Documentación de productos
Citrix Virtual Apps and Desktops 7 2203 LTSR
Ver PDF

Tarjetas inteligentes

May 30, 2026
Contribución de: 
C C

Las tarjetas inteligentes y las tecnologías equivalentes son compatibles según las directrices descritas en este artículo. Para usar tarjetas inteligentes con Citrix Virtual Apps o Citrix Virtual Desktops™:

  • Comprenda la política de seguridad de su organización con respecto al uso de tarjetas inteligentes. Estas políticas podrían, por ejemplo, establecer cómo se emiten las tarjetas inteligentes y cómo deben protegerlas los usuarios. Algunos aspectos de estas políticas podrían necesitar ser reevaluados en un entorno de Citrix Virtual Apps™ o Citrix Virtual Desktops.
  • Determine qué tipos de dispositivos de usuario, sistemas operativos y aplicaciones publicadas se utilizarán con tarjetas inteligentes.
  • Familiarícese con la tecnología de tarjetas inteligentes y con el hardware y software del proveedor de tarjetas inteligentes que haya seleccionado.
  • Sepa cómo implementar certificados digitales en un entorno distribuido.

Nota:

La inscripción de tarjetas inteligentes no es compatible con tarjetas inteligentes rápidas. La inscripción de tarjetas inteligentes podría funcionar cuando las tarjetas inteligentes rápidas están deshabilitadas, pero depende del tipo de tarjeta inteligente y del middleware. Póngase en contacto con su proveedor de tarjetas inteligentes y middleware para obtener información sobre su integración con Citrix Virtual Apps and Desktops y el soporte para la inscripción de tarjetas inteligentes a través de sesiones virtuales.

Tipos de tarjetas inteligentes

Las tarjetas inteligentes empresariales y de consumo tienen las mismas dimensiones, conectores eléctricos y encajan en los mismos lectores de tarjetas inteligentes.

Las tarjetas inteligentes para uso empresarial contienen certificados digitales. Estas tarjetas inteligentes son compatibles con el inicio de sesión de Windows y también se pueden usar con aplicaciones para la firma digital y el cifrado de documentos y correos electrónicos. Citrix Virtual Apps and Desktops™ es compatible con estos usos.

Las tarjetas inteligentes para uso de consumo no contienen certificados digitales; contienen un secreto compartido. Estas tarjetas inteligentes pueden admitir pagos (como una tarjeta de crédito con chip y firma o chip y PIN). No son compatibles con el inicio de sesión de Windows ni con las aplicaciones típicas de Windows. Para su uso con estas tarjetas inteligentes, se necesitan aplicaciones especializadas de Windows y una infraestructura de software adecuada (incluida, por ejemplo, una conexión a una red de tarjetas de pago). Póngase en contacto con su representante de Citrix para obtener información sobre cómo admitir estas aplicaciones especializadas en Citrix Virtual Apps o Citrix Virtual Desktops.

Para las tarjetas inteligentes empresariales, existen equivalentes compatibles que se pueden usar de manera similar.

  • Un token USB equivalente a una tarjeta inteligente se conecta directamente a un puerto USB. Estos tokens USB suelen tener el tamaño de una unidad flash USB, pero pueden ser tan pequeños como una tarjeta SIM utilizada en un teléfono móvil. Aparecen como la combinación de una tarjeta inteligente más un lector de tarjetas inteligentes USB.
  • Una tarjeta inteligente virtual que utiliza un Módulo de plataforma segura (TPM) de Windows aparece como una tarjeta inteligente. Estas tarjetas inteligentes virtuales son compatibles con Windows 8 y Windows 10, utilizando la aplicación Citrix Workspace (versión mínima Citrix Receiver 4.3).
    • Las versiones de Citrix Virtual Apps and Desktops (anteriormente XenApp y XenDesktop) anteriores a XenApp y XenDesktop 7.6 FP3 no admiten tarjetas inteligentes virtuales.
    • Para obtener más información sobre las tarjetas inteligentes virtuales, consulte Información general sobre tarjetas inteligentes virtuales.

    Nota: El término “tarjeta inteligente virtual” también se utiliza para describir un certificado digital almacenado en el equipo del usuario. Estos certificados digitales no son estrictamente equivalentes a las tarjetas inteligentes.

