado-23-bujarra

 

Este seria o apartado que deveríamos repetir tantas vezes quantos os utilizadores que tenham acesso externo à organização, devemos gerar um certificado por utilizador, o que é o ideal, mas não obrigatório, uma vez que, ao ter chave, o utilizador não poderá exportar o certificado ou pelo menos não poderá importá-lo noutros equipamentos sem conhecer a senha; e se o revogarmos afetamos apenas este utilizador e não todos.

Abrimos http://CA_SERVER/certsrv, autenticamo-nos como administrador, Clique em “Solicitar um certificado”,

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-24-bujarra

“Pedido de certificado avançado”

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-25-bujarra

“Criar e submeter um pedido a esta CA”,

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-26-bujarra

Em “Modelo de certificado” selecionamos o modelo recém-gerado, e ao termos selecionado que iríamos introduzir os dados manualmente, agora teremos de os preencher, indicaremos os dados de cada utilizador; lembrar de selecionar PKCS10 como formato, pelo menos 2048 bits de chave & “Enviar”,

 

 

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-27-bujarra

Como confiamos no site, teremos executado o complemento ActiveX que nos permitirá criar e instalar este certificado, Clique em “Instalar este certificado”!

 

Netscaler-CAG-Citrix-Access-Gateway-Certificado-28-bujarra

Nos habrá instalado el certificado en el equipo desde donde lo acabamos de generar, lo normal, será exportarlo (con clave privada & protegido por contraseña!) e instalarselo al usuario en su equipo. Con esto ya hemos forçado a que sin un certificado válido de nuestra CA, no se pueda aceder ao portal da Citrix de nuestra organización, sea para acceder a aplicaciones (XenApp) o escritorios (XenDesktop).

Postagens recomendadas

Autor

nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!