Produktdokumentation
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
PDF anzeigen

Smartcardauthentifizierung für Web Studio einrichten

February 17, 2025
Beitrag von: 
C

In diesem Artikel werden die Schritte beschrieben, die zum Einrichten und Aktivieren der Smartcardauthentifizierung für Web Studio erforderlich sind:

Schritt 1: Smartcardtreiber installieren

Schritt 2: Zertifikate für Smartcardbenutzer ausstellen

Schritt 3: Zertifikate für Smartcardbenutzer registrieren

Schritt 4: Web Studio IIS-Server konfigurieren

Schritt 5 (optional) Authentifizierungsdelegationen für Web Studio konfigurieren

Schritt 6: Smartcardauthentifizierung für Web Studio aktivieren

Hinweis:

Die Smartcardauthentifizierung wird nur für Benutzer aus derselben Active Directory-Domäne mit Web Studio-Servern unterstützt.

Schritt 1: Smartcardtreiber installieren

Installieren Sie den Smartcardtreiber auf den folgenden Maschinen:

  • Domänencontroller, auf denen der Zertifikatsdienst installiert ist.
  • Web Studio-Server
  • Maschinen, mit denen Endbenutzer auf Web Studio zugreifen
  • Maschinen, die Sie zum Registrieren von Zertifikaten für Smartcardbenutzer verwenden

Smartcardtreiber variieren je nach Anbieter. Wenn Sie beispielsweise von ITS bereitgestellte Smartcard-Hardware verwenden, laden Sie die SaftNet-Treiber von https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers herunter.

Schritt 2: Zertifikate für Smartcardbenutzer ausstellen

Hinweis:

Die folgenden Schritte dienen als Beispiel und führen Sie durch den Vorgang.

Gehen Sie auf Ihrem Domänencontroller wie folgt vor, um die Aufgabe abzuschließen:

  1. Greifen Sie auf Ihren Domänencontroller zu und öffnen Sie Zertifizierungsstelle.

    ZS starten

  2. Duplizieren Sie die Vorlage Registrierungsagent. Verfahren:

    1. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie Verwalten.

      Zertifikatsvorlagen verwalten

    2. Klicken Sie mit der rechten Maustaste auf Registrierungsagent und wählen Sie Vorlage duplizieren aus.

    3. Wählen Sie auf der Registerkarte Kryptografie die Option Microsoft Base Smart Card Crypto Provider aus und klicken Sie dann auf OK. Eine Vorlage mit dem Namen Kopie des Registrierungsagenten wird in der Liste Zertifikatvorlagen angezeigt.

      Zertifikatvorlagen > Krytograph

    4. Stellen Sie auf der Registerkarte Betreffname sicher, dass die Option E-Mail in Betreffnamen einschließen deaktiviert ist.

      Zertifikatvorlagen > Antragstellername

  3. Überprüfen Sie die Berechtigungen der Vorlage Smartcardbenutzer. Verfahren:
    1. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie Verwalten.
    2. Klicken Sie mit der rechten Maustaste auf Smartcardbenutzer und wählen Sie Eigenschaften aus.

    3. Überprüfen Sie auf der Registerkarte Sicherheit, ob für Domänenadministratoren die folgenden Berechtigungen ausgewählt sind, wie unten gezeigt:

      Zertifikatvorlagen > Sicherheit

  4. Stellen Sie Zertifikate für Smartcards aus. Verfahren:
    1. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie dann Neue > Auszustellende Vorlage aus.
    2. Wählen Sie Kopie des Registrierungsagents und Smartcardbenutzer aus.
    3. Klicken Sie auf OK.

Schritt 3: Zertifikate für Smartcardbenutzer registrieren

Hinweis:

Die folgenden Schritte dienen als Beispiel und führen Sie durch den Vorgang.

Gehen Sie auf einem physischen Windows-Computer, der einer Domäne beigetreten ist, wie folgt vor, um Zertifikate für jede Smartcard zu registrieren:

  1. Bereiten Sie einen in die Domäne eingebundenen physischen Windows-Computer für die Registrierung vor:
    1. Stellen Sie sicher, dass der Smartcardtreiber installiert ist.
    2. Legen Sie eine Smartcard in das Gerät ein.
    3. Melden Sie sich mit dem Benutzerkonto, das Sie der Smartcard zuweisen möchten, an der Maschine an.
  2. Fügen Sie das Snap-In Zertifikate auf der Maschine hinzu, die Sie in Schritt 1 vorbereitet haben. Verfahren:
    1. Öffnen Sie mmc.
    2. Klicken Sie auf Datei und dann auf Snap-In hinzufügen/entfernen.
    3. Wählen Sie im angezeigten Fenster Snap-Ins hinzufügen oder entfernen die Option Zertifikate aus und klicken Sie dann auf Hinzufügen >.
    4. Wählen Sie im angezeigten Dialogfeld Mein Benutzerkonto und klicken Sie auf Fertigstellen.

