Smartcards
Smartcards und ähnliche Technologien werden im Rahmen der in diesem Abschnitt beschriebenen Richtlinien unterstützt. Zur Verwendung von Smartcards mit Citrix Virtual Apps oder Citrix Virtual Desktops ist Folgendes zu berücksichtigen:
- Machen Sie sich mit den Sicherheitsrichtlinien Ihrer Organisation für die Verwendung von Smartcards vertraut. Mit diesen Richtlinien wird z. B. festgelegt, wie Smartcards ausgegeben werden und wie diese von Benutzern gesichert werden sollten. Einige Aspekte dieser Richtlinien müssen ggf. in einer Citrix Virtual Apps- bzw. Citrix Virtual Desktops-Umgebung neu bewertet werden.
- Legen Sie fest, welche Benutzergerätetypen, Betriebssysteme und veröffentlichten Anwendungen mit Smartcards verwendet werden dürfen.
- Machen Sie sich mit der Smartcard-Technologie und der Hardware und Software des von Ihnen gewählten Smartcardanbieters vertraut.
- Sie sollten wissen, wie Sie digitale Zertifikate in einer verteilten Umgebung bereitstellen.
Hinweis:
Die Smartcard-Registrierung mit dem Feature Schnelle Smartcard wird nicht unterstützt. Die Smartcardregistrierung funktioniert möglicherweise, wenn “Schnelle Smartcard” deaktiviert ist, das hängt jedoch vom Typ der Smartcard und der Middleware ab. Wenden Sie sich an den Smartcard- und Middleware-Anbieter, um in Erfahrung zu bringen, inwiefern deren Produkte Citrix Virtual Apps and Desktops und die Smartcardregistrierung über virtuelle Sitzungen unterstützen.
Smartcardtypen
Smartcards für Unternehmen und Kunden haben die gleiche Größe, elektrischen Verbindungen und passen in die gleichen Smartcardleser.
Smartcards für die Verwendung in Unternehmen enthalten digitale Zertifikate. Solche Smartcards unterstützen die Windows-Anmeldung und können auch in Kombination mit Anwendungen für die digitale Signierung und Verschlüsselung von Dokumenten und E-Mail verwendet werden. Citrix Virtual Apps and Desktops unterstützt diese Art der Verwendung.
Smartcards für Kunden enthalten anstelle eines digitalen Zertifikats einen gemeinsamen geheimen Schlüssel. Mit solchen Smartcards ist ggf. eine Bezahlung möglich (z. B. Kreditkarte mit Chip und PIN/Unterschrift). Sie unterstützen keine Windows-Anmeldung oder typische Windows-Anwendungen. Zur Verwendung solcher Smartcards sind spezielle Windows-Anwendungen und eine geeignete Softwareinfrastruktur (z. B. eine Verbindung mit einem Zahlsystemnetzwerk) erforderlich. Informationen zur Unterstützung solcher Spezialanwendungen in Citrix Virtual Apps oder Citrix Virtual Desktops erhalten Sie bei Ihrem Citrix Repräsentanten.
Für Unternehmenssmartcards gibt es entsprechende kompatible Technologien, die ähnlich funktionieren.
- Ein smartcardäquivalentes USB-Token stellt eine direkte Verbindung mit einem USB-Anschluss her. Diese USB-Token sind normalerweise so groß wie ein USB-Stick, aber sie können auch so klein wie die SIM-Karte eines Mobiltelefons sein. Sie sind eine Kombination aus einer Smartcard und einem USB-Smartcardleser.
- Virtuelle Smartcards mit Windows Trusted Platform Module (TPM) erscheinen als Smartcard. Solche virtuellen Smartcards werden für Windows 8 und Windows 10 bei Verwendung der Citrix Workspace-App (Citrix Receiver Mindestversion 4.3) unterstützt.
- Versionen von Citrix Virtual Apps and Desktops (zuvor “XenApp und XenDesktop”) vor 7.6 FP3 unterstützen keine virtuellen Smartcards.
- Weitere Informationen zu virtuellen Smartcards finden Sie unter Virtual Smart Card Overview.
Hinweis: Der Begriff “virtuelle Smartcard” wird auch für ein digitales Zertifikat verwendet, das auf dem Computer des Benutzers gespeichert wird. Diese digitalen Zertifikate sind nicht unbedingt gleichbedeutend mit Smartcards.
Die Smartcard-Unterstützung in Citrix Virtual Apps and Desktops basiert auf dem PC/SC-Standard (Personal Computer/Smart Card) von Microsoft. Als Mindestanforderung müssen Smartcards und Smartcardleser vom zugrunde liegenden Windows-Betriebssystem unterstützt werden und vom Microsoft Windows Hardware Quality Labs (WHQL) für die Verwendung auf Computern mit einem qualifizierenden Windows-Betriebssystem zugelassen sein. Weitere Informationen zur Hardware-PC/SC-Kompatibilität finden Sie in der Microsoft-Dokumentation. Weitere Benutzergeräte können PS/SC-konform sein. Weitere Informationen siehe Citrix Ready-Programm.
