Product Documentation

Smartcards

Aug 17, 2016

Smartcards und ähnliche Technologien werden im Rahmen der folgenden Vorgaben unterstützt. Folgendes gilt für die Verwendung von Smartcards mit XenApp oder XenDesktop:

  • Machen Sie sich mit den Sicherheitsrichtlinien Ihrer Organisation für die Verwendung von Smartcards vertraut. Mit diesen Richtlinien wird z. B. festgelegt, wie Smartcards ausgegeben werden und wie diese von Benutzern gesichert werden sollten. Einige Aspekte dieser Richtlinien müssen ggf. in einer XenApp- bzw. XenDesktop-Umgebung neu bewertet werden.
  • Legen Sie fest, welche Benutzergerätetypen, Betriebssysteme und veröffentlichten Anwendungen mit Smartcards verwendet werden dürfen.
  • Machen Sie sich mit der Smartcard-Technologie und der Hardware und Software des von Ihnen gewählten Smartcardanbieters vertraut.
  • Sie sollten wissen, wie Sie digitale Zertifikate in einer verteilten Umgebung bereitstellen.

Smartcardtypen

Smartcards für Unternehmen und Kunden haben die gleiche Größe, elektrischen Verbindungen und passen in die gleichen Smartcardleser.

Smartcards für Unternehmen enthalten digitale Zertifikate. Diese Smartcards unterstützen die Windows-Anmeldung und können auch mit Anwendungen für digitale Signaturen und die Verschlüsselung von Dokumenten und E-Mail verwendet werden. Diese Verwendungsmöglichkeiten werden von XenApp und XenDesktop unterstützt.

Smartcards für Kunden enthalten keine digitalen Zertifikate, sondern einen gemeinsamen geheimen Schlüssel. Diese Smartcards können Zahlungen unterstützen (z. B. eine Kreditkarte mit Chip und Unterschrift oder Chip und PIN). Sie bieten keine Unterstützung für Windows-Anmeldung oder typische Windows-Anwendungen. Für die Verwendung dieser Smartcards sind spezielle Windows-Anwendungen und eine geeignete Software-Infrastruktur (einschließlich einer Verbindung zu einem Zahlungskartennetzwerk) erforderlich. Informationen zur Unterstützung dieser speziellen Anwendungen auf XenApp oder XenDesktop erhalten Sie von einem Citrix Mitarbeiter.

Für Unternehmenssmartcards gibt es entsprechende kompatible Technologien, die ähnlich funktionieren.

  • Ein smartcardäquivalentes USB-Token stellt eine direkte Verbindung mit einem USB-Anschluss her. Diese USB-Token sind normalerweise so groß wie ein USB-Stick, aber sie können auch so klein wie die SIM-Karte eines Mobiltelefons sein. Sie sind eine Kombination aus einer Smartcard und einem USB-Smartcardleser.
  • Eine virtuelle Smartcard, die ein Windows Trusted Platform Module (TPM) verwendet, wird als Smartcard angezeigt. Diese virtuellen Smartcards werden für Windows 8 und Windows 10 mit Citrix Receiver ab Version 4.3 unterstützt.
    • XenApp- und XenDesktop-Versionen vor Version 7.6 FP3 unterstützen keine virtuellen Smartcards.
    • Weitere Informationen zu virtuellen Smartcards finden Sie unter Virtual Smart Card Overview.

Hinweis: Der Begriff "virtuelle Smartcard" wird auch für ein digitales Zertifikat verwendet, das auf dem Computer des Benutzers gespeichert wird. Diese digitalen Zertifikate sind nicht unbedingt gleichbedeutend mit Smartcards.

Die Smartcard-Unterstützung in XenApp und XenDesktop basiert auf dem PC/SC-Standard (Personal Computer/Smart Card) von Microsoft. Als Mindestanforderung müssen Smartcards und Smartcardleser vom zugrunde liegenden Windows-Betriebssystem unterstützt werden und vom Microsoft Windows Hardware Quality Labs (WHQL) für die Verwendung auf Computern mit einem qualifizierenden Windows-Betriebssystem zugelassen sein. Weitere Informationen zur PC/SC-Kompatibilität von Hardware finden Sie in der Microsoft Dokumentation. Auch andere Benutzergeräte entsprechen möglicherweise dem PS/SC-Standard. Weitere Informationen finden Sie auf der Website des Citrix Ready-Programms unter http://www.citrix.com/ready/.

Normalerweise sind für die Smartcards der unterschiedlichen Anbieter oder für ähnliche Lösungen separate Gerätetreiber erforderlich. Wenn Smartcards jedoch einem Standard wie dem NIST Personal Identity Verification (PIV)-Standard entsprechen, kann möglicherweise ein Gerätetreiber für eine Reihe von Smartcards verwendet werden. Der Gerätetreiber muss auf dem Benutzergerät und dem Virtual Delivery Agent (VDA) installiert werden. Der Gerätetreiber wird häufig von einem Citrix Partner im Rahmen eines Smartcard-Middleware-Pakets zur Verfügung gestellt, das erweiterte Features bietet. Der Gerätetreiber wird u. U. auch Kryptografiedienstanbieter (Cryptographic Service Provider, CSP), Schlüsselspeicheranbieter (Key Storage Provider, KSP) oder Minitreiber genannt.

Die folgenden Kombinationen aus Smartcard und Middleware für Windows-Systeme wurden von Citrix als repräsentatives Beispiel ihres Typs getestet. Es können jedoch auch andere Smartcards und Middleware verwendet werden. Weitere Informationen über Citrix-kompatible Smartcards und Middleware finden Sie unter http://www.citrix.com/ready.

Middleware

Geeignete Karten

ActivClient 7.0 (DoD-Modus aktiviert)

DoD CAC-Karte

ActivClient 7.0 im PIV-Modus

NIST PIV-Karte

Microsoft-Minitreiber

NIST PIV-Karte

Gemalto-Minitreiber für .NET-Karte

Gemalto .NET v2+

nativer Microsoft-Treiber

virtuelle Smartcards (TPM)

Informationen zur Verwendung von Smartcards mit anderen Gerätetypen finden Sie in der Citrix Receiver-Dokumentation für das Gerät. Weitere Informationen zur Verwendung von PIV mit XenDesktop finden Sie unter Configuring Citrix XenDesktop 7.6 and NetScaler Gateway 10.5 with PIV SmartCard Authentication.

Informationen zur Verwendung von Smartcards mit anderen Gerätetypen finden Sie in der Citrix Receiver-Dokumentation für das jeweilige Gerät.

Remote-PC-Zugriff

Smartcards werden nur für den Remotezugriff auf physische Büro-PCs mit Windows 10, Windows 8 oder Windows 7 unterstützt; Smartcards werden nicht für Büro-PCs mit Windows XP unterstützt.

Die folgenden Smartcards wurden mit Remote-PC-Zugriff getestet:

Middleware

Geeignete Karten

Gemalto .NET-Minitreiber

Gemalto .NET v2+

ActivIdentity ActivClient 6.2

NIST PIV

ActivIdentity ActivClient 6.2

CAC

Microsoft-Minitreiber

NIST PIV

nativer Microsoft-Treiber

Virtuelle Smartcards

 

Smartcardleser

Ein Smartcardleser kann in das Benutzergerät integriert sein oder extern an das Benutzergerät angeschlossen werden (normalerweise über USB oder Bluetooth). Kontaktbehaftete Kartenleser, die USB-CCID-konform (Chip/Smart Card Interface Devices) sind, werden unterstützt. Diese enthalten einen Schlitz, in den die Smartcard eingeführt wird. Kontaktbehaftete Kartenleser werden gemäß einer DK-Spezifikation (Deutsche Kreditwirtschaft) in vier Klassen eingeteilt.

