Produktdokumentation
Citrix Virtual Apps and Desktops 7 2402 LTSR
PDF anzeigen

Smartcards

June 5, 2026
Beitrag von: 
C

Smartcards und gleichwertige Technologien werden gemäß den in diesem Artikel beschriebenen Richtlinien unterstützt. Um Smartcards mit Citrix Virtual Apps oder Citrix Virtual Desktops™ zu verwenden:

  • Machen Sie sich mit der Sicherheitsrichtlinie Ihres Unternehmens bezüglich der Verwendung von Smartcards vertraut. Diese Richtlinien können beispielsweise festlegen, wie Smartcards ausgegeben werden und wie Benutzer sie schützen müssen. Einige Aspekte dieser Richtlinien müssen möglicherweise in einer Citrix Virtual Apps™- oder Citrix Virtual Desktops-Umgebung neu bewertet werden.
  • Legen Sie fest, welche Benutzergerätetypen, Betriebssysteme und veröffentlichten Anwendungen mit Smartcards verwendet werden sollen.
  • Machen Sie sich mit der Smartcard-Technologie und der Hardware und Software Ihres ausgewählten Smartcard-Anbieters vertraut.
  • Wissen Sie, wie digitale Zertifikate in einer verteilten Umgebung bereitgestellt werden.

Hinweis:

Die Smartcard-Registrierung wird mit Fast Smartcard nicht unterstützt. Die Smartcard-Registrierung funktioniert möglicherweise, wenn Fast Smartcard deaktiviert ist, hängt aber vom Typ der Smartcard und der Middleware ab. Wenden Sie sich an Ihren Smartcard- und Middleware-Anbieter, um Informationen zur Integration mit Citrix Virtual Apps and Desktops und zur Unterstützung der Smartcard-Registrierung über virtuelle Sitzungen zu erhalten.

Arten von Smartcards

Smartcards für Unternehmen und Verbraucher haben die gleichen Abmessungen, elektrischen Anschlüsse und passen in die gleichen Smartcard-Lesegeräte.

Smartcards für den Unternehmenseinsatz enthalten digitale Zertifikate. Diese Smartcards unterstützen die Windows-Anmeldung und können auch mit Anwendungen zum digitalen Signieren und Verschlüsseln von Dokumenten und E-Mails verwendet werden. Citrix Virtual Apps and Desktops™ unterstützen diese Verwendungszwecke.

Smartcards für den Verbrauchergebrauch enthalten keine digitalen Zertifikate; sie enthalten ein gemeinsames Geheimnis. Diese Smartcards können Zahlungen unterstützen (z. B. eine Chip-und-Unterschrift- oder Chip-und-PIN-Kreditkarte). Sie unterstützen weder die Windows-Anmeldung noch typische Windows-Anwendungen. Für die Verwendung dieser Smartcards sind spezielle Windows-Anwendungen und eine geeignete Softwareinfrastruktur (einschließlich z. B. einer Verbindung zu einem Zahlungskartennetzwerk) erforderlich. Wenden Sie sich an Ihren Citrix-Vertreter, um Informationen zur Unterstützung dieser spezialisierten Anwendungen auf Citrix Virtual Apps oder Citrix Virtual Desktops zu erhalten.

Für Unternehmens-Smartcards gibt es kompatible Äquivalente, die auf ähnliche Weise verwendet werden können.

  • Ein Smartcard-äquivalenter USB-Token wird direkt an einen USB-Port angeschlossen. Diese USB-Token haben normalerweise die Größe eines USB-Sticks, können aber auch so klein wie eine in einem Mobiltelefon verwendete SIM-Karte sein. Sie erscheinen als Kombination aus einer Smartcard und einem USB-Smartcard-Lesegerät.
  • Eine virtuelle Smartcard, die ein Windows Trusted Platform Module (TPM) verwendet, erscheint als Smartcard. Diese virtuellen Smartcards werden für Windows 8 und Windows 10 mit der Citrix Workspace-App (Mindestversion Citrix Receiver 4.3) unterstützt.
    • Versionen von Citrix Virtual Apps and Desktops (ehemals XenApp und XenDesktop) vor XenApp und XenDesktop 7.6 FP3 unterstützen keine virtuellen Smartcards.
    • Weitere Informationen zu virtuellen Smartcards finden Sie unter Übersicht über virtuelle Smartcards.

    Hinweis: Der Begriff „virtuelle Smartcard“ wird auch verwendet, um ein auf dem Benutzercomputer gespeichertes digitales Zertifikat zu beschreiben. Diese digitalen Zertifikate sind nicht streng gleichwertig mit Smartcards.