    5. Klicken Sie auf OK.

      Add certificate

  3. Fordern Sie neue Zertifikate für das Snap-In Zertifikate an. Verfahren:

    1. Gehen Sie zu Zertifikate – Aktueller Benutzer > Persönlich, klicken Sie mit der rechten Maustaste auf Zertifikate und wählen Sie dann Alle Aufgaben > Neues Zertifikat anfordern.

      ![request new certificate](/en-us/citrix-virtual-apps-desktops/media/ add-certificate-2.png)

    2. Wählen Sie im angezeigten Dialogfeld Zertifikate anfordern die Optionen Kopie des Registrierungsagents und Smartcardbenutzer aus.

      Zertifikatsvorlagen verwalten

    3. Klicken Sie im obigen Dialogfeld auf Details für Smartcardbenutzer und dann auf Eigenschaften. Das Dialogfeld Zertifikateigenschaften wird angezeigt. Neues Zertifikat anfordern > Eigenschaften
    4. Erweitern Sie auf der Registerkarte Privater Schlüssel Cryptographic Service Provider, deaktivieren Sie Microsoft Strong Cryptographic Provider (Verschlüsselung), wählen Sie nur Microsoft Base Smart Card Crypto Provider (Verschlüsselung) aus und klicken Sie dann auf OK.
    5. Klicken Sie auf Registrieren.
    6. Geben Sie im angezeigten Dialogfeld Windows-Sicherheit den PIN-Code der Smartcard ein und klicken Sie auf OK. Wenn die Registrierung abgeschlossen ist, klicken Sie auf Fertigstellen. Zertifikat registrieren

Nach erfolgreicher Registrierung werden unter Zertifikate – Aktueller Benutzer –> Persönlich –> Zertifikate zwei Zertifikate angezeigt, wie im folgenden Screenshot gezeigt. Zertifikatsvorlagen verwalten

Schritt 4: Web Studio IIS-Server konfigurieren

Gehen Sie auf jedem Web Studio-Server wie folgt vor, um IIS für die Smartcardauthentifizierung zu konfigurieren:

  1. Aktivieren Sie Client Certificate Mapping-Authentifizierung für die Web Studio-Maschine**.

    Das Element <clientCertificateMappingAuthentication> ist bei der Standardinstallation von IIS 7 und höher nicht verfügbar. Weitere Informationen zur Installation und Aktivierung finden Sie in diesem Microsoft-Artikel.

  2. Starten Sie IIS Manager auf dem Web Studio-Computer.

  3. Aktivieren Sie Active Directory-Client-Zertifikatauthentifizierung für den Computer. Verfahren:

    1. Wählen Sie die Maschine im linken Bereich aus und doppelklicken Sie auf Authentifizierung.

      IIS > Auth

    2. Aktivieren Sie Active Directory-Client-Zertifikatauthentifizierung.

      IIS > ACC Client Certificate Authen aktivieren

  4. Konfigurieren Sie das Web Studio-Backend-Modul für ein sichereres HTTPS-Protokoll mit Client-Zertifikatsauthentifizierung:

    1. Gehen Sie zu Sites > Standardwebsite > Studio > Backend > Smartcard und doppelklicken Sie dann im Abschnitt IIS auf SSL-Einstellungen.

      IIS-Backend-Modul Smartcard SSL

    2. Wählen Sie Erfordert für Client-Zertifikate.

      IIS-Server-Backend-Smartcard SSL erforderlich

    3. Kehren Sie zu Sites > Standardwebsite > Studio > Backend > Smartcard zurück und doppelklicken Sie dann im Abschnitt IIS auf Konfigurationseditor.

      IIS > Konfigurationseditor

    4. Stellen Sie sicher, dass /clientCertificateMappingAuthentication aktiviert ist.

      Clientauthentifizierung aktivieren

  5. (Nur Windows 2022) Deaktivieren Sie TLS 3.1 über TCP. Verfahren:

    1. Gehen Sie zu Sites > Standardwebsite.
    2. Klicken Sie auf Site bearbeiten > Bindung.

    3. Wählen Sie im angezeigten Dialogfeld Sitebindungen den Eintrag https aus und klicken Sie dann auf Bearbeiten.

      Nur Windows 2022 - https bearbeiten

    4. Wählen Sie im angezeigten Dialogfeld Sitebindung bearbeiten die Option TLS 1.3 über TCP deaktivieren aus und klicken Sie dann auf OK.

      Nur Windows 2022 - https-Bearbeitung deaktiviert

Nützliche Info:

Web Studio Backend ist ein Modul in Web Studio, das die folgenden Funktionen bietet:

  • Smartcardauthentifizierung
  • Abrufen von FMA-Bearer-Token aus dem Orchestrierungsdienst Service mit der integrierten Windows-Authentifizierung.

