Produktdokumentation
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
PDF anzeigen

Key Storage Provider-(KSP)-Remoting (Vorschau)

February 26, 2025
Beitrag von: 
C

Einführung

Bisher wurde das Remoting kryptografischer Vorgänge von einem Windows VDA zum FAS-Server mit einem Paar von Cryptographic Service Providern (CSPs) erreicht, die auf dem VDA ausgeführt wurden:

  • CitrixLogonCsp.dll - für Single Sign-On (SSO) am VDA
  • CitrixVirtualSmartcardCsp.dll - für sitzungsinterne Zertifikate

Mit diesem Feature kann die Remotesteuerung kryptografischer Vorgänge auch über ein KSP-Paar erreicht werden:

  • CitrixLogonKsp.dll - für SSO zum VDA
  • CitrixVirtualSmartcardKsp.dll - für sitzungsinterne Zertifikate

KSP ist die neueste Möglichkeit, kryptografische Vorgänge für Windows-Anwendungen verfügbar zu machen und bietet mehr Funktionen. Zum Beispiel:

  • Zertifikate mit ECC-Schlüsseln werden unterstützt
  • Probabilistic Signature Scheme-(PSS)-Padding wird unterstützt

    Hinweis:

    Es gibt keine Möglichkeit, die ECC-Schlüssel auf FAS zu aktivieren.

KSP-Remoting aktivieren

KSP-Remoting wird durch Erstellen des folgenden Registrierungsschlüssels aktiviert:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\RemoteKspFeature

Typ: string

Wert: on

  • Sowohl auf dem FAS-Server als auch auf der VDA-Software muss die CVAD 2407-Software ausgeführt werden.

  • KSP-Remoting wird durch die Erstellung eines Registrierungsschlüssels sowohl auf dem FAS-Server als auch auf dem VDA aktiviert.

  • Starten Sie den FAS-Server und den VDA neu, damit die Änderung wirksam wird.

Wenn eine der oben genannten Bedingungen nicht erfüllt ist, greift der VDA auf CSP-Remoting zurück.

Überprüfen, ob KSP-Remoting aktiviert ist

Auf dem FAS-Server können Sie mit Powershell überprüfen, ob KSP-Remoting aktiviert ist:

KSP-Remoting aktiviert

Um zu überprüfen, ob KSP-Remoting für VDA-SSO verwendet wurde, suchen Sie im Windows-Anwendungsprotokoll des FAS-Servers nach dem folgenden Ereignis:

VDA SSO

Der Vorgang SignHash2 weist auf die Verwendung von KSP-Remoting hin, während SignHash auf CSP-Remoting hinweist.

Wenn ein sitzungsinternes Zertifikat für die Kryptografie verwendet wird, z. B. für die TLS-Clientauthentifizierung, suchen Sie auf dem FAS-Server nach dem folgenden Ereignis:

Kryptographie-Ereignis

Bekannte Einschränkungen

KSP-Remoting wird nur unterstützt, wenn FAS selbst für die Verwendung eines KSP konfiguriert ist. Dies ist die Standardkonfiguration. Wenn FAS für die Verwendung eines CSP konfiguriert ist, funktioniert die KSP-Remoteverwaltung nicht.

Die relevante Einstellung ist:

<add key="Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderLegacyCsp" value="false" /> in der Datei %programfiles%\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe.config

Hier zeigt False an, dass FAS mit einem KSP konfiguriert ist und daher KSP-Remoting unterstützt wird.

Key Storage Provider-(KSP)-Remoting (Vorschau)
February 26, 2025
Beitrag von: 
C
February 26, 2025
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.