  • Smartcardleser der Klasse 1 sind die häufigsten Geräte und haben normalerweise nur einen Steckplatz. Smartcardleser der Klasse 1 werden in der Regel durch einen CCID-Standardgerätetreiber unterstützt, der mit dem Betriebssystem geliefert wurde.
  • Smartcardleser der Klasse 2 verfügen über eine sichere Tastatur, auf die über das Benutzergerät nicht zugegriffen werden kann. Diese Smartcardleser können auch in eine Tastatur integriert sein. Wenn Sie Smartcardleser der Klasse 2 verwenden, wenden Sie sich an einen Citrix Mitarbeiter, da u. U. ein spezifischer Gerätetreiber erforderlich ist, damit die sichere Tastatur funktioniert.
  • Smartcardleser der Klasse 3 haben ein sicheres Display. Sie werden nicht unterstützt.
  • Smartcardleser der Klasse 4 haben ein sicheres Übertragungsmodul. Diese Smartcardleser werden nicht unterstützt.

Hinweis: Die Klasse der Smartcardleser hat nichts mit der USB-Geräteklasse zu tun.

Smartcardleser müssen mit einem entsprechenden Gerätetreiber auf dem Benutzergerät installiert sein.

Benutzererfahrung

Smartcardunterstützung ist in XenApp und XenDesktop durch einen bestimmten virtuellen ICA/HDX-Smartcardkanal integriert, der standardmäßig aktiviert ist.

Wichtig: Verwenden Sie für Smartcardleser keine generische USB-Umleitung. Sie ist für Smartcardleser standardmäßig deaktiviert und wird auch bei Aktivierung nicht unterstützt.

Auf einem Benutzergerät können mehrere Smartcards und mehrere Smartcardleser verwendet werden. Wenn Passthrough-Authentifizierung verwendet wird, darf jedoch nur eine Smartcard eingelegt sein, wenn der Benutzer einen virtuellen Desktop oder eine Anwendung startet. Wenn eine Smartcard in einer Anwendung verwendet wird (z. B. zum digitalen Signieren oder für Verschlüsselungsfunktionen), werden möglicherweise zusätzliche Aufforderungen zum Einführen einer Smartcard oder zum Eingeben einer PIN angezeigt. Dies kann auftreten, wenn mehr als eine Smartcard eingelegt wurde.

  • Wenn Benutzer zum Einlegen einer Smartcard aufgefordert werden und diese sich bereits im Leser befindet, sollten sie auf "Abbrechen" klicken.
  • Wenn Benutzer zur Eingabe der PIN-Nummer aufgefordert werden, sollten sie diese erneut eingeben.

Wenn Sie gehostete Anwendungen unter Windows Server 2008 oder 2008 R2 und mit Smartcards verwenden, die den Microsoft-Kryptografiedienstanbieter für Basissmartcards benötigen, werden im Fall der Ausführung einer Smartcard-Transaktion alle anderen Benutzer, die eine Smartcard bei der Anmeldung verwendet haben, blockiert. Weitere Details und einen Hotfix zur Behebung dieses Problems finden Sie unter http://support.microsoft.com/kb/949538.

Sie können PINs mit einem Kartenverwaltungsprogramm oder einem Herstellerdienstprogramm zurücksetzen.

Führen Sie vor dem Bereitstellen von Smartcards folgende Schritte aus:

  • Installieren Sie für den Smartcardleser einen Gerätetreiber auf dem Benutzergerät. Viele Smartcardleser können mit dem von Microsoft bereitgestellten CCID-Gerätetreiber benutzt werden.
  • Beziehen Sie einen Gerätetreiber und Kryptografiedienstanbietersoftware (CSP) vom Smartcard-Hersteller und installieren Sie beides auf Benutzergeräten und auf virtuellen Desktops. Der Treiber und die CSP-Software müssen mit XenApp bzw. XenDesktop kompatibel sein (Informationen zur Kompatibilität enthält die Dokumentation). Für virtuelle Desktops mit Smartcards, die das Minitreibermodell unterstützen und verwenden, werden die Smartcard-Minitreiber automatisch heruntergeladen. Die Treiber können auch über http://catalog.update.microsoft.com oder den Hersteller bezogen werden. Wird PKCS#11-Middleware benötigt, wenden Sie sich an den Smartcardhersteller.
  • Wichtig: Citrix empfiehlt, dass Sie die Treiber und CSP-Software vor der Installation von Citrix Software auf einem physischen Computer installieren und testen.
  • Fügen Sie die Citrix Receiver für Web-URL der Liste der vertrauenswürdigen Sites für Benutzer hinzu, die mit Smartcards im Internet Explorer unter Windows 10 arbeiten. In Windows 10 wird Internet Explorer für vertrauenswürdige Sites nicht standardmäßig im geschützten Modus ausgeführt.
  • Stellen Sie sicher, dass die Public Key-Infrastruktur entsprechend konfiguriert ist. Hierzu gehört, dass die Zertifikat-zu-Konto-Zuordnung richtig für die Active Directory-Umgebung konfiguriert ist, und dass die Validierung des Benutzerzertifikats ausgeführt werden kann.
  • Stellen Sie sicher, dass die Bereitstellung die Systemanforderungen der anderen Citrix Komponenten erfüllt, die mit Smartcards verwendet werden, u. a. Citrix Receiver und StoreFront.
  • Stellen Sie sicher, dass auf die folgenden Server in der Site Zugriff besteht:
    • Active Directory-Domänencontroller für das Benutzerkonto mit zugeordnetem Anmeldezertifikat auf der Smartcard
    • Delivery Controller
    • Citrix StoreFront
    • Citrix NetScaler Gateway/Citrix Access Gateway 10.x
    • VDA
    • (Optional für Remotezugriff): Microsoft Exchange Server

Aktivieren der Smartcard-Verwendung

Schritt 1: Geben Sie die Smartcards an die Benutzer aus und berücksichtigen Sie dabei die Kartenausstellungsrichtlinie.

Schritt 2: (Optional): Richten Sie Smartcards ein, damit Benutzer Remote-PC-Zugriff verwenden können.

Schritt 3: Installieren Sie ggf. den Delivery Controller und StoreFront und konfigurieren Sie beides für Smartcard-Remoting.

Schritt 4: Aktivieren Sie StoreFront für die Verwendung mit Smartcards. Einzelheiten finden Sie unter "Konfigurieren der Smartcardauthentifizierung" in der StoreFront-Dokumentation.

Schritt 5: Aktivieren Sie NetScaler Gateway/Access Gateway für die Verwendung mit Smartcards. Einzelheiten finden Sie unter "Configuring Authentication and Authorization" und "Configuring Smart Card Access with the Web Interface" in der NetScaler-Dokumentation.

Schritt 6: Aktivieren Sie VDAs für die Verwendung mit Smartcard.

  • Stellen Sie sicher, dass die erforderlichen Anwendungen und Updates auf dem VDA installiert wurden.
  • Installieren Sie die Middleware.
  • Richten Sie Smartcard-Remoting ein, damit die Kommunikation von Smartcarddaten zwischen Citrix Receiver auf einem Benutzergerät und einer virtuellen Desktopsitzung möglich ist.

Schritt 7: Aktivieren Sie Benutzergeräte (einschließlich der Maschinen innerhalb und außerhalb von Domänen) für die Verwendung von Smartcards. Einzelheiten finden Sie unter "Konfigurieren der Smartcardauthentifizierung" in der StoreFront-Dokumentation.

  • Importieren Sie das Zertifizierungsstellen-Stammzertifikat und das Zertifikat der ausstellenden Zertifizierungsstelle in den Schlüsselspeicher des Geräts.
  • Installieren Sie die Smartcard-Middleware des Herstellers.
  • Installieren und konfigurieren Sie Citrix Receiver für Windows. Stellen Sie sicher, dass Sie icaclient.adm mit der Gruppenrichtlinien-Verwaltungskonsole importieren und die Smartcard-Authentifizierung aktivieren.

Schritt 8: Testen Sie die Bereitstellung. Stellen Sie sicher, dass die Bereitstellung richtig konfiguriert ist, indem Sie den virtuellen Desktop mit der Smartcard eines Testbenutzers starten. Testen Sie alle möglichen Zugriffsmechanismen (beispielsweise Zugriff auf den Desktop über Internet Explorer und Citrix Receiver).