Citrix Virtual Apps and Desktops

Smartcards

Smartcards und ähnliche Technologien werden im Rahmen der in diesem Abschnitt beschriebenen Richtlinien unterstützt. Zur Verwendung von Smartcards mit Citrix Virtual Apps oder Citrix Virtual Desktops ist Folgendes zu berücksichtigen:

  • Machen Sie sich mit den Sicherheitsrichtlinien Ihrer Organisation für die Verwendung von Smartcards vertraut. Mit diesen Richtlinien wird z. B. festgelegt, wie Smartcards ausgegeben werden und wie diese von Benutzern gesichert werden müssen. Einige Aspekte dieser Richtlinien müssen ggf. in einer Citrix Virtual Apps- bzw. Citrix Virtual Desktops-Umgebung neu bewertet werden.
  • Legen Sie fest, welche Benutzergerätetypen, Betriebssysteme und veröffentlichten Anwendungen mit Smartcards verwendet werden dürfen.
  • Machen Sie sich mit der Smartcard-Technologie und der Hardware und Software des von Ihnen gewählten Smartcardanbieters vertraut.
  • Sie sollten wissen, wie Sie digitale Zertifikate in einer verteilten Umgebung bereitstellen.

Hinweis:

Die Smartcard-Registrierung mit dem Feature Schnelle Smartcard wird nicht unterstützt. Die Smartcardregistrierung funktioniert möglicherweise, wenn das Schnelle-Smartcard-Feature deaktiviert ist, das hängt jedoch vom Typ der Smartcard und der Middleware ab. Wenden Sie sich an den Smartcard- und Middleware-Anbieter, um in Erfahrung zu bringen, inwiefern deren Produkte Citrix Virtual Apps and Desktops und die Smartcardregistrierung über virtuelle Sitzungen unterstützen.

Smartcardtypen

Smartcards für Unternehmen und Kunden haben die gleiche Größe, elektrischen Verbindungen und passen in die gleichen Smartcardleser.

Smartcards für die Verwendung in Unternehmen enthalten digitale Zertifikate. Solche Smartcards unterstützen die Windows-Anmeldung und können auch in Kombination mit Anwendungen für die digitale Signierung und Verschlüsselung von Dokumenten und E-Mail verwendet werden. Citrix Virtual Apps and Desktops unterstützt diese Art der Verwendung.

Smartcards für Kunden enthalten anstelle eines digitalen Zertifikats einen gemeinsamen geheimen Schlüssel. Mit solchen Smartcards ist ggf. eine Bezahlung möglich (z. B. Kreditkarte mit Chip und PIN/Unterschrift). Sie unterstützen keine Windows-Anmeldung oder typische Windows-Anwendungen. Zur Verwendung solcher Smartcards sind spezielle Windows-Anwendungen und eine geeignete Softwareinfrastruktur (z. B. eine Verbindung mit einem Zahlsystemnetzwerk) erforderlich. Informationen zur Unterstützung solcher Spezialanwendungen in Citrix Virtual Apps oder Citrix Virtual Desktops erhalten Sie bei Ihrem Citrix Repräsentanten.

Für Unternehmenssmartcards gibt es entsprechende kompatible Technologien, die ähnlich funktionieren.

  • Ein smartcardäquivalenter USB-Token stellt eine direkte Verbindung mit einem USB-Anschluss her. Diese USB-Token sind normalerweise so groß wie ein USB-Stick, aber sie können auch so klein wie die SIM-Karte eines Mobiltelefons sein. Sie sind eine Kombination aus einer Smartcard und einem USB-Smartcardleser.
  • Virtuelle Smartcards mit Windows Trusted Platform Module (TPM) erscheinen als Smartcard. Solche virtuellen Smartcards werden für Windows 8 und Windows 10 bei Verwendung der Citrix Workspace-App (Citrix Receiver Mindestversion 4.3) unterstützt.
    • Versionen von Citrix Virtual Apps and Desktops (zuvor “XenApp und XenDesktop”) vor 7.6 FP3 unterstützen keine virtuellen Smartcards.
    • Weitere Informationen zu virtuellen Smartcards finden Sie unter Virtual Smart Card Overview.

    Hinweis: Der Begriff “virtuelle Smartcard” wird auch für ein digitales Zertifikat verwendet, das auf dem Computer des Benutzers gespeichert wird. Diese digitalen Zertifikate sind nicht unbedingt gleichbedeutend mit Smartcards.

