Product Documentation

Smartcards

Feb 29, 2016

Die Smartcardauthentifizierung wird bei Beachtung der hier beschriebenen Richtlinien unterstützt.

Mehrere Smartcards und mehrere Leser können an dem gleichen Benutzergerät verwendet werden, wenn jedoch Passthrough-Authentifizierung verwendet wird, kann nur eine Smartcard eingesteckt werden, wenn der Benutzer einen virtuellen Desktop oder eine virtuelle Anwendung startet. Wenn eine Smartcard innerhalb einer Anwendung verwendet wird (z. B. zur digitalen Signierung oder für Verschlüsselungsfunktionen), werden Sie möglicherweise mehrmals zum Einlegen einer Smartcard oder zur Eingabe einer PIN-Nummer aufgefordert. Dieser Fall kann eintreten, wenn eine oder mehrere Smartcards gleichzeitig eingelegt wurden. Wenn Benutzer zum Einlegen einer Smartcard aufgefordert werden und diese sich bereits im Leser befindet, sollten sie auf Abbrechen klicken. Wenn sie zur Eingabe der PIN-Nummer aufgefordert werden, sollten sie diese erneut eingeben.

Wenn Sie gehostete Anwendungen unter Windows Server 2008 oder 2008 R2 und mit Smartcards verwenden, die den Microsoft-Kryptografiedienstanbieter für Basissmartcards benötigen, werden im Fall der Ausführung einer Smartcard-Transaktion alle anderen Benutzer, die eine Smartcard bei der Anmeldung verwendet haben, blockiert. Weitere Details und einen Hotfix zur Behebung dieses Problems finden Sie unter http://support.microsoft.com/kb/949538.

Ihre Organisation hat möglicherweise bestimmte Sicherheitsrichtlinien in Bezug auf die Verwendung von Smartcards. Mit diesen Richtlinien wird z. B. festgelegt, wie Smartcards ausgegeben werden und wie diese von Benutzern gesichert werden sollten. Einige Aspekte dieser Richtlinien müssen ggf. in einer XenApp- bzw. XenDesktop-Umgebung neu bewertet werden.

Sie können PINs mit einem Kartenverwaltungsprogramm oder einem Herstellerdienstprogramm zurücksetzen.

Die Unterstützung von Smartcards umfasst außerdem Komponenten, die über Citrix Partner bezogen werden können. Diese werden von den jeweiligen Partnern aktualisiert und in den vorliegenden Dokumenten nicht erläutert. Weitere Informationen finden Sie unter http://www.citrix.com/ready/.

Anforderungen

Unterstützung für Smartcardleser:
  • Smartcardleser vom Typ ZKA (Zentraler Kreditausschuss) Klasse 1, die USB Chip-/CCID-konform (Smart Card Interface Devices) sind, werden unterstützt. Diese enthalten einen Schlitz, in den die Smartcard eingeführt wird. Andere Klassen, einschließlich Klasse 2 (Leser mit Tastatur für die Eingabe von PINs) und kontaktlose Leser werden nicht unterstützt.
  • Virtuelle Smartcards, die auf Microsoft Windows Trusted Platform Module basieren, werden auf Benutzergeräten mit Receiver für Windows 4.3 und Windows 10 oder 8 unterstützt. XenApp- und XenDesktop-Versionen vor Version 7.6 FP3 unterstützen keine virtuellen Smartcards. Weitere Informationen über virtuelle Smartcards finden Sie unter Virtual Smart Card Overview im Microsoft Windows TechCenter.
  • Installieren Sie für den Smartcardleser einen Gerätetreiber auf dem Benutzergerät. Viele Smartcardleser können mit dem von Microsoft bereitgestellten CCID-Gerätetreiber benutzt werden.
  • Beziehen Sie einen Gerätetreiber und Kryptografiedienstanbietersoftware (CSP) vom Smartcard-Hersteller und installieren Sie beides auf Benutzergeräten und auf virtuellen Desktops. Der Treiber und die CSP-Software müssen mit XenApp bzw. XenDesktop kompatibel sein (Informationen zur Kompatibilität enthält die Dokumentation).

Important

Installieren von Treiber und CSP-Software vor der Installation von Citrix Software

  • Citrix empfiehlt, dass Sie die Treiber vor der Installation von Citrix Software auf einem physischen Computer installieren und testen.
  • Für virtuelle Desktops unter Windows 7 mit Smartcards, die das Minitreibermodell unterstützen und verwenden, werden die Smartcard-Minitreiber automatisch heruntergeladen. Die Treiber können auch über http://catalog.update.microsoft.com oder den Hersteller bezogen werden. Wird PKCS#11-Middleware benötigt, wenden Sie sich an den Smartcardhersteller.
Remote-PC-Zugriff mit Smartcards:
  • Smartcards werden nur für den Remotezugriff auf physische Büro-PCs mit Windows 10, Windows 8 oder Windows 7 unterstützt; Smartcards werden nicht für Büro-PCs mit Windows XP unterstützt.
  • Die folgenden Smartcards wurden mit Remote-PC-Zugriff getestet: 
    • Gemalto .NET v2+ mit Gemalto .NET-Minitreiber
    • NIST PIV-Karten mit ActivIdentity ActivClient 6.2
    • NIST PIV-Karten mit dem Microsoft-Minitreiber
    • CAC-Karten mit ActivIdentity ActivClient 6.2
    • virtuelle Smartcards mit nativem Microsoft-Treiber

Auf Benutzergeräten muss Citrix Receiver, geeignete Middleware und eines der folgenden Betriebssysteme ausgeführt werden: Windows 7 oder Windows 8 (einschließlich Embedded Edition), 32 Bit und 64 Bit.

