Smartcards
Smartcards und gleichwertige Technologien werden gemäß den in diesem Artikel beschriebenen Richtlinien unterstützt. Um Smartcards mit XenApp oder XenDesktop® zu verwenden:
- Machen Sie sich mit der Sicherheitsrichtlinie Ihres Unternehmens bezüglich der Verwendung von Smartcards vertraut. Diese Richtlinien können beispielsweise festlegen, wie Smartcards ausgegeben werden und wie Benutzer sie schützen sollen. Einige Aspekte dieser Richtlinien müssen möglicherweise in einer XenApp®- oder XenDesktop-Umgebung neu bewertet werden.
- Bestimmen Sie, welche Benutzertypen, Betriebssysteme und veröffentlichten Anwendungen mit Smartcards verwendet werden sollen.
- Machen Sie sich mit der Smartcard-Technologie und der von Ihnen ausgewählten Hardware und Software des Smartcard-Anbieters vertraut.
- Wissen Sie, wie digitale Zertifikate in einer verteilten Umgebung bereitgestellt werden.
Arten von Smartcards
Smartcards für Unternehmen und Verbraucher haben die gleichen Abmessungen, elektrischen Anschlüsse und passen in die gleichen Smartcard-Lesegeräte.
Smartcards für den Unternehmenseinsatz enthalten digitale Zertifikate. Diese Smartcards unterstützen die Windows-Anmeldung und können auch mit Anwendungen zur digitalen Signatur und Verschlüsselung von Dokumenten und E-Mails verwendet werden. XenApp und XenDesktop unterstützen diese Verwendungszwecke.
Smartcards für den Verbrauchergebrauch enthalten keine digitalen Zertifikate; sie enthalten ein gemeinsames Geheimnis. Diese Smartcards können Zahlungen unterstützen (z. B. eine Chip-und-Unterschrift- oder Chip-und-PIN-Kreditkarte). Sie unterstützen weder die Windows-Anmeldung noch typische Windows-Anwendungen. Für die Verwendung dieser Smartcards sind spezielle Windows-Anwendungen und eine geeignete Softwareinfrastruktur (einschließlich z. B. einer Verbindung zu einem Zahlungskartennetzwerk) erforderlich. Wenden Sie sich an Ihren Citrix®-Vertreter, um Informationen zur Unterstützung dieser spezialisierten Anwendungen auf XenApp oder XenDesktop zu erhalten.
Für Unternehmens-Smartcards gibt es kompatible Äquivalente, die auf ähnliche Weise verwendet werden können.
- Ein Smartcard-äquivalenter USB-Token wird direkt an einen USB-Port angeschlossen. Diese USB-Tokens haben normalerweise die Größe eines USB-Sticks, können aber auch so klein wie eine SIM-Karte sein, die in einem Mobiltelefon verwendet wird. Sie erscheinen als Kombination aus einer Smartcard und einem USB-Smartcard-Lesegerät.
- Eine virtuelle Smartcard, die ein Windows Trusted Platform Module (TPM) verwendet, erscheint als Smartcard. Diese virtuellen Smartcards werden für Windows 8 und Windows 10 mit Citrix Receiver mindestens Version 4.3 unterstützt.
- Versionen von XenApp und XenDesktop vor 7.6 FP3 unterstützen keine virtuellen Smartcards.
- Weitere Informationen zu virtuellen Smartcards finden Sie unter Übersicht über virtuelle Smartcards.
Hinweis: Der Begriff „virtuelle Smartcard“ wird auch verwendet, um ein digitales Zertifikat zu beschreiben, das einfach auf dem Benutzercomputer gespeichert ist. Diese digitalen Zertifikate sind nicht streng gleichwertig mit Smartcards.
Die Smartcard-Unterstützung von XenApp und XenDesktop basiert auf den Spezifikationen des Microsoft Personal Computer/Smart Card (PC/SC)-Standards. Eine Mindestanforderung ist, dass Smartcards und Smartcard-Geräte vom zugrunde liegenden Windows-Betriebssystem unterstützt und von den Microsoft Windows Hardware Quality Labs (WHQL) für die Verwendung auf Computern mit qualifizierten Windows-Betriebssystemen zugelassen sein müssen. Weitere Informationen zur Hardware-PC/SC-Konformität finden Sie in der Microsoft-Dokumentation. Andere Arten von Benutzergeräten können dem PS/SC-Standard entsprechen. Weitere Informationen finden Sie im Citrix Ready-Programm unter https://www.citrix.com/ready/.