Schritt 5 (optional) Authentifizierungsdelegationen für Web Studio konfigurieren

Wenn Web Studio und Delivery Controller auf verschiedenen Servern installiert sind, müssen Sie Delegationen für jeden Web Studio-Server an die Delivery Controller für HOST- und HTTPS-Dienste konfigurieren.

Gehen Sie wie folgt vor, um die Aufgabe für jeden Web Studio-Server abzuschließen:

  1. Das Delivery Controller Orchestration HTTPS-Zertifikat importieren
  2. Delegierung für den Web Studio-Server konfigurieren
  3. Delegierung für das Dienstkonto des Web Studio IIS-Servers konfigurieren

Das Delivery Controller Orchestration HTTPS-Zertifikat importieren

Importieren Sie auf dem Web Studio-Server das Delivery Controller Orchestration HTTPS-Zertifikat in Trusted Root Certification Authorities. Verfahren:

  1. Start Einstellungen > Computerzertifikate verwalten.

  2. Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate und wählen Sie Alle Aufgaben > Importieren.

    DDC-Zertifikat importieren

  3. Befolgen Sie die Anweisungen auf dem Bildschirm, um das Delivery Controller Orchestration HTTPS -Zertifikat zu importieren.

Delegierung für den Web Studio-Server konfigurieren

Konfigurieren Sie auf dem Domänencontroller die Delegierung des Web Studio-Servers an den Delivery Controller für HOST- und HTTP-Dienste. Gehen Sie wie folgt vor, um die Aufgabe abzuschließen:

  1. Starten Sie auf dem Domänencontroller Active Directory-Verwaltungscenter.
  2. Suchen Sie das Computerkonto ** des Web Studio-Servers, den Sie für die Delegierung konfigurieren möchten (zum Beispiel Dan002).

  3. Klicken Sie mit der rechten Maustaste auf das Konto und wählen Sie Eigenschaften.

    Delegierung für den Studio-Server konfigurieren

    1. Gehen Sie zur Registerkarte Delegation.

      ! [Delegierungskonfiguration eingeben] (/en-us/citrix-virtual-apps-desktops/media/ kerbero-delegation-2.png)

    2. Wählen Sie Diesem Benutzer nur für die Delegierung an bestimmte Dienste vertrauen > Verwenden Sie ein beliebiges Authentifizierungsprotokoll.
    3. Klicken Sie auf Hinzufügen, um anzugeben, an welche Dienste dieses Computerkonto delegiert werden kann.
    4. Klicken Sie im angezeigten Dialogfeld Dienst hinzufügen auf Benutzer oder Computer hinzufügen, um den Computernamen des Delivery Controllers zu suchen (zum Beispiel Dan001).
    5. Wählen Sie die Dienste HOST und HTTP aus und klicken Sie dann auf OK.

Die Konfigurationsergebnisse werden im folgenden Screenshot angezeigt. Zertifikatsvorlagen verwalten

Delegierung für das Dienstkonto des Web Studio IIS-Servers konfigurieren

Wenn Sie ein Dienstkonto für den Web Studio IIS-Server konfiguriert haben, müssen Sie auch die Delegierung für dieses Dienstkonto an den Delivery Controller für die HOST- und HTTP-Dienste konfigurieren. Wenn diese Delegierung eingerichtet ist, kann der Web Studio-Server sein Dienstkonto verwenden, um die Identität des aktuellen Smartcardbenutzers anzunehmen, um auf die Bereitstellungsgruppe für die HOST- und HTTP-Dienste zuzugreifen. Gehen Sie wie folgt vor, um die Konfiguration abzuschließen:

  1. Starten Sie auf dem Domänencontroller Active Directory-Verwaltungscenter.
  2. Suchen Sie das Benutzerkonto, das Sie für die Delegierung konfigurieren möchten. (Beispiel: svr-stud-002).
  3. Klicken Sie mit der rechten Maustaste auf das Konto und wählen Sie Eigenschaften.
  4. Gehen Sie wie in Schritt 2 beschrieben vor, um das Web Studio IIS-Dienstkonto an die HOST- und HTTP-Dienste des Delivery Controllers zu delegieren.

Die Konfigurationsergebnisse sind im folgenden Screenshot dargestellt.

Zertifikatsvorlagen verwalten

Schritt 6: Smartcardauthentifizierung für Web Studio aktivieren

Gehen Sie wie folgt vor, um die Smartcardauthentifizierung für Web Studio zu aktivieren:

  1. Melden Sie sich bei Web Studio an und wählen Sie im linken Bereich Einstellungen aus.
  2. Wählen Sie je nach Bedarf Smartcardauthentifizierung oder Domänenanmeldeinformationen + Smartcardauthentifizierung.
  3. Wählen Sie je nach Bedarf Smartcardauthentifizierung oder Domänenanmeldeinformationen oder Smartcardauthentifizierung.

  4. Klicken Sie auf Anwenden.

    Zertifikatsvorlagen verwalten

Smartcardauthentifizierung für Web Studio einrichten
February 17, 2025
Beitrag von: 
C
February 17, 2025
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.