Middleware:
  • Die Smartcard-Unterstützung in Receiver basiert auf dem PC/SC-Standard (Personal Computer/Smart Card) von Microsoft. Als Mindestanforderung müssen Smartcards und Smartcardleser vom zu Grunde liegenden Windows-Betriebssystem unterstützt werden und vom Microsoft Windows Hardware Quality Labs (WHQL) für die Verwendung auf Computern mit einem qualifizierenden Windows-Betriebssystem zugelassen sein. Weitere Informationen zur Hardware PC/SC-Kompatibilität finden Sie in der Microsoft-Dokumentation.
  • Die folgenden Kombinationen aus Smartcard und Middleware für Windows-Systeme wurden von Citrix als repräsentatives Beispiel ihres Typs getestet. Es können jedoch auch andere Smartcards und Middleware verwendet werden. Weitere Informationen über Citrix-kompatible Smartcards und Middleware finden Sie unter http://www.citrix.com/ready.
    MiddlewareGeeignete Karten
    ActivClient 7.0 (DoD-Modus aktiviert)DoD CAC-Karte
    ActivClient 7.0 im Modus PIVNIST PIV-Karte
    Microsoft-MinitreiberNIST PIV-Karte
    GemAlto-Minitreiber für .NET-KarteGemAlto .NET v2+

    nativer Microsoft-Treiber

    virtuelle Smartcards (TPM)
Führen Sie vor dem Bereitstellen von Smartcards folgende Schritte aus:
  • Fügen Sie die Citrix Receiver für Web-URL der Liste der vertrauenswürdigen Sites für Benutzer hinzu, die mit Smartcards im Internet Explorer unter Windows 10 arbeiten. In Windows 10 wird Internet Explorer für vertrauenswürdige Sites nicht standardmäßig im geschützten Modus ausgeführt.
  • Stellen Sie sicher, dass die Public Key-Infrastruktur entsprechend konfiguriert ist. Hierzu gehört, dass die Zertifikat-zu-Konto-Zuordnung richtig für die Active Directory-Umgebung konfiguriert ist, und dass die Validierung des Benutzerzertifikats ausgeführt werden kann.
  • Konfigurieren Sie die Komponenten, die TLS 1.0 verwenden, für die Smartcard-Anmeldung.
  • Stellen Sie sicher, dass die Bereitstellung die Systemanforderungen der anderen Citrix Komponenten erfüllt, die mit Smartcards verwendet werden, u. a. Receiver und StoreFront.
  • Stellen Sie sicher, dass auf die folgenden Server in der Site Zugriff besteht:
    • Active Directory-Domänencontroller für das Benutzerkonto mit zugeordnetem Anmeldezertifikat auf der Smartcard
    • Delivery Controller
    • Citrix StoreFront
    • Citrix NetScaler Gateway/Citrix Access Gateway 10.x
    • Virtual Delivery Agent
    • Optional für Remotezugriff: Microsoft Exchange Server
  • Sie müssen mit der Smartcard-Technik im Allgemeinen und im Besonderen mit der von Ihnen gewählten Technik und dem SDK vertraut sein. Informieren Sie sich auch über die Installation und Pflege von Zertifikaten in verteilten Umgebungen.

Aktivieren der Smartcard-Verwendung

  1. Aktivieren Sie das Produkt für die Verwendung von Smartcards.
    1. Geben Sie die Smartcards an die Benutzer aus und berücksichtigen Sie dabei die Kartenausstellungsrichtlinie.
    2. Optional: Richten Sie Smartcards ein, damit Benutzer Remote-PC-Zugriff verwenden können.
    3. Installieren und konfigurieren Sie den Delivery Controller und StoreFront (falls nicht bereits für Smartcardremoting installiert).
  2. Aktivieren Sie StoreFront für die Verwendung mit Smartcard. Einzelheiten finden Sie unter Konfigurieren der Smartcardauthentifizierung in der StoreFront-Dokumentation.
  3. Aktivieren Sie NetScaler Gateway/Access Gateway für die Verwendung mit Smartcard. Einzelheiten finden Sie unter Configuring Authentication and Authorization und Configuring Smart Card Access with the Web Interface in der NetScaler-Dokumentation.
  4. Aktivieren Sie den Virtual Delivery Agent (VDA) für die Verwendung mit Smartcard.
    1. Stellen Sie sicher, dass der Virtual Delivery Agent die erforderlichen Anwendungen und Updates hat.
    2. Installieren Sie die Middleware.
    3. Richten Sie Smartcardremoting ein, damit die Kommunikation von Smartcarddaten zwischen Receiver auf einem Benutzergerät und einer virtuellen Desktopsitzung möglich ist.
  5. Aktivieren Sie Benutzergeräte (einschließlich der Maschinen innerhalb und außerhalb von Domänen) für die Verwendung von Smartcards. Einzelheiten finden Sie unter Konfigurieren der Smartcardauthentifizierung in der StoreFront-Dokumentation.
    1. Importieren Sie das Zertifizierungsstellen-Stammzertifikat und das Zertifikat der ausstellenden Zertifizierungsstelle in den Schlüsselspeicher des Geräts.
    2. Installieren Sie die kryptografische Middleware.
    3. Installieren und konfigurieren Sie Citrix Receiver für Windows. Stellen Sie sicher, dass Sie icaclient.adm mit der Gruppenrichtlinien-Verwaltungskonsole importieren und die Smartcard-Authentifizierung aktivieren.
  6. Testen Sie die Bereitstellung. Stellen Sie sicher, dass die Bereitstellung richtig konfiguriert ist, indem Sie den virtuellen Desktop mit der Smartcard eines Testbenutzers starten. Testen Sie alle möglichen Zugriffsmechanismen (beispielsweise Zugriff auf den Desktop über Internet Explorer und Receiver).