Normalerweise wird für die Smartcard oder ein Äquivalent jedes Anbieters ein separater Gerätetreiber benötigt. Wenn Smartcards jedoch einem Standard wie dem NIST Personal Identity Verification (PIV)-Standard entsprechen, kann es möglich sein, einen einzigen Gerätetreiber für eine Reihe von Smartcards zu verwenden. Der Gerätetreiber muss sowohl auf dem Benutzergerät als auch auf dem Virtual Delivery Agent (VDA) installiert sein. Der Gerätetreiber wird oft als Teil eines Smartcard-Middleware-Pakets geliefert, das von einem Citrix-Partner erhältlich ist; das Smartcard-Middleware-Paket bietet erweiterte Funktionen. Der Gerätetreiber kann auch als Cryptographic Service Provider (CSP), Key Storage Provider (KSP) oder Minidriver bezeichnet werden.
Die folgenden Smartcard- und Middleware-Kombinationen für Windows-Systeme wurden von Citrix als repräsentative Beispiele ihres Typs getestet. Es können jedoch auch andere Smartcards und Middleware verwendet werden. Weitere Informationen zu Citrix-kompatiblen Smartcards und Middleware finden Sie unter https://www.citrix.com/ready.
| Middleware | Passende Karten |
|---|---|
| ActivClient 7.0 (DoD-Modus aktiviert) | DoD CAC-Karte |
| ActivClient 7.0 im PIV-Modus | NIST PIV-Karte |
| Microsoft Minidriver | NIST PIV-Karte |
| GemAlto Minidriver für .NET-Karte | GemAlto .NET v2+ |
| Microsoft nativer Treiber | Virtuelle Smartcards (TPM) |
Informationen zur Smartcard-Nutzung mit anderen Gerätetypen finden Sie in der Dokumentation zu Citrix Receiver™ für das jeweilige Gerät.
Informationen zur Smartcard-Nutzung mit anderen Gerätetypen finden Sie in der Dokumentation zu Citrix Receiver für das jeweilige Gerät.
Remote-PC-Zugriff
Smartcards werden nur für den Remotezugriff auf physische Büro-PCs unterstützt, auf denen Windows 10, Windows 8 oder Windows 7 ausgeführt wird; Smartcards werden für Büro-PCs mit Windows XP nicht unterstützt.
Die folgenden Smartcards wurden mit Remote-PC-Zugriff getestet:
| Middleware | Passende Karten |
|---|---|
| Gemalto .NET-Minidriver | Gemalto .NET v2+ |
| ActivIdentity ActivClient 6.2 | NIST PIV |
| ActivIdentity ActivClient 6.2 | CAC |
| Microsoft-Minidriver | NIST PIV |
| Nativer Microsoft-Treiber | Virtuelle Smartcards |
Typen von Smartcardlesern
Ein Smartcard-Lesegerät kann in das Benutzergerät integriert oder separat an das Benutzergerät angeschlossen werden (normalerweise über USB oder Bluetooth). Kontaktkartenleser, die der Spezifikation USB Chip/Smart Card Interface Devices (CCID) entsprechen, werden unterstützt. Sie enthalten einen Steckplatz oder eine Wischvorrichtung, in die der Benutzer die Smartcard einführt. Der Standard der Deutschen Kreditwirtschaft (DK) definiert vier Klassen von Kontaktkartenlesern.
- Smartcardleser der Klasse 1 sind am gebräuchlichsten und enthalten normalerweise nur einen Steckplatz. Smartcardleser der Klasse 1 werden unterstützt, in der Regel mit einem standardmäßigen CCID-Gerätetreiber, der mit dem Betriebssystem geliefert wird.
- Smartcardleser der Klasse 2 enthalten auch eine sichere Tastatur, auf die das Benutzergerät nicht zugreifen kann. Smartcardleser der Klasse 2 können in eine Tastatur mit integrierter sicherer Tastatur eingebaut sein. Wenden Sie sich für Smartcardleser der Klasse 2 an Ihren Citrix-Vertreter; ein leserspezifischer Gerätetreiber kann erforderlich sein, um die sichere Tastaturfunktion zu aktivieren.