Die Smartcard-Unterstützung von Citrix Virtual Apps and Desktops basiert auf den Microsoft Personal Computer/Smart Card (PC/SC)-Standardspezifikationen. Eine Mindestanforderung ist, dass Smartcards und Smartcard-Geräte vom zugrunde liegenden Windows-Betriebssystem unterstützt und von den Microsoft Windows Hardware Quality Labs (WHQL) genehmigt werden müssen, um auf Computern mit qualifizierten Windows-Betriebssystemen verwendet zu werden. Weitere Informationen zur Hardware-PC/SC-Konformität finden Sie in der Microsoft-Dokumentation. Andere Arten von Benutzergeräten können dem PS/SC-Standard entsprechen. Weitere Informationen finden Sie im Citrix Ready-Programm.

Normalerweise wird für die Smartcard oder ein Äquivalent jedes Anbieters ein separater Gerätetreiber benötigt. Wenn Smartcards jedoch einem Standard wie dem NIST Personal Identity Verification (PIV)-Standard entsprechen, kann es möglich sein, einen einzigen Gerätetreiber für eine Reihe von Smartcards zu verwenden. Der Gerätetreiber muss sowohl auf dem Benutzergerät als auch auf dem Virtual Delivery Agent (VDA) installiert werden. Der Gerätetreiber wird oft als Teil eines Smartcard-Middleware-Pakets geliefert, das von einem Citrix-Partner erhältlich ist; das Smartcard-Middleware-Paket bietet erweiterte Funktionen. Der Gerätetreiber kann auch als Cryptographic Service Provider (CSP), Key Storage Provider (KSP) oder Minidriver bezeichnet werden.

Die folgenden Smartcard- und Middleware-Kombinationen für Windows-Systeme wurden von Citrix als repräsentative Beispiele ihres Typs getestet. Es können jedoch auch andere Smartcards und Middleware verwendet werden. Weitere Informationen zu Citrix-kompatiblen Smartcards und Middleware finden Sie unter http://www.citrix.com/ready.

Middleware Passende Karten
Gemalto Mini Driver für .NET-Karte Gemalto .NET v2+

Informationen zur Smartcard-Nutzung mit anderen Gerätetypen finden Sie in der Dokumentation der Citrix Workspace™ App für das jeweilige Gerät.

Remote-PC-Zugriff

Smartcards werden nur für den Remotezugriff auf physische Büro-PCs unterstützt, auf denen Windows 10, Windows 8 oder Windows 7 ausgeführt wird.

Die folgenden Smartcards wurden mit Remote-PC-Zugriff getestet:

Middleware Passende Karten
Gemalto .NET-Minidriver Gemalto .NET v2+

Schnelle Smartcard

Die schnelle Smartcard ist eine Verbesserung gegenüber der bestehenden HDX PC/SC-basierten Smartcard-Umleitung. Sie verbessert die Leistung, wenn Smartcards in WAN-Situationen mit hoher Latenz verwendet werden. Bei hoher Latenz kann die Leistungsverbesserung erheblich sein (z. B. 15 Sekunden für eine Windows-Anmeldung mit schneller Smartcard gegenüber mehr als 1 Minute mit der PC/SC-basierten Smartcard-Umleitung).

Die schnelle Smartcard ist standardmäßig auf Hostcomputern mit aktuell unterstützten Windows-VDAs aktiviert. Um die schnelle Smartcard auf der Hostseite zu deaktivieren – zum Beispiel für Diagnosezwecke – setzen Sie die Registrierungseinstellung „Disable Cryptographic Redirection“ auf einen beliebigen Wert ungleich Null:

HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->

Auf der Clientseite fügen Sie zum Aktivieren der schnellen Smartcard den ICA-Parameter SmartCardCryptographicRedirection in die Datei default.ica der zugehörigen StoreFront-Site ein:

[WFClient]
SmartCardCryptographicRedirection=On

Zusätzlich kann auf der Clientseite die schnelle Smartcard mit den folgenden Registrierungseinstellungen erzwungen aktiviert oder erzwungen deaktiviert werden (z. B. für Diagnosezwecke):

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (als ein DWORD-Wert ungleich Null)

Oder

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (als ein DWORD-Wert ungleich Null)

Die 32-Bit-Registrierungsstruktur muss angegeben werden (unter Verwendung von WOW6432Node), wenn der Clientcomputer 64-Bit ist.