La compatibilidad con tarjetas inteligentes de Citrix Virtual Apps and Desktops se basa en las especificaciones estándar de Microsoft Personal Computer/Smart Card (PC/SC). Un requisito mínimo es que las tarjetas inteligentes y los dispositivos de tarjetas inteligentes deben ser compatibles con el sistema operativo Windows subyacente y deben estar aprobados por Microsoft Windows Hardware Quality Labs (WHQL) para su uso en equipos que ejecuten sistemas operativos Windows aptos. Consulte la documentación de Microsoft para obtener información adicional sobre la compatibilidad de hardware PC/SC. Otros tipos de dispositivos de usuario pueden cumplir con el estándar PS/SC. Para obtener más información, consulte el programa Citrix Ready.

Normalmente, se necesita un controlador de dispositivo independiente para la tarjeta inteligente o equivalente de cada proveedor. Sin embargo, si las tarjetas inteligentes cumplen con un estándar como el estándar NIST Personal Identity Verification (PIV), podría ser posible utilizar un único controlador de dispositivo para una gama de tarjetas inteligentes. El controlador de dispositivo debe instalarse tanto en el dispositivo de usuario como en el Virtual Delivery Agent (VDA). El controlador de dispositivo a menudo se suministra como parte de un paquete de middleware de tarjeta inteligente disponible de un socio de Citrix; el paquete de middleware de tarjeta inteligente ofrece funciones avanzadas. El controlador de dispositivo también podría describirse como un proveedor de servicios criptográficos (CSP), un proveedor de almacenamiento de claves (KSP) o un minicontrolador.

Citrix ha probado las siguientes combinaciones de tarjetas inteligentes y middleware para sistemas Windows como ejemplos representativos de su tipo. Sin embargo, también se pueden utilizar otras tarjetas inteligentes y middleware. Para obtener más información sobre las tarjetas inteligentes y el middleware compatibles con Citrix, consulte http://www.citrix.com/ready.

Middleware Tarjetas compatibles
Gemalto Mini Driver para tarjeta .NET Gemalto .NET v2+

Para obtener información sobre el uso de tarjetas inteligentes con otros tipos de dispositivos, consulte la documentación de la aplicación Citrix Workspace™ para ese dispositivo.

Acceso con PC remoto

Las tarjetas inteligentes solo se admiten para el acceso remoto a equipos físicos de oficina que ejecuten Windows 10, Windows 8 o Windows 7.

Las siguientes tarjetas inteligentes se probaron con Acceso con PC remoto:

Middleware Tarjetas coincidentes
Minidriver Gemalto .NET Gemalto .NET v2+

Tarjeta inteligente rápida

La tarjeta inteligente rápida es una mejora con respecto a la redirección de tarjeta inteligente basada en PC/SC de HDX existente. Mejora el rendimiento cuando las tarjetas inteligentes se utilizan en situaciones de WAN de alta latencia. Cuando la latencia es alta, la mejora del rendimiento puede ser significativa (por ejemplo, 15 segundos para un inicio de sesión de tarjeta inteligente rápida de Windows frente a más de 1 minuto con la redirección de tarjeta inteligente basada en PC/SC).

La tarjeta inteligente rápida está habilitada de forma predeterminada en máquinas host con VDA de Windows actualmente compatibles. Para deshabilitar la tarjeta inteligente rápida en el lado del host (por ejemplo, con fines de diagnóstico), establezca la configuración del registro ‘Disable Cryptographic Redirection’ en cualquier valor distinto de cero:

HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->

En el lado del cliente, para habilitar la tarjeta inteligente rápida, incluya el parámetro ICA SmartCardCryptographicRedirection en el archivo default.ica del sitio de StoreFront asociado:

[WFClient]
SmartCardCryptographicRedirection=On

Además, en el lado del cliente, la tarjeta inteligente rápida se puede habilitar o deshabilitar forzosamente (por ejemplo, con fines de diagnóstico) con las siguientes configuraciones de registro:

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (como un DWORD distinto de cero)

O

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (como un DWORD distinto de cero)

Se debe especificar el hive de registro de 32 bits (usando WOW6432Node) si la máquina cliente es de 64 bits.

