Produktdokumentation
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
PDF anzeigen

Schlüsselspeicheranbieter (KSP) Remoting (Vorschau)

April 28, 2026
Beitrag von: 
C C

Einleitung

  • Bisher wurde das Remoting kryptografischer Operationen von einem Windows VDA zum FAS-Server mithilfe eines Paares von Cryptographic Service Providers (CSPs) erreicht, die auf dem VDA ausgeführt wurden:

  • CitrixLogonCsp.dll – für Single Sign-On (SSO) zum VDA

  • CitrixVirtualSmartcardCsp.dll – für In-Session-Zertifikate

  • Mit dieser Funktion kann das Remoting kryptografischer Operationen auch mithilfe eines Paares von KSPs erreicht werden:

  • CitrixLogonKsp.dll – für SSO zum VDA
  • CitrixVirtualSmartcardKsp.dll – für In-Session-Zertifikate

KSP ist die neueste Methode, kryptografische Operationen Windows-Anwendungen zur Verfügung zu stellen, die mehr Funktionen bietet. Zum Beispiel:

  • Zertifikate mit ECC-Schlüsseln werden unterstützt
  • Probabilistic Signature Scheme (PSS)-Padding wird unterstützt

Hinweis:

  • Es gibt keine Möglichkeit, die ECC-Schlüssel auf FAS zu aktivieren.

KSP-Remoting aktivieren

KSP-Remoting wird durch das Erstellen des folgenden Registrierungsschlüssels aktiviert:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\RemoteKspFeature

Typ: string

Wert: on

  • Sowohl der FAS-Server als auch die VDA-Software müssen die CVAD 2407-Software ausführen.

  • KSP-Remoting wird durch das Erstellen eines Registrierungsschlüssels sowohl auf dem FAS-Server als auch auf dem VDA aktiviert.

  • Starten Sie den FAS-Server und den VDA neu, damit die Änderung wirksam wird.

Wenn eine der oben genannten Bedingungen nicht erfüllt ist, fällt der VDA auf die Verwendung von CSP-Remoting zurück.

Überprüfen, ob KSP-Remoting aktiviert ist

Auf dem FAS-Server können Sie mithilfe von PowerShell überprüfen, ob KSP-Remoting aktiviert ist:

KSP-Remoting aktiviert

Um zu überprüfen, ob KSP-Remoting für VDA-SSO verwendet wurde, suchen Sie im Windows-Anwendungsprotokoll des FAS-Servers nach dem folgenden Ereignis:

VDA-SSO

Die Operation SignHash2 weist auf die Verwendung von KSP-Remoting hin, während SignHash auf CSP-Remoting hinweist.

Ähnlich, wenn ein In-Session-Zertifikat für Kryptografie, wie z. B. TLS-Clientauthentifizierung, verwendet wird, suchen Sie auf dem FAS-Server nach dem folgenden Ereignis:

Kryptografie-Ereignis

Bekannte Einschränkungen

KSP-Remoting wird nur unterstützt, wenn FAS selbst für die Verwendung eines KSP konfiguriert ist. Dies ist die Standardkonfiguration. Wenn FAS für die Verwendung eines CSP konfiguriert ist, funktioniert KSP-Remoting nicht.

Die relevante Einstellung ist:

[[CODE_BLOCK_0]]

Hier bedeutet False, dass FAS mit einem KSP konfiguriert ist und daher KSP-Remoting unterstützt wird.

Schlüsselspeicheranbieter (KSP) Remoting (Vorschau)
April 28, 2026
Beitrag von: 
C C
April 28, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.