Die Smartcard-Unterstützung in Citrix Virtual Apps and Desktops basiert auf dem PC/SC-Standard (Personal Computer/Smart Card) von Microsoft. Als Mindestanforderung müssen Smartcards und Smartcardleser vom zugrunde liegenden Windows-Betriebssystem unterstützt werden und vom Microsoft Windows Hardware Quality Labs (WHQL) für die Verwendung auf Computern mit einem qualifizierenden Windows-Betriebssystem zugelassen sein. Weitere Informationen zur Hardware-PC/SC-Kompatibilität finden Sie in der Microsoft-Dokumentation. Weitere Benutzergeräte können möglicherweise PS/SC-konform sein. Weitere Informationen finden Sie unter Das Citrix Ready-Programm.

Normalerweise wird für jede Smartcard bzw. ähnliche Geräte ein eigener Gerätetreiber benötigt. Entsprechen Smartcards jedoch einem Standard wie NIST PIV (Personal Identity Verification), kann evtl. ein Treiber für mehrere Smartcardtypen verwendet werden. Der Gerätetreiber muss auf dem Benutzergerät und dem Virtual Delivery Agent installiert werden. Der Gerätetreiber ist häufig im Smartcard-Middlewarepaket eines Citrix Partners enthalten. Das Smartcard-Middlewarepaket bietet erweiterte Features. Der Gerätetreiber wird u. U. auch als Kryptografiedienstanbieter (CSP), Schlüsselspeicheranbieter (KSP) oder Minitreiber bezeichnet.

Die folgenden Kombinationen aus Smartcard und Middleware für Windows-Systeme wurden von Citrix als repräsentatives Beispiel ihres Typs getestet. Es können jedoch auch andere Smartcards und Middleware verwendet werden. Weitere Informationen über Citrix-kompatible Smartcards und Middleware finden Sie unter http://www.citrix.com/ready.

Middleware Geeignete Karten
Gemalto Mini Driver für .NET-Karte Gemalto .NET v2+

Informationen zur Verwendung von Smartcards mit anderen Gerätetypen finden Sie in der Citrix Workspace-App-Dokumentation für das jeweilige Gerät.

Remote-PC-Zugriff

Smartcards werden nur für den Remotezugriff auf physische Büro-PCs mit Windows 10, Windows 8 oder Windows 7 unterstützt.

Die folgenden Smartcards wurden mit Remote-PC-Zugriff getestet:

Middleware Geeignete Karten
Gemalto .NET-Minitreiber Gemalto .NET v2+

Schnelle-Smartcard-Feature

Das Schnelle-Smartcard-Feature ist eine Verbesserung gegenüber der alten HDX PC/SC-basierten Smartcardumleitung. Das Feature verbessert die Leistung, wenn Smartcards in WANs mit hoher Latenz verwendet werden. Wenn die Latenz hoch ist, kann die Leistungsverbesserung erheblich sein (z. B. 15 Sekunden für eine Schnelle-Smartcard-Anmeldung unter Windows im Vergleich zu mehr als 1 Minute bei der PC/SC-basierten Smartcardumleitung).

Das Schnelle-Smartcard-Feature sind standardmäßig auf Hostmaschinen mit derzeit unterstützten Windows-VDAs aktiviert. Um das Schnelle-Smartcard-Feature auf dem Host zu deaktivieren (z. B. für Diagnosezwecke), wählen Sie für die Registrierungseinstellung “Disable Cryptographic Redirection” einen beliebigen Wert ungleich null:

HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->

Um das Schnelle-Smartcard-Feature auf dem Client zu aktivieren, fügen Sie den ICA-Parameter “SmartCardCryptographicRedirection” in die Datei default.ica der zugehörigen StoreFront-Site ein:

[WFClient]
SmartCardCryptographicRedirection=On

Darüber hinaus kann das Schnelle-Smartcard-Feature auf der Clientseite mit den folgenden Registrierungseinstellungen zwangsweise aktiviert oder deaktiviert werden (z. B. zu Diagnosezwecken):

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (als ein DWORD-Wert, der nicht Null ist)

Oder

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (als ein DWORD-Wert, der nicht Null ist)

Die 32-Bit-Registrierungsstruktur muss angegeben werden (mit WOW6432Node), wenn der Clientcomputer 64-Bit ist.

