Configuración de la autenticación de tarjeta inteligente

Puede configurar Citrix Gateway para que utilice una tarjeta inteligente criptográfica para autenticar a los usuarios.

Para configurar una tarjeta inteligente para que funcione con Citrix Gateway, debe hacer lo siguiente:

  • Cree una directiva de autenticación de certificados. Para obtener más información, consulteConfiguración de la autenticación de certificados de cliente.
  • Enlazar la directiva de autenticación a un servidor virtual.
  • Agregue el certificado raíz de la entidad emisora de certificados (CA) que emite los certificados de cliente a Citrix Gateway. Para obtener más información, consultePara instalar un certificado raíz en Citrix Gateway.

    Importante: Al agregar el certificado raíz al servidor virtual para la autenticación con tarjeta inteligente, debe seleccionar el certificado en el cuadro desplegable Seleccionar certificado de CA, como se muestra en la figura siguiente. Figura 1. Agregar un certificado raíz para la autenticación de tarjeta inteligente

    Imagen localizada

Después de crear el certificado de cliente, puede escribir el certificado, conocido como flash, en la tarjeta inteligente. Cuando complete ese paso, puede probar la tarjeta inteligente.

Si configura la Interfaz Web para la autenticación de paso a través de tarjeta inteligente, si existe alguna de las siguientes condiciones, se producirá un error de inicio de sesión único en la Interfaz Web:

  • Si establece el dominio en la ficha Aplicaciones publicadas como mydomain.com en lugar mydomain.
  • Si no establece el nombre de dominio en la ficha Aplicaciones publicadas y ejecuta el comando wi-sso-split-upn estableciendo el valor en 1. En este caso, UserPrincipalName contiene el nombre de dominio “midominio.com. “

Puede utilizar la autenticación con tarjeta inteligente para optimizar el proceso de inicio de sesión de los usuarios, al tiempo que mejora la seguridad del acceso de los usuarios a la infraestructura. El acceso a la red corporativa interna está protegido mediante la autenticación de dos factores basada en certificados mediante infraestructura de clave pública. Las claves privadas están protegidas por controles de hardware y nunca salen de la tarjeta inteligente. Sus usuarios obtienen la comodidad de acceder a sus escritorios y aplicaciones desde una amplia gama de dispositivos corporativos utilizando sus tarjetas inteligentes y PIN.

Puede utilizar tarjetas inteligentes para la autenticación de usuarios a través de StoreFront en escritorios y aplicaciones proporcionados por Citrix Virtual Apps and Desktops. Los usuarios de tarjetas inteligentes que inician sesión en StoreFront también pueden acceder a las aplicaciones proporcionadas por Citrix Endpoint Management. Sin embargo, los usuarios deben autenticarse de nuevo para acceder a las aplicaciones web de Endpoint Management que utilizan la autenticación de certificados de cliente.

Para obtener más información, consulteConfigurar la autenticación de tarjeta inteligentela documentación de StoreFront.

Configuración de la autenticación de tarjeta inteligente con conexiones seguras ICA

Los usuarios que inician sesión y establecen una conexión ICA segura mediante una tarjeta inteligente con inicio de sesión único configurado en Citrix Gateway pueden recibir solicitudes de su número de identificación personal (PIN) en dos momentos diferentes: al iniciar sesión y al intentar iniciar un recurso publicado. Esta situación se produce si el explorador web y Citrix Receiver utilizan el mismo servidor virtual que está configurado para utilizar certificados de cliente. Citrix Receiver no comparte un proceso o una conexión SSL (Secure Sockets Layer) con el explorador Web. Por lo tanto, cuando la conexión ICA completa el protocolo de enlace SSL con Citrix Gateway, se requiere el certificado de cliente por segunda vez.

Para evitar que los usuarios reciban el segundo mensaje de PIN, debe cambiar dos configuraciones:

  • La autenticación de cliente en el servidor virtual VPN debe estar inhabilitada.
  • La renegociación SSL debe estar habilitada.

Después de configurar el servidor virtual, vincule uno o más servidores STA al servidor virtual, como se describe enConfiguración de la configuración de Citrix Gateway en Web Interface 5.3.

También es posible que desee probar la autenticación con tarjeta inteligente.

Para inhabilitar la autenticación de cliente:

  1. En la utilidad de configuración, en la ficha Configuración, en el panel de navegación, expanda Citrix Gateway y, a continuación, haga clic en Servidores virtuales.
  2. Seleccione el servidor virtual pertinente en el panel de detalles principal y, a continuación, haga clic en Editar.
  3. En el panel Opciones avanzadas, haga clic en Parámetros SSL.
  4. Desactive la casilla de verificación Autenticación de cliente.
  5. Haga clic en Done.

Para habilitar la renegociación SSL:

  1. Con la utilidad de configuración, desde la ficha Configuración, desplácese hasta Administración del tráfico y, a continuación, haga clic en SSL.
  2. En el panel principal, haga clic en Cambiar configuración avanzada de SSL.
  3. En el menú Denegar renegociación SSL, seleccione NO.

Para probar la autenticación de tarjeta inteligente:

  1. Conecte la tarjeta inteligente al dispositivo del usuario.
  2. Abra su navegador web e inicie sesión en Citrix Gateway.