Einschränkungen:

  • Nur die Citrix Workspace-App für Windows unterstützt die schnelle Smartcard. Wenn Sie schnelle Smartcards in der Datei default.ica konfigurieren, verwenden Citrix Workspace-Apps, die nicht für Windows sind, weiterhin die bestehende PC/SC-Umleitung.
  • Die einzigen Double-Hop-Szenarien, die die schnelle Smartcard unterstützt, sind ICA® > ICA mit aktivierter schneller Smartcard auf beiden Hops. Da die schnelle Smartcard keine ICA > RDP Double-Hop-Szenarien unterstützt, funktionieren diese Szenarien nicht.
  • Die schnelle Smartcard unterstützt Cryptography Next Generation nicht. Daher unterstützt die schnelle Smartcard keine Elliptic Curve Cryptography (ECC)-Smartcards.
  • Die schnelle Smartcard unterstützt nur schreibgeschützte Schlüsselcontainer-Operationen.
  • Die schnelle Smartcard unterstützt das Ändern der Smartcard-PIN nicht.

Ab VDA-Version 2203 und Citrix Workspace-App-Version 2202 für Windows (oder höher) ist die schnelle Smartcard mit Cryptography Next Generation (CNG) kompatibel. Darüber hinaus werden Elliptic Curve Cryptography (ECC)-Smartcards mit den folgenden Kurven unterstützt: P-256, P-384, P-521 Bit, sowohl für ECDSA als auch für ECDH.

Ab VDA-Version 2203 bietet die schnelle Smartcard die Möglichkeit, die Smartcard-PIN zwischen Anwendungen derselben Anmeldesitzung des Benutzers zwischenzuspeichern. Wenn beispielsweise die Sitzungs-PIN-Zwischenspeicherung aktiviert ist und der Endbenutzer seine Smartcard-PIN zuvor in Outlook eingegeben hat, verwendet Word beim Signieren eines Dokuments die bereits zwischengespeicherte Smartcard-PIN (die an Outlook übermittelt wurde). Die Sitzungs-PIN-Zwischenspeicherung verbessert die Benutzerfreundlichkeit, indem sie die Häufigkeit reduziert, mit der der Benutzer seine Smartcard-PIN eingeben muss. Wenn die Smartcard zum Anmelden am VDA verwendet wird, kann die Windows-Smartcard-Anmelde-PIN optional im Sitzungs-PIN-Cache gespeichert werden. Dies kann die Benutzerfreundlichkeit weiter verbessern.

Die Sitzungs-PIN-Zwischenspeicherung ist standardmäßig deaktiviert. Sie kann mit den folgenden Registrierungseinstellungen auf dem VDA aktiviert und gesteuert werden:

In HKLM\SOFTWARE\Citrix\SmartCard:

  • EnablePinSessionCache als DWORD (ungleich Null zum Aktivieren)
  • EnableLogonPinSessionCache als DWORD (ungleich Null zum Aktivieren)
  • PinSessionCacheEntryStaleTimeout als DWORD (Anzahl der Sekunden, bevor ein Eintrag veraltet ist, Standard ist 1 Stunde)

Typen von Smartcard-Lesegeräten

Ein Smartcard-Lesegerät kann in das Benutzergerät integriert oder separat an das Benutzergerät angeschlossen sein (normalerweise über USB oder Bluetooth). Kontaktkartenleser, die der USB Chip/Smart Card Interface Devices (CCID)-Spezifikation entsprechen, werden unterstützt. Sie enthalten einen Steckplatz oder eine Einschubvorrichtung, in die der Benutzer die Smartcard einführt. Der Standard der Deutschen Kreditwirtschaft (DK) definiert vier Klassen von Kontaktkartenlesern.

  • Smartcard-Lesegeräte der Klasse 1 sind am gebräuchlichsten und enthalten normalerweise einen Steckplatz. Smartcard-Lesegeräte der Klasse 1 werden unterstützt, in der Regel mit einem Standard-CCID-Gerätetreiber, der mit dem Betriebssystem geliefert wird.
  • Smartcard-Lesegeräte der Klasse 2 enthalten auch eine sichere Tastatur, auf die das Benutzergerät nicht zugreifen kann. Smartcard-Lesegeräte der Klasse 2 können in eine Tastatur mit integrierter sicherer Tastatur eingebaut sein. Wenden Sie sich für Smartcard-Lesegeräte der Klasse 2 an Ihren Citrix-Vertreter; möglicherweise ist ein leserspezifischer Gerätetreiber erforderlich, um die sichere Tastaturfunktion zu aktivieren.
  • Smartcard-Lesegeräte der Klasse 3 enthalten auch ein sicheres Display. Smartcard-Lesegeräte der Klasse 3 werden nicht unterstützt.
  • Smartcard-Lesegeräte der Klasse 4 enthalten auch ein sicheres Transaktionsmodul. Smartcard-Lesegeräte der Klasse 4 werden nicht unterstützt.

Hinweis:

Die Smartcard-Lesegeräteklasse ist unabhängig von der USB-Geräteklasse.

Smartcard-Lesegeräte müssen mit einem entsprechenden Gerätetreiber auf dem Benutzergerät installiert werden.

Informationen zu unterstützten Smartcard-Lesegeräten finden Sie in der Dokumentation der von Ihnen verwendeten Citrix Workspace-App. In der Dokumentation der Citrix Workspace-App sind unterstützte Versionen in einem Smartcard-Artikel oder im Artikel zu den Systemanforderungen aufgeführt.

Benutzererfahrung

Die Smartcard-Unterstützung ist in Citrix Virtual Apps and Desktops integriert und verwendet einen spezifischen virtuellen ICA/HDX-Smartcard-Kanal, der standardmäßig aktiviert ist.

Wichtig: Verwenden Sie keine generische USB-Umleitung für Smartcard-Lesegeräte. Dies ist für Smartcard-Lesegeräte standardmäßig deaktiviert und wird nicht unterstützt, wenn es aktiviert ist.

Mehrere Smartcards und mehrere Lesegeräte können auf demselben Benutzergerät verwendet werden, aber wenn die Pass-Through-Authentifizierung verwendet wird, darf nur eine Smartcard eingelegt sein, wenn der Benutzer einen virtuellen Desktop oder eine Anwendung startet. Wenn eine Smartcard innerhalb einer Anwendung verwendet wird (z. B. für digitale Signatur- oder Verschlüsselungsfunktionen), kann es weitere Aufforderungen geben, eine Smartcard einzulegen oder eine PIN einzugeben. Dies kann vorkommen, wenn mehr als eine Smartcard gleichzeitig eingelegt wurde.

  • Wenn Benutzer aufgefordert werden, eine Smartcard einzulegen, obwohl die Smartcard bereits im Lesegerät steckt, müssen sie Abbrechen wählen.
  • Wenn Benutzer zur Eingabe der PIN aufgefordert werden, müssen sie die PIN erneut eingeben.

Sie können PINs mithilfe eines Kartenverwaltungssystems oder eines Dienstprogramms des Anbieters zurücksetzen.

Wichtig:

Innerhalb einer Citrix Virtual Apps- oder Citrix Virtual Desktops-Sitzung wird die Verwendung einer Smartcard mit der Microsoft Remotedesktopverbindungsanwendung nicht unterstützt. Dies wird manchmal als „Double Hop“-Nutzung bezeichnet.

Vor der Bereitstellung von Smartcards

  • Besorgen Sie sich einen Gerätetreiber für das Smartcard-Lesegerät und installieren Sie ihn auf dem Benutzergerät. Viele Smartcard-Lesegeräte können den von Microsoft bereitgestellten CCID-Gerätetreiber verwenden.
  • Besorgen Sie sich einen Gerätetreiber und die Software für den kryptografischen Dienstanbieter (CSP) von Ihrem Smartcard-Anbieter und installieren Sie diese sowohl auf Benutzergeräten als auch auf virtuellen Desktops. Der Treiber und die CSP-Software müssen mit Citrix Virtual Apps and Desktops kompatibel sein; überprüfen Sie die Anbieterdokumentation auf Kompatibilität. Für virtuelle Desktops, die Smartcards verwenden, die das Minidriver-Modell unterstützen und nutzen, werden Smartcard-Minidriver automatisch heruntergeladen, Sie können sie aber auch von http://catalog.update.microsoft.com oder von Ihrem Anbieter beziehen. Falls PKCS#11-Middleware erforderlich ist, beziehen Sie diese ebenfalls vom Kartenanbieter.
  • Wichtig: Citrix empfiehlt, die Treiber und die CSP-Software auf einem physischen Computer zu installieren und zu testen, bevor Sie die Citrix-Software installieren.
  • Fügen Sie die URL von Citrix Receiver™ for Web zur Liste der vertrauenswürdigen Sites für Benutzer hinzu, die Smartcards in Internet Explorer mit Windows 10 verwenden. In Windows 10 wird Internet Explorer standardmäßig nicht im geschützten Modus für vertrauenswürdige Sites ausgeführt.
  • Stellen Sie sicher, dass Ihre Public Key Infrastructure (PKI) entsprechend konfiguriert ist. Dazu gehört, dass die Zertifikat-zu-Konto-Zuordnung für die Active Directory-Umgebung korrekt konfiguriert ist und die Benutzerzertifikatsvalidierung erfolgreich durchgeführt werden kann.
  • Stellen Sie sicher, dass Ihre Bereitstellung die Systemanforderungen der anderen mit Smartcards verwendeten Citrix-Komponenten, einschließlich Citrix Workspace-App und StoreFront, erfüllt.
  • Stellen Sie den Zugriff auf die folgenden Server in Ihrer Site sicher:
    • Der Active Directory-Domänencontroller für das Benutzerkonto, das mit einem Anmeldezertifikat auf der Smartcard verknüpft ist
    • Delivery Controller™
    • Citrix StoreFront
    • Citrix Gateway/Citrix Access Gateway 10.x
    • VDA
    • (Optional für Remote PC Access): Microsoft Exchange Server

Smartcard-Nutzung aktivieren

Schritt 1. Geben Sie Smartcards gemäß Ihrer Kartenvergaberichtlinie an Benutzer aus.

Schritt 2. (Optional) Richten Sie die Smartcards ein, um Benutzer für den Remote-PC-Zugriff zu aktivieren.

Schritt 3. Installieren und konfigurieren Sie den Delivery Controller und StoreFront (falls noch nicht installiert) für das Smartcard-Remoting.

Schritt 4. Aktivieren Sie StoreFront für die Smartcard-Nutzung. Weitere Informationen finden Sie unter Smartcard-Authentifizierung konfigurieren in der StoreFront-Dokumentation.

Schritt 5. Aktivieren Sie Citrix Gateway/Access Gateway für die Smartcard-Nutzung. Weitere Informationen finden Sie unter Authentifizierung und Autorisierung konfigurieren und Smartcard-Zugriff mit der Weboberfläche konfigurieren in der NetScaler-Dokumentation.

Schritt 6. Aktivieren Sie VDAs für die Smartcard-Nutzung.

  • Stellen Sie sicher, dass der VDA über die erforderlichen Anwendungen und Updates verfügt.
  • Installieren Sie die Middleware.
  • Richten Sie das Smartcard-Remoting ein, um die Kommunikation von Smartcard-Daten zwischen der Citrix Workspace-App auf einem Benutzergerät und einer virtuellen Desktopsitzung zu ermöglichen.

Schritt 7. Aktivieren Sie Benutzergeräte (einschließlich in die Domäne eingebundener oder nicht in die Domäne eingebundener Maschinen) für die Smartcard-Nutzung. Weitere Informationen finden Sie unter Smartcard-Authentifizierung konfigurieren in der StoreFront-Dokumentation.

  • Importieren Sie das Stammzertifikat der Zertifizierungsstelle und das Zertifikat der ausstellenden Zertifizierungsstelle in den Keystore des Geräts.
  • Installieren Sie die Smartcard-Middleware Ihres Anbieters.
  • Installieren und konfigurieren Sie die Citrix Workspace-App für Windows. Stellen Sie dabei sicher, dass Sie icaclient.adm über die Gruppenrichtlinien-Verwaltungskonsole importieren und die Smartcard-Authentifizierung aktivieren.

Schritt 8. Testen Sie die Bereitstellung. Stellen Sie sicher, dass die Bereitstellung korrekt konfiguriert ist, indem Sie einen virtuellen Desktop mit der Smartcard eines Testbenutzers starten. Testen Sie alle möglichen Zugriffsmechanismen (z. B. den Zugriff auf den Desktop über Internet Explorer und die Citrix Workspace-App).

Anzahl der Smartcard-Leser-Einfügungen verfolgen

Mit Smartcard-Remoting können Sie die Häufigkeit verfolgen, mit der eine Smartcard in ein Lesegerät eingelegt oder daraus entfernt wurde, indem Sie die Funktion SCardGetStatusChange verwenden. Die Funktion aktualisiert ein Array von SCARD_READERSTATE-Datenstrukturen – eine für jedes von Ihnen überwachte Lesegerät. Das High Word (16 Bit) des Feldes dwEventState jeder SCARD_READERSTATE enthält die Lesegerät-Anzahl. Weitere Informationen finden Sie in den Microsoft-Artikeln SCardGetStatusChangeA function und SCARD_READERSTATEA structure.

Die Einstellung Reader Insert Count Reporting ist standardmäßig deaktiviert. Um die Nachverfolgung zu aktivieren, fügen Sie den folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard

Name: EnableReaderInsertCountReporting

Typ: DWORD

Wert: Jeder Wert ungleich Null

Wenn die Sitzung getrennt wird, wird der Zähler auf Null zurückgesetzt.

Reader Insert Count Reporting ist mit Smartcard-Middleware von Drittanbietern kompatibel.

Smartcards
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.