Einschränkungen:

  • Nur die Citrix Workspace-App für Windows unterstützt das Schnelle-Smartcard-Feature Wenn Sie das Schnelle-Smartcard-Feature in der Datei default.ica konfigurieren, verwenden Citrix Workspace-Apps für andere Betriebssysteme als Windows weiterhin die alte PC/SC-Umleitung.
  • Das Schnelle-Smartcard-Feature unterstützt als einziges Double-Hop-Szenario ICA > ICA, wenn es auf beiden Hops aktiviert ist. Da das Schnelle-Smartcard-Feature keine ICA > RDP-Double-Hops unterstützt, funktioniert ein solches Szenario nicht.
  • Das Schnelle-Smartcard-Feature unterstützt Cryptography Next Generation nicht. Daher unterstützt das Schnelle-Smartcard-Feature keine Smartcards mit Elliptic Curve Cryptography (ECC).
  • Das Schnelle-Smartcard-Feature unterstützt nur Schlüsselcontaineroperationen mit Schreibschutz.
  • Das Schnelle-Smartcard-Feature unterstützt das Ändern der Smartcard-PIN nicht.

Ab VDA-Version 2203 und Citrix Workspace-App-Version 2202 für Windows (oder höher) ist das Schnelle-Smartcard-Feature mit Cryptography Next Generation (CNG) kompatibel. Darüber hinaus werden Elliptic Curve Cryptography (ECC)-Smartcards mit den folgenden Kurven unterstützt: P-256, P-384, P-521 Bit, sowohl für ECDSA als auch für ECDH.

Ab VDA-Version 2203 bietet das Schnelle-Smartcard-Feature die Möglichkeit, die Smartcard-PIN zwischen den Anwendungen aus der Anmeldesitzung desselben Benutzers zwischenzuspeichern. Wenn beispielsweise Sitzungs-PIN-Caching aktiviert ist und der Endbenutzer seine Smartcard-PIN bereit in Outlook angegeben hat und Word dann zum Signieren eines Dokuments verwendet wird, verwendet Word die bereits zwischengespeicherte Smartcard-PIN (an Outlook gesendet). Das Sitzungs-PIN-Caching unterstützt die Benutzererfahrung, da die Smartcard-PIN weniger oft eingegeben werden muss. Wenn die Smartcard für die Anmeldung am VDA verwendet wird, kann die Windows-Smartcard-Anmelde-PIN optional im Sitzungs-PIN-Cachegespeichert werden. Dies kann die Benutzererfahrung noch weiter verbessern.

Das Zwischenspeichern der Sitzungs-PIN ist standardmäßig deaktiviert. Es kann mit den folgenden Registrierungseinstellungen auf dem VDA aktiviert und gesteuert werden:

In HKLM\SOFTWARE\Citrix\SmartCard:

  • EnablePinSessionCache als DWORD (ungleich Null zum Aktivieren)
  • EnableLogonPinSessionCache als DWORD (ungleich Null zum Aktivieren)
  • PinSessionCacheEntryStaleTimeout als DWORD (Anzahl der Sekunden, bis ein Eintrag veraltet ist, der Standardwert ist 1 Stunde)

Smartcardleser

Ein Smartcardleser kann im Benutzergerät eingebaut sein oder an dieses angeschlossen werden (normalerweise über USB oder Bluetooth). Kontaktkartenleser, die dem USB-Protokoll CCID (Chip Card Interface Device) entsprechen, werden unterstützt. Diese enthalten einen Schlitz, in den die Smartcard eingeführt wird. In der DK-Norm (Deutsche Kreditwirtschaft) sind vier Kontaktkartenleserklassen festgelegt.

  • Smartcardleser der Klasse 1 sind die häufigsten Geräte und haben normalerweise einen Steckplatz. Smartcardleser der Klasse 1 werden in der Regel durch einen CCID-Standardgerätetreiber unterstützt, der mit dem Betriebssystem geliefert wurde.
  • Smartcardleser der Klasse 2 enthalten eine sichere Tastatur, auf die über das Benutzergerät nicht zugegriffen werden kann. Smartcardleser der Klasse 2 können in eine Tastatur mit eingebauter sicherer Zehnertastatur integriert werden. Wenn Sie Smartcardleser der Klasse 2 verwenden, wenden Sie sich an einen Citrix Mitarbeiter, da u. U. ein spezifischer Gerätetreiber erforderlich ist, damit die sichere Zehnertastatur funktioniert.
  • Smartcardleser der Klasse 3 haben ein sicheres Display. Smartcardleser der Klasse 3 werden nicht unterstützt.
  • Smartcardleser der Klasse 4 haben ein sicheres Übertragungsmodul. Smartcardleser der Klasse 4 werden nicht unterstützt.