Limitaciones:

  • Solo Citrix Workspace app para Windows admite la tarjeta inteligente rápida. Si configura tarjetas inteligentes rápidas en el archivo default.ica, las aplicaciones de Citrix Workspace que no son para Windows seguirán utilizando la redirección PC/SC existente.
  • Los únicos escenarios de doble salto que admite la tarjeta inteligente rápida son ICA® > ICA con la tarjeta inteligente rápida habilitada en ambos saltos. Dado que la tarjeta inteligente rápida no admite escenarios de doble salto ICA > RDP, esos escenarios no funcionan.
  • La tarjeta inteligente rápida no admite la Criptografía de próxima generación. Por lo tanto, la tarjeta inteligente rápida no admite tarjetas inteligentes de Criptografía de Curva Elíptica (ECC).
  • La tarjeta inteligente rápida solo admite operaciones de contenedor de claves de solo lectura.
  • La tarjeta inteligente rápida no admite cambiar el PIN de la tarjeta inteligente.

A partir de la versión 2203 de VDA y la versión 2202 de la aplicación Citrix Workspace para Windows (o posterior), la tarjeta inteligente rápida es compatible con la Criptografía de próxima generación (CNG). Además, las tarjetas inteligentes de Criptografía de Curva Elíptica (ECC) son compatibles con las siguientes curvas: P-256, P-384, P-521 bits, tanto para ECDSA como para ECDH.

A partir de la versión 2203 de VDA, la tarjeta inteligente rápida añade la capacidad de almacenar en caché el PIN de la tarjeta inteligente entre las aplicaciones de la misma sesión de inicio de sesión del usuario. Por ejemplo, si Session PIN Caching está habilitado y el usuario final ha proporcionado previamente su PIN de tarjeta inteligente a Outlook, cuando se utiliza Word para firmar un documento, Word utiliza el PIN de tarjeta inteligente ya almacenado en caché (enviado a Outlook). Session PIN Caching mejora la experiencia del usuario al reducir el número de veces que el usuario tiene que introducir su PIN de tarjeta inteligente. Además, si la tarjeta inteligente se utiliza para iniciar sesión en el VDA, el PIN de inicio de sesión de la tarjeta inteligente de Windows se puede guardar opcionalmente en la Session PIN Cache. Esto puede mejorar aún más la experiencia del usuario.

Session PIN Caching está deshabilitado de forma predeterminada. Se puede habilitar y controlar con las siguientes configuraciones de registro en el VDA:

En HKLM\SOFTWARE\Citrix\SmartCard:

  • EnablePinSessionCache como un DWORD (distinto de cero para habilitar)
  • EnableLogonPinSessionCache como un DWORD (distinto de cero para habilitar)
  • PinSessionCacheEntryStaleTimeout como un DWORD (número de segundos antes de que una entrada caduque, el valor predeterminado es 1 hora)

Tipos de lectores de tarjetas inteligentes

Un lector de tarjetas inteligentes puede estar integrado en el dispositivo del usuario o conectarse por separado a este (normalmente mediante USB o Bluetooth). Se admiten los lectores de tarjetas de contacto que cumplen con la especificación USB Chip/Smart Card Interface Devices (CCID). Contienen una ranura o un deslizador en el que el usuario inserta la tarjeta inteligente. El estándar Deutsche Kreditwirtschaft (DK) define cuatro clases de lectores de tarjetas de contacto.

  • Los lectores de tarjetas inteligentes de Clase 1 son los más comunes y suelen contener una ranura. Los lectores de tarjetas inteligentes de Clase 1 son compatibles, normalmente con un controlador de dispositivo CCID estándar suministrado con el sistema operativo.
  • Los lectores de tarjetas inteligentes de Clase 2 también contienen un teclado seguro al que no puede acceder el dispositivo del usuario. Los lectores de tarjetas inteligentes de Clase 2 pueden estar integrados en un teclado con un teclado seguro integrado. Para los lectores de tarjetas inteligentes de Clase 2, póngase en contacto con su representante de Citrix; es posible que se requiera un controlador de dispositivo específico del lector para habilitar la capacidad del teclado seguro.
  • Los lectores de tarjetas inteligentes de Clase 3 también contienen una pantalla segura. Los lectores de tarjetas inteligentes de Clase 3 no son compatibles.
  • Los lectores de tarjetas inteligentes de Clase 4 también contienen un módulo de transacción segura. Los lectores de tarjetas inteligentes de Clase 4 no son compatibles.

Nota:

La clase de lector de tarjetas inteligentes no está relacionada con la clase de dispositivo USB.

Los lectores de tarjetas inteligentes deben instalarse con un controlador de dispositivo correspondiente en el dispositivