Smartcard-Authentifizierung für Web Studio einrichten

Dieser Artikel beschreibt die Schritte, die zum Einrichten und Aktivieren der Smartcard-Authentifizierung für Web Studio erforderlich sind:

Schritt 1: Smartcard-Treiber installieren

Schritt 2: Zertifikate für Smartcard-Benutzer ausstellen

Schritt 3: Zertifikate für Smartcard-Benutzer registrieren

Schritt 4: Web Studio IIS-Server konfigurieren

Schritt 5 (Optional): Authentifizierungsdelegierungen für Web Studio konfigurieren

Schritt 6: Smartcard-Authentifizierung für Web Studio aktivieren

Hinweis:

Die Smartcard-Authentifizierung wird nur für Benutzer aus derselben Active Directory-Domäne wie die Web Studio-Server unterstützt.

Schritt 1: Smartcard-Treiber installieren

Installieren Sie den Smartcard-Treiber auf den folgenden Computern:

• Domänencontroller, auf denen der Zertifikatdienst installiert ist.
• Web Studio-Server
• Computer, die Endbenutzer für den Zugriff auf Web Studio verwenden
• Maschinen, die Sie zum Registrieren von Zertifikaten für Smartcard-Benutzer verwenden

Smartcard-Treiber variieren je nach Anbieter. Wenn Sie beispielsweise von ITS bereitgestellte Smartcard-Hardware verwenden, laden Sie die SaftNet-Treiber von https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers herunter.

Schritt 2: Zertifikate für Smartcard-Benutzer ausstellen

Hinweis:

Die folgenden Schritte dienen als Beispiel, um Sie durch den Prozess zu führen.

Führen Sie auf Ihrem Domänencontroller die folgenden Schritte aus, um die Aufgabe abzuschließen:

1. Greifen Sie auf Ihren Domänencontroller zu und öffnen Sie die Zertifizierungsstelle.

   

2. Duplizieren Sie die Vorlage Registrierungsagent. Die detaillierten Schritte sind wie folgt:

   1. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie Verwalten.

      

   2. Klicken Sie mit der rechten Maustaste auf Registrierungsagent und wählen Sie Vorlage duplizieren.

   3. Stellen Sie auf der Registerkarte Antragstellername sicher, dass E-Mail in Antragstellernamen aufnehmen nicht ausgewählt ist.

      

   4. Wählen Sie auf der Registerkarte Kryptografie die Option Microsoft Base Smart Card Crypto Provider aus und klicken Sie dann auf OK. Eine Vorlage mit dem Namen Kopie von Registrierungsagent wird in der Liste Zertifikatvorlagen angezeigt.

      

3. Stellen Sie Zertifikate für Smartcards aus. Die detaillierten Schritte sind wie folgt:
   1. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie dann Neu > Auszustellende Vorlage.
   2. Wählen Sie Kopie des Registrierungs-Agents und Smartcard-Benutzer.
   3. Klicken Sie auf OK.

Schritt 3: Zertifikate für Smartcard-Benutzer registrieren

Hinweis:

Die folgenden Schritte dienen als Beispiel, um Sie durch den Prozess zu führen.

Führen Sie auf einem in die Domäne eingebundenen physischen Windows-Computer die folgenden Schritte aus, um Zertifikate für jede Smartcard zu registrieren:

1. Bereiten Sie einen in die Domäne eingebundenen physischen Windows-Computer für die Registrierung vor:
   1. Stellen Sie sicher, dass der Smartcard-Treiber installiert ist.
   2. Stecken Sie eine Smartcard in den Computer ein.
   3. Melden Sie sich mit dem Benutzerkonto am Computer an, das Sie der Smartcard zuweisen möchten.
2. Fügen Sie das Snap-In Zertifikate zu dem in Schritt 1 vorbereiteten Computer hinzu. Die detaillierten Schritte sind wie folgt:
   1. Öffnen Sie mmc.
   2. Klicken Sie auf Datei und dann auf Snap-Ins hinzufügen/entfernen.
   3. Wählen Sie im angezeigten Fenster Snap-Ins hinzufügen oder entfernen die Option Zertifikate aus und klicken Sie dann auf Hinzufügen >.
   4. Wählen Sie im angezeigten Dialogfeld Mein Benutzerkonto aus und klicken Sie auf Fertig stellen.

   5. Klicken Sie auf OK.

      

3. Fordern Sie neue Zertifikate für das Zertifikate-Snap-In an. Die detaillierten Schritte sind wie folgt:

   1. Gehen Sie zu Zertifikate – Aktueller Benutzer > Persönlich, klicken Sie mit der rechten Maustaste auf Zertifikate, und wählen Sie dann Alle Aufgaben > Neues Zertifikat anfordern.

      

   2. Wählen Sie im angezeigten Dialogfeld Zertifikate anfordern die Optionen Kopie des Registrierungs-Agents und Smartcard-Benutzer aus.

      

   3. Klicken Sie im obigen Dialogfeld auf Details für Smartcard-Benutzer und dann auf Eigenschaften. Das Dialogfeld Zertifikateigenschaften wird angezeigt.

      

   4. Klicken Sie auf der Registerkarte Privater Schlüssel, erweitern Sie Kryptografiedienstanbieter, deaktivieren Sie Microsoft Strong Cryptographic Provider (Verschlüsselung), wählen Sie nur Microsoft Base Smart Card Crypto Provider (Verschlüsselung) aus und klicken Sie dann auf OK.
   5. Klicken Sie auf Registrieren.

   6. Geben Sie im angezeigten Dialogfeld Windows-Sicherheit den PIN-Code der Smartcard ein und klicken Sie auf OK. Wenn die Registrierung abgeschlossen ist, klicken Sie auf Fertig stellen.

      

Nach erfolgreicher Registrierung werden zwei Zertifikate unter Zertifikate – Aktueller Benutzer -> Persönlich -> Zertifikate angezeigt, wie im folgenden Screenshot gezeigt.

Schritt 4: Web Studio-IIS-Server konfigurieren

Führen Sie auf jedem Web Studio-Server die folgenden Schritte aus, um IIS für die Smartcard-Authentifizierung zu konfigurieren:

1. Aktivieren Sie Clientzertifikat-Zuordnungsauthentifizierung für die Web Studio-Maschine**.

   Das <clientCertificateMappingAuthentication>-Element ist in der Standardinstallation von IIS 7 und höher nicht verfügbar. Weitere Informationen zur Installation und Aktivierung finden Sie in diesem Microsoft-Artikel.

2. Starten Sie den IIS-Manager auf der Web Studio-Maschine.

3. Aktivieren Sie die Active Directory-Clientzertifikatauthentifizierung für die Maschine. Die detaillierten Schritte sind wie folgt:

   1. Wählen Sie die Maschine im linken Bereich aus und doppelklicken Sie auf Authentifizierung.

      

   2. Aktivieren Sie die Active Directory-Clientzertifikatauthentifizierung.

      

4. Konfigurieren Sie das Web Studio-Backend-Modul für ein sichereres HTTPS-Protokoll mit Clientzertifikatauthentifizierung:

   1. Gehen Sie zu Sites > Default Web Site > Studio > Backend > Smartcard, doppelklicken Sie dann auf SSL-Einstellungen im Abschnitt IIS.

      

   2. Wählen Sie Erforderlich für Clientzertifikate.

      

   3. Kehren Sie zu Sites > Default Web Site > Studio > Backend > Smartcard zurück und doppelklicken Sie dann im Abschnitt IIS auf Configuration Editor.

      

   4. Stellen Sie sicher, dass /clientCertificateMappingAuthentication aktiviert ist.

      

5. (Nur Windows 2022) Deaktivieren Sie TLS 3.1 über TCP. Die detaillierten Schritte sind wie folgt:

   1. Gehen Sie zu Sites > Default Web Site.
   2. Klicken Sie auf Edit Site > Binding.

   3. Wählen Sie im angezeigten Dialogfeld Site Bindings den Eintrag https aus und klicken Sie dann auf Edit.

      

   4. Wählen Sie im angezeigten Dialogfeld Edit Site Binding die Option Disable TLS 1.3 over TCP aus und klicken Sie dann auf OK.

      

Gut zu wissen:

Web Studio Backend ist ein Modul in Web Studio, das die folgenden Funktionen bereitstellt:

• Smartcard-Authentifizierung.
• Abruf von FMA-Bearer-Tokens vom Orchestrierungsdienst unter Verwendung der integrierten Windows-Authentifizierung.

Schritt 5 (Optional) Authentifizierungsdelegierungen für Web Studio konfigurieren

Wenn Web Studio und Delivery Controller auf verschiedenen Servern installiert sind, müssen Sie Delegierungen für jeden Web Studio-Server an die Delivery Controller für HOST- und HTTPS-Dienste konfigurieren.

Führen Sie die folgenden Schritte aus, um die Aufgabe für jeden Web Studio-Server abzuschließen:

1. Das HTTPS-Zertifikat der Delivery Controller™-Orchestrierung importieren
2. Delegierung für den Web Studio-Server konfigurieren
3. （Optional) Delegierung für das Dienstkonto des Web Studio IIS-Servers konfigurieren

Das HTTPS-Zertifikat der Delivery Controller-Orchestrierung importieren

Importieren Sie auf dem Web Studio-Server das Zertifikat Delivery Controller Orchestration HTTPS in die Vertrauenswürdigen Stammzertifizierungsstellen. Die detaillierten Schritte sind wie folgt:

1. Starten Sie Einstellungen > Computerzertifikate verwalten.

2. Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate und wählen Sie Alle Aufgaben > Importieren.

   

3. Befolgen Sie die Anweisungen auf dem Bildschirm, um das Zertifikat Delivery Controller Orchestration HTTPS zu importieren.

Delegierung für den Web Studio-Server konfigurieren

Konfigurieren Sie auf dem Domänencontroller die Delegierung für den Web Studio-Server an den Delivery Controller für HOST- und HTTP-Dienste. Führen Sie die folgenden Schritte aus, um die Aufgabe abzuschließen:

1. Starten Sie auf dem Domänencontroller das Active Directory-Verwaltungscenter.
2. Suchen Sie das Computerkonto des Web Studio-Servers, für das Sie die Delegierung konfigurieren möchten (zum Beispiel Dan002).

3. Klicken Sie mit der rechten Maustaste auf das Konto, wählen Sie Eigenschaften aus und führen Sie dann die folgenden Schritte aus:

   

   1. Wechseln Sie zur Registerkarte Delegierung.

      

   2. Wählen Sie Diesen Benutzer nur für die Delegierung an angegebene Dienste vertrauen > Beliebiges Authentifizierungsprotokoll verwenden.
   3. Klicken Sie auf Hinzufügen, um anzugeben, an welche Dienste dieses Computerkonto delegiert werden kann.
   4. Klicken Sie im angezeigten Dialogfeld Dienst hinzufügen auf Benutzer oder Computer hinzufügen, um den Computernamen des Delivery Controllers zu suchen (zum Beispiel Dan001).
   5. Wählen Sie die Dienste HOST und HTTP aus und klicken Sie dann auf OK.

Die Konfigurationsergebnisse sind im folgenden Screenshot dargestellt. (/de-de/citrix-virtual-apps-desktops/2407/media/kerbero-delegation-result-1.png)

(Optional) Delegierung für das Dienstkonto des Web Studio IIS-Servers konfigurieren

Wenn Sie ein Dienstkonto für den Web Studio IIS-Server konfiguriert haben, müssen Sie auch die Delegierung für dieses Dienstkonto an den Delivery Controller für die HOST- und HTTP-Dienste konfigurieren. Mit dieser eingerichteten Delegierung kann der Web Studio-Server sein Dienstkonto verwenden, um den aktuellen Smartcard-Benutzer zu imitieren, um auf den Delivery Controller für die HOST- und HTTP-Dienste zuzugreifen. Führen Sie die folgenden Schritte aus, um die Konfiguration abzuschließen:

1. Starten Sie auf dem Domänencontroller das Active Directory-Verwaltungscenter.
2. Suchen Sie das Benutzerkonto des Web Studio IIS-Servers (Dienstkonto), für das Sie die Delegierung konfigurieren möchten (zum Beispiel svr-stud-002).
3. Klicken Sie mit der rechten Maustaste auf das Konto und wählen Sie Eigenschaften aus.
4. Befolgen Sie das in Schritt 3 von Delegierung für den Web Studio-Server konfigurieren beschriebene Verfahren, um das Dienstkonto des Web Studio IIS-Servers an den Delivery Controller für die HOST- und HTTP-Dienste zu delegieren.

Die Konfigurationsergebnisse werden im folgenden Screenshot angezeigt.

Schritt 6: Smartcard-Authentifizierung für Web Studio aktivieren

Führen Sie die folgenden Schritte aus, um die Smartcard-Authentifizierung für Web Studio zu aktivieren:

1. Melden Sie sich bei Web Studio an und wählen Sie im linken Bereich Einstellungen aus.
2. Wählen Sie Smartcard-Authentifizierung oder Domänenanmeldeinformationen oder Smartcard-Authentifizierung nach Bedarf aus.

3. Klicken Sie auf Anwenden.