- Smartcardleser der Klasse 3 enthalten auch ein sicheres Display. Smartcardleser der Klasse 3 werden nicht unterstützt.
- Smartcardleser der Klasse 4 enthalten auch ein sicheres Transaktionsmodul. Smartcardleser der Klasse 4 werden nicht unterstützt.
Hinweis: Die Smartcardleserklasse ist unabhängig von der USB-Geräteklasse.
Smartcardleser müssen mit einem entsprechenden Gerätetreiber auf dem Benutzergerät installiert werden.
Informationen zu unterstützten Smartcardlesern finden Sie in der Dokumentation des von Ihnen verwendeten Citrix Receivers. In der Citrix Receiver-Dokumentation sind unterstützte Versionen normalerweise in einem Smartcard-Artikel oder im Artikel zu den Systemanforderungen aufgeführt.
Benutzererfahrung
Die Smartcard-Unterstützung ist in XenApp und XenDesktop integriert und verwendet einen spezifischen virtuellen ICA/HDX-Smartcardkanal, der standardmäßig aktiviert ist.
Wichtig: Verwenden Sie keine generische USB-Umleitung für Smartcardleser. Dies ist für Smartcardleser standardmäßig deaktiviert und wird bei Aktivierung nicht unterstützt.
Es können mehrere Smartcards und mehrere Lesegeräte auf demselben Benutzergerät verwendet werden. Wenn jedoch die Pass-Through-Authentifizierung verwendet wird, darf nur eine Smartcard eingelegt sein, wenn der Benutzer einen virtuellen Desktop oder eine Anwendung startet. Wenn eine Smartcard innerhalb einer Anwendung verwendet wird (z. B. für digitale Signatur- oder Verschlüsselungsfunktionen), kann es zusätzliche Aufforderungen zum Einlegen einer Smartcard oder zur Eingabe einer PIN geben. Dies kann vorkommen, wenn mehr als eine Smartcard gleichzeitig eingelegt wurde.
- Wenn Benutzer aufgefordert werden, eine Smartcard einzulegen, obwohl die Smartcard bereits im Lesegerät steckt, sollten sie Abbrechen wählen.
- Wenn Benutzer zur Eingabe der PIN aufgefordert werden, sollten sie die PIN erneut eingeben.
Wenn Sie gehostete Anwendungen verwenden, die unter Windows Server 2008 oder 2008 R2 ausgeführt werden und Smartcards erfordern, die den Microsoft Base Smart Card Cryptographic Service Provider benötigen, stellen Sie möglicherweise fest, dass, wenn ein Benutzer eine Smartcard-Transaktion ausführt, alle anderen Benutzer, die eine Smartcard im Anmeldevorgang verwenden, blockiert werden. Weitere Details und einen Hotfix für dieses Problem finden Sie unter https://support.microsoft.com/kb/949538.
Sie können PINs mit einem Kartenverwaltungssystem oder einem Dienstprogramm des Anbieters zurücksetzen.
Wichtig
Innerhalb einer XenApp- oder XenDesktop-Sitzung wird die Verwendung einer Smartcard mit der Microsoft Remotedesktopverbindungsanwendung nicht unterstützt. Dies wird manchmal als „Double Hop“-Nutzung bezeichnet.
Vor der Bereitstellung von Smartcards
- Besorgen Sie sich einen Gerätetreiber für das Smartcard-Lesegerät und installieren Sie ihn auf dem Benutzergerät. Viele Smartcard-Lesegeräte können den von Microsoft bereitgestellten CCID-Gerätetreiber verwenden.
- Besorgen Sie sich einen Gerätetreiber und die Software des kryptografischen Dienstanbieters (CSP) von Ihrem Smartcard-Anbieter und installieren Sie diese sowohl auf den Benutzergeräten als auch auf den virtuellen Desktops. Der Treiber und die CSP-Software müssen mit XenApp und XenDesktop kompatibel sein; überprüfen Sie die Anbieterdokumentation auf Kompatibilität. Für virtuelle Desktops, die Smartcards verwenden, die das Minidriver-Modell unterstützen und nutzen, sollten Smartcard-Minidriver automatisch heruntergeladen werden, Sie können sie aber auch unter https://catalog.update.microsoft.com oder von Ihrem Anbieter beziehen. Wenn PKCS#11-Middleware erforderlich ist, besorgen Sie diese zusätzlich vom Kartenanbieter.