Hinweis:

Die Klasse der Smartcardleser hat nichts mit der USB-Geräteklasse zu tun.

Smartcardleser müssen mit einem entsprechenden Gerätetreiber auf dem Benutzergerät installiert sein.

Informationen zu unterstützten Smartcardlesern finden Sie in der Dokumentation zu Ihrer Citrix Workspace-App-Version. Die unterstützten Versionen werden in der Dokumentation zur Citrix Workspace-App in einem Smartcard-Artikel oder im Artikel zu den Systemanforderungen aufgeführt.

Benutzererfahrung

Smartcardunterstützung ist in Citrix Virtual Apps and Desktops durch einen virtuellen ICA/HDX-Smartcardkanal integriert, der standardmäßig aktiviert ist.

Wichtig: Verwenden Sie für Smartcardleser keine generische USB-Umleitung. Diese ist für Smartcardleser standardmäßig deaktiviert und wird bei Aktivierung nicht unterstützt.

Mehrere Smartcards und mehrere Leser können an dem gleichen Benutzergerät verwendet werden, wenn jedoch Passthrough-Authentifizierung verwendet wird, kann nur eine Smartcard eingesteckt werden, wenn der Benutzer einen virtuellen Desktop oder eine virtuelle Anwendung startet. Wenn eine Smartcard innerhalb einer Anwendung verwendet wird (z. B. zur digitalen Signierung oder für Verschlüsselungsfunktionen), werden Sie möglicherweise mehrmals zum Einlegen einer Smartcard oder zur Eingabe einer PIN-Nummer aufgefordert. Dieser Fall kann eintreten, wenn eine oder mehrere Smartcards gleichzeitig eingelegt wurden.

  • Wenn Benutzer zum Einlegen einer Smartcard aufgefordert werden und die Smartcard bereits im Leser ist, müssen sie auf “Abbrechen” klicken.
  • Wenn Benutzer aufgefordert werden, eine PIN einzugeben, müssen sie die PIN neu eingeben.

Sie können PINs mit einem Kartenverwaltungsprogramm oder einem Herstellerdienstprogramm zurücksetzen.

Wichtig:

In einer Citrix Virtual Apps- oder Citrix Virtual Desktops-Sitzung wird die Verwendung einer Smartcard mit Microsoft-Remotedesktopverbindung nicht unterstützt. Dies wird manchmal als “Double-Hop” bezeichnet.

Führen Sie vor dem Bereitstellen von Smartcards folgende Schritte aus

  • Installieren Sie für den Smartcardleser einen Gerätetreiber auf dem Benutzergerät. Viele Smartcardleser können mit dem von Microsoft bereitgestellten CCID-Gerätetreiber benutzt werden.
  • Beziehen Sie einen Gerätetreiber und Kryptografiedienstanbietersoftware (CSP) vom Smartcard-Hersteller und installieren Sie beides auf Benutzergeräten und auf virtuellen Desktops. Der Treiber und die CSP-Software müssen mit Citrix Virtual Apps and Desktops kompatibel sein (Informationen zur Kompatibilität enthält die Dokumentation). Für virtuelle Desktops mit Smartcards, die das Minitreibermodell unterstützen und verwenden, werden die Smartcard-Minitreiber automatisch heruntergeladen. Die Treiber können auch über http://catalog.update.microsoft.com oder den Hersteller bezogen werden. Wird PKCS#11-Middleware benötigt, wenden Sie sich an den Smartcardhersteller.
  • Wichtig: Citrix empfiehlt, dass Sie die Treiber und CSP-Software vor der Installation von Citrix Software auf einem physischen Computer installieren und testen.
  • Fügen Sie die Citrix Receiver für Web-URL der Liste der vertrauenswürdigen Sites für Benutzer hinzu, die Smartcards in Internet Explorer unter Windows 10 verwenden. In Windows 10 wird Internet Explorer für vertrauenswürdige Sites nicht standardmäßig im geschützten Modus ausgeführt.
  • Stellen Sie sicher, dass die Public Key-Infrastruktur entsprechend konfiguriert ist. Hierzu gehört, dass die Zertifikat-zu-Konto-Zuordnung richtig für die Active Directory-Umgebung konfiguriert ist, und dass die Validierung des Benutzerzertifikats ausgeführt werden kann.
  • Stellen Sie sicher, dass ihre Bereitstellung die Systemanforderungen der anderen Citrix-Komponenten erfüllt, die mit Smartcards verwendet werden, u. a. Citrix Workspace-App und StoreFront.
  • Stellen Sie sicher, dass auf die folgenden Server in der Site Zugriff besteht:
    • Active Directory-Domänencontroller für das Benutzerkonto mit zugeordnetem Anmeldezertifikat auf der Smartcard
    • Delivery Controller
    • Citrix StoreFront
    • Citrix Gateway/Citrix Access Gateway 10.x
    • VDA
    • (Optional für Remotezugriff): Microsoft Exchange Server

Aktivieren der Smartcard-Verwendung

Schritt 1. Geben Sie die Smartcards an die Benutzer aus und berücksichtigen Sie dabei die Kartenausstellungsrichtlinie.

Schritt 2. Optional: Richten Sie Smartcards ein, damit die Benutzer Remote-PC-Zugriff verwenden können.

Schritt 3. Installieren Sie ggf. den Delivery Controller und StoreFront und konfigurieren Sie beides für Smartcard-Remoting.

Schritt 4. Aktivieren Sie StoreFront für die Verwendung von Smartcards. Einzelheiten finden Sie unter “Konfigurieren der Smartcardauthentifizierung” in der StoreFront-Dokumentation.

Schritt 5. Aktivieren Sie Citrix Gateway/Access Gateway für die Verwendung von Smartcards. Einzelheiten finden Sie unter “Configuring Authentication and Authorization und Configuring Smart Card Access with the Web Interface” in der NetScaler-Dokumentation.

Schritt 6. Aktivieren Sie VDAs für die Verwendung mit Smartcard.

  • Stellen Sie sicher, dass die erforderlichen Anwendungen und Updates auf dem VDA installiert wurden.
  • Installieren Sie die Middleware.
  • Richten Sie Smartcard-Remoting ein, damit die Kommunikation von Smartcarddaten zwischen der Citrix Workspace-App auf einem Benutzergerät und einer virtuellen Desktopsitzung möglich ist.

Schritt 7. Aktivieren Sie Benutzergeräte (einschließlich der Maschinen innerhalb und außerhalb von Domänen) für die Verwendung von Smartcards. Einzelheiten finden Sie unter “Konfigurieren der Smartcardauthentifizierung” in der StoreFront-Dokumentation.

  • Importieren Sie das Zertifizierungsstellen-Stammzertifikat und das Zertifikat der ausstellenden Zertifizierungsstelle in den Schlüsselspeicher des Geräts.
  • Installieren Sie die Smartcard-Middleware des Herstellers.
  • Installieren und konfigurieren Sie die Citrix Workspace-App für Windows. Importieren Sie icaclient.adm mit der Gruppenrichtlinien-Verwaltungskonsole und aktivieren Sie die Smartcardauthentifizierung.

Schritt 8. Testen Sie die Bereitstellung. Stellen Sie sicher, dass die Bereitstellung richtig konfiguriert ist, indem Sie den virtuellen Desktop mit der Smartcard eines Testbenutzers starten. Testen Sie alle möglichen Zugriffsmechanismen (beispielsweise Zugriff auf den Desktop über Internet Explorer und die Citrix Workspace-App).

Zähler für Zugriff auf Smartcardleser

Mit Smartcard-Remoting können Sie verfolgen, wie oft eine Smartcard in einem Lesegerät eingesteckt oder entfernt wurde, unter Verwendung der Funktion “ SCardGetStatusChange”. Die Funktion aktualisiert ein Array von SCARD_READERSTATE-Datenstrukturen — je eine pro Lesegerät, das Sie überwachen. High Word (16 Bit) des dwEventState-Datenfelds für jedes SCARD_READERSTATE enthält die Anzahl der Lesegeräte. Weitere Informationen finden Sie in den Microsoft-Artikeln SCardGetStatusChangeA-Funktion und SCARD_READERSTATEA-Struktur.

Die Einstellung Reader Insert Count Reporting ist standardmäßig deaktiviert. Zum Aktivieren der Überwachung fügen Sie folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard

Name: EnableReaderInsertCountReporting

Typ: DWORD

Wert: Beliebiger Wert ungleich Null

Sobald die Sitzung getrennt wird, wird der Zähler zurückgesetzt auf Null.

Reader Insert Count Reporting ist kompatibel mit Smartcard-Middleware von Drittanbietern.

Smartcards