Normalerweise wird für jede Smartcard bzw. ähnliche Geräte ein eigener Gerätetreiber benötigt. Entsprechen Smartcards jedoch einem Standard wie NIST PIV (Personal Identity Verification), kann evtl. ein Treiber für mehrere Smartcardtypen verwendet werden. Der Gerätetreiber muss auf dem Benutzergerät und dem Virtual Delivery Agent installiert werden. Der Gerätetreiber ist häufig im Smartcard-Middlewarepaket eines Citrix Partners enthalten, welches zudem erweiterte Features bietet. Der Gerätetreiber wird u. U. auch als Kryptografiedienstanbieter (CSP), Schlüsselspeicheranbieter (KSP) oder Minitreiber bezeichnet.
Die folgenden Kombinationen aus Smartcard und Middleware für Windows-Systeme wurden von Citrix als repräsentatives Beispiel ihres Typs getestet. Es können jedoch auch andere Smartcards und Middleware verwendet werden. Weitere Informationen über Citrix-kompatible Smartcards und Middleware finden Sie unter http://www.citrix.com/ready.
Middleware | Geeignete Karten |
---|---|
Gemalto Mini Driver für .NET-Karte | Gemalto .NET v2+ |
Informationen zur Verwendung von Smartcards mit anderen Gerätetypen finden Sie in der Citrix Workspace-App-Dokumentation für das jeweilige Gerät.
Remote-PC-Zugriff
Smartcards werden nur für den Remotezugriff auf physische Büro-PCs mit Windows 10, Windows 8 oder Windows 7 unterstützt.
Die folgenden Smartcards wurden mit Remote-PC-Zugriff getestet:
Middleware | Geeignete Karten |
---|---|
Gemalto .NET-Minitreiber | Gemalto .NET v2+ |
Schnelle Smartcard
Schnelle Smartcard ist eine Verbesserung gegenüber der alten HDX PC/SC-basierten Smartcardumleitung. Das Feature verbessert die Leistung, wenn Smartcards in WANs mit hoher Latenz verwendet werden.
Schnelle Smartcard ist standardmäßig auf Hostmaschinen mit derzeit unterstützten Windows-VDAs aktiviert. Um Schnelle Smartcard auf dem Host zu deaktivieren (z. B. für Diagnosezwecke), wählen Sie für die Registrierungseinstellung “Disable Cryptographic Redirection” einen beliebigen Wert ungleich null:
HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->
Um Schnelle Smartcard auf dem Client zu aktivieren, fügen Sie den ICA-Parameter “SmartCardCryptographicRedirection” in die Datei default.ica der zugehörigen StoreFront-Site ein:
[WFClient]
SmartCardCryptographicRedirection=On
Einschränkungen:
- Nur Citrix Receiver für Windows unterstützt schnelle Smartcards. Wenn Sie das Feature in der Standard-ICA-Datei konfigurieren, verwenden Citrix Receiver für andere Betriebssysteme als Windows weiterhin die alte PC/SC-Umleitung.
- Schnelle Smartcard unterstützt als einziges Double-Hop-Szenario ICA> ICA, wenn es auf beiden Hops aktiviert ist. Da schnelle Smartcard keine ICA > RDP-Double-Hops unterstützt, funktioniert ein solches Szenario nicht.
- Schnelle Smartcard unterstützt Cryptography Next Generation nicht. Daher unterstützt schnelle Smartcard keine Smartcards mit Elliptic Curve Cryptography (ECC).
- Schnelle Smartcard unterstützt nur Schlüsselcontaineroperationen mit Schreibschutz.
- Schnelle Smartcard unterstützt das Ändern der Smartcard-PIN nicht.
Smartcardleser
Ein Smartcardleser kann im Benutzergerät eingebaut sein oder an dieses angeschlossen werden (normalerweise über USB oder Bluetooth). Kontaktkartenleser, die dem USB-Protokoll CCID (Chip Card Interface Device) entsprechen, werden unterstützt. Diese enthalten einen Schlitz, in den die Smartcard eingeführt wird. In der DK-Norm (Deutsche Kreditwirtschaft) sind vier Kontaktkartenleserklassen festgelegt.
- Smartcardleser der Klasse 1 sind die häufigsten Geräte und haben normalerweise nur einen Steckplatz. Smartcardleser der Klasse 1 werden in der Regel durch einen CCID-Standardgerätetreiber unterstützt, der mit dem Betriebssystem geliefert wurde.
- Smartcardleser der Klasse 2 enthalten eine sichere Tastatur, auf die über das Benutzergerät nicht zugegriffen werden kann. Smartcardleser der Klasse 2 können in eine Tastatur mit integrierter sicherer Tastatur integriert werden. Wenn Sie Smartcardleser der Klasse 2 verwenden, wenden Sie sich an einen Citrix Mitarbeiter, da u. U. ein spezifischer Gerätetreiber erforderlich ist, damit die sichere Tastatur funktioniert.
- Smartcardleser der Klasse 3 haben ein sicheres Display. Smartcardleser der Klasse 3 werden nicht unterstützt.
- Smartcardleser der Klasse 4 haben ein sicheres Übertragungsmodul. Smartcardleser der Klasse 4 werden nicht unterstützt.
Hinweis:
Die Klasse der Smartcardleser hat nichts mit der USB-Geräteklasse zu tun.
Smartcardleser müssen mit einem entsprechenden Gerätetreiber auf dem Benutzergerät installiert sein.
Informationen zu unterstützten Smartcardlesern finden Sie in der Dokumentation zu Ihrer Citrix Workspace-App-Version. Die unterstützten Versionen werden in der Dokumentation zur Citrix Workspace-App normalerweise in einem Smartcard-Artikel oder im Artikel zu den Systemanforderungen aufgeführt.
Benutzererfahrung
Smartcardunterstützung ist in Citrix Virtual Apps and Desktops durch einen virtuellen ICA/HDX-Smartcardkanal integriert, der standardmäßig aktiviert ist.
Wichtig: Verwenden Sie für Smartcardleser keine generische USB-Umleitung. Diese ist für Smartcardleser standardmäßig deaktiviert und wird bei Aktivierung nicht unterstützt.
Mehrere Smartcards und mehrere Leser können an dem gleichen Benutzergerät verwendet werden, wenn jedoch Passthrough-Authentifizierung verwendet wird, kann nur eine Smartcard eingesteckt werden, wenn der Benutzer einen virtuellen Desktop oder eine virtuelle Anwendung startet. Wenn eine Smartcard innerhalb einer Anwendung verwendet wird (z. B. zur digitalen Signierung oder für Verschlüsselungsfunktionen), werden Sie möglicherweise mehrmals zum Einlegen einer Smartcard oder zur Eingabe einer PIN-Nummer aufgefordert. Dieser Fall kann eintreten, wenn eine oder mehrere Smartcards gleichzeitig eingelegt wurden.
- Wenn Benutzer zum Einlegen einer Smartcard aufgefordert werden und diese sich bereits im Leser befindet, sollten sie auf “Abbrechen” klicken.
- Wenn Benutzer zur Eingabe der PIN-Nummer aufgefordert werden, sollten sie diese erneut eingeben.
Sie können PINs mit einem Kartenverwaltungsprogramm oder einem Herstellerdienstprogramm zurücksetzen.
Wichtig:
In einer Citrix Virtual Apps- oder Citrix Virtual Desktops-Sitzung wird die Verwendung einer Smartcard mit Microsoft-Remotedesktopverbindung nicht unterstützt. Dies wird manchmal als “Double-Hop” bezeichnet.
Führen Sie vor dem Bereitstellen von Smartcards folgende Schritte aus
- Installieren Sie für den Smartcardleser einen Gerätetreiber auf dem Benutzergerät. Viele Smartcardleser können mit dem von Microsoft bereitgestellten CCID-Gerätetreiber benutzt werden.
- Beziehen Sie einen Gerätetreiber und Kryptografiedienstanbietersoftware (CSP) vom Smartcard-Hersteller und installieren Sie beides auf Benutzergeräten und auf virtuellen Desktops. Der Treiber und die CSP-Software müssen mit Citrix Virtual Apps and Desktops kompatibel sein (Informationen zur Kompatibilität enthält die Dokumentation). Für virtuelle Desktops mit Smartcards, die das Minitreibermodell unterstützen und verwenden, werden die Smartcard-Minitreiber automatisch heruntergeladen. Die Treiber können auch über http://catalog.update.microsoft.com oder den Hersteller bezogen werden. Wird PKCS#11-Middleware benötigt, wenden Sie sich an den Smartcardhersteller.
- Wichtig: Citrix empfiehlt, dass Sie die Treiber und CSP-Software vor der Installation von Citrix Software auf einem physischen Computer installieren und testen.
- Fügen Sie die Citrix Receiver für Web-URL der Liste der vertrauenswürdigen Sites für Benutzer hinzu, die mit Smartcards im Internet Explorer unter Windows 10 arbeiten. In Windows 10 wird Internet Explorer für vertrauenswürdige Sites nicht standardmäßig im geschützten Modus ausgeführt.
- Stellen Sie sicher, dass die Public Key-Infrastruktur entsprechend konfiguriert ist. Hierzu gehört, dass die Zertifikat-zu-Konto-Zuordnung richtig für die Active Directory-Umgebung konfiguriert ist, und dass die Validierung des Benutzerzertifikats ausgeführt werden kann.
- Stellen Sie sicher, dass die Bereitstellung die Systemanforderungen der anderen Citrix Komponenten erfüllt, die mit Smartcards verwendet werden, u. a. Citrix Workspace-App und StoreFront.
- Stellen Sie sicher, dass auf die folgenden Server in der Site Zugriff besteht:
- Active Directory-Domänencontroller für das Benutzerkonto mit zugeordnetem Anmeldezertifikat auf der Smartcard
- Delivery Controller
- Citrix StoreFront
- Citrix Gateway/Citrix Access Gateway 10.x
- VDA
- (Optional für Remotezugriff): Microsoft Exchange Server
Aktivieren der Smartcard-Verwendung
Schritt 1. Geben Sie die Smartcards an die Benutzer aus und berücksichtigen Sie dabei die Kartenausstellungsrichtlinie.
Schritt 2. Optional: Richten Sie Smartcards ein, damit die Benutzer Remote-PC-Zugriff verwenden können.
Schritt 3. Installieren Sie ggf. den Delivery Controller und StoreFront und konfigurieren Sie beides für Smartcard-Remoting.
Schritt 4. Aktivieren Sie StoreFront für die Verwendung von Smartcards. Einzelheiten finden Sie unter “Konfigurieren der Smartcardauthentifizierung” in der StoreFront-Dokumentation.
Step 5. Aktivieren Sie Citrix Gateway/Access Gateway für die Verwendung von Smartcards. Einzelheiten finden Sie unter “Configuring Authentication and Authorization und Configuring Smart Card Access with the Web Interface” in der NetScaler-Dokumentation.
Schritt 6. Aktivieren Sie VDAs für die Verwendung mit Smartcard.
- Stellen Sie sicher, dass die erforderlichen Anwendungen und Updates auf dem VDA installiert wurden.
- Installieren Sie die Middleware.
- Richten Sie Smartcard-Remoting ein, damit die Kommunikation von Smartcarddaten zwischen der Citrix Workspace-App auf einem Benutzergerät und einer virtuellen Desktopsitzung möglich ist.
Schritt 7. Aktivieren Sie Benutzergeräte (einschließlich der Maschinen innerhalb und außerhalb von Domänen) für die Verwendung von Smartcards. Einzelheiten finden Sie unter “Konfigurieren der Smartcardauthentifizierung” in der StoreFront-Dokumentation.
- Importieren Sie das Zertifizierungsstellen-Stammzertifikat und das Zertifikat der ausstellenden Zertifizierungsstelle in den Schlüsselspeicher des Geräts.
- Installieren Sie die Smartcard-Middleware des Herstellers.
- Installieren und konfigurieren Sie die Citrix Workspace-App für Windows. Importieren Sie icaclient.adm mit der Gruppenrichtlinien-Verwaltungskonsole und aktivieren Sie die Smartcardauthentifizierung.
Schritt 8. Testen Sie die Bereitstellung. Stellen Sie sicher, dass die Bereitstellung richtig konfiguriert ist, indem Sie den virtuellen Desktop mit der Smartcard eines Testbenutzers starten. Testen Sie alle möglichen Zugriffsmechanismen (beispielsweise Zugriff auf den Desktop über Internet Explorer und die Citrix Workspace-App).
Zähler für Zugriff auf Smartcardleser
Mit Smartcard-Remoting können Sie verfolgen, wie oft eine Smartcard in einem Lesegerät eingesteckt oder entfernt wurde, unter Verwendung der Funktion “ SCardGetStatusChange”. Die Funktion aktualisiert ein Array von SCARD_READERSTATE-Datenstrukturen — je eine pro Lesegerät, das Sie überwachen. High Word (16 Bit) des dwEventState-Datenfelds für jedes SCARD_READERSTATE enthält die Anzahl der Lesegeräte. Weitere Informationen finden Sie in den Microsoft-Artikeln SCardGetStatusChangeA-Funktion und SCARD_READERSTATEA-Struktur.
Die Einstellung Reader Insert Count Reporting ist standardmäßig deaktiviert. Zum Aktivieren der Überwachung fügen Sie folgenden Registrierungsschlüssel hinzu:
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard
Name: EnableReaderInsertCountReporting
Typ: DWORD
Wert: Beliebiger Wert ungleich Null
Sobald die Sitzung getrennt wird, wird der Zähler zurückgesetzt auf Null.
Reader Insert Count Reporting ist kompatibel mit Smartcard-Middleware von Drittanbietern.