- Wichtig: Citrix empfiehlt, die Treiber und die CSP-Software auf einem physischen Computer zu installieren und zu testen, bevor Sie die Citrix-Software installieren.
- Fügen Sie die URL von Citrix Receiver für Web zur Liste der vertrauenswürdigen Sites für Benutzer hinzu, die mit Smartcards im Internet Explorer unter Windows 10 arbeiten. Unter Windows 10 wird der Internet Explorer für vertrauenswürdige Sites standardmäßig nicht im geschützten Modus ausgeführt.
- Stellen Sie sicher, dass Ihre Public Key Infrastructure (PKI) entsprechend konfiguriert ist. Dies beinhaltet die korrekte Konfiguration der Zertifikat-zu-Konto-Zuordnung für die Active Directory-Umgebung und die erfolgreiche Durchführung der Benutzerzertifikatsvalidierung.
- Stellen Sie sicher, dass Ihre Bereitstellung die Systemanforderungen der anderen Citrix-Komponenten erfüllt, die mit Smartcards verwendet werden, einschließlich Citrix Receiver und StoreFront.
- Stellen Sie den Zugriff auf die folgenden Server in Ihrer Site sicher:
- Der Active Directory-Domänencontroller für das Benutzerkonto, das mit einem Anmeldezertifikat auf der Smartcard verknüpft ist
- Delivery Controller™
- Citrix StoreFront
- Citrix NetScaler Gateway/Citrix Access Gateway 10.x
- VDA
- (Optional für Remote-PC-Zugriff): Microsoft Exchange Server
Smartcard-Nutzung aktivieren
Schritt 1. Geben Sie Smartcards an Benutzer gemäß Ihrer Richtlinie zur Kartenausstellung aus.
Schritt 2. (Optional) Richten Sie die Smartcards ein, um Benutzer für den Remote-PC-Zugriff zu aktivieren.
Schritt 3. Installieren und konfigurieren Sie den Delivery Controller und StoreFront (falls noch nicht installiert) für das Smartcard-Remoting.
Schritt 4. Aktivieren Sie StoreFront für die Smartcard-Nutzung. Einzelheiten finden Sie unter Konfigurieren der Smartcard-Authentifizierung in der StoreFront-Dokumentation.
Schritt 5. Aktivieren Sie NetScaler Gateway/Access Gateway für die Smartcard-Nutzung. Einzelheiten finden Sie unter Konfigurieren von Authentifizierung und Autorisierung und Konfigurieren des Smartcard-Zugriffs mit der Weboberfläche in der NetScaler-Dokumentation.
Schritt 6. Aktivieren Sie VDAs für die Smartcard-Nutzung.
- Stellen Sie sicher, dass der VDA über die erforderlichen Anwendungen und Updates verfügt.
- Installieren Sie die Middleware.
- Smartcard-Remoting einrichten, wodurch die Kommunikation von Smartcard-Daten zwischen Citrix Receiver auf einem Benutzergerät und einer virtuellen Desktopsitzung ermöglicht wird.
Schritt 7. Benutzergeräte (einschließlich in die Domäne eingebundener oder nicht in die Domäne eingebundener Maschinen) für die Smartcard-Nutzung aktivieren. Weitere Informationen finden Sie unter Smartcard-Authentifizierung konfigurieren in der StoreFront-Dokumentation.
- Das Stammzertifikat der Zertifizierungsstelle und das Zertifikat der ausstellenden Zertifizierungsstelle in den Keystore des Geräts importieren.
- Die Smartcard-Middleware Ihres Anbieters installieren.
- Citrix Receiver für Windows installieren und konfigurieren, dabei sicherstellen, dass icaclient.adm über die Gruppenrichtlinien-Verwaltungskonsole importiert und die Smartcard-Authentifizierung aktiviert wird.
Schritt 8. Die Bereitstellung testen. Stellen Sie sicher, dass die Bereitstellung korrekt konfiguriert ist, indem Sie einen virtuellen Desktop mit der Smartcard eines Testbenutzers starten. Testen Sie alle möglichen Zugriffsmechanismen (z. B. den Zugriff auf den Desktop über Internet Explorer und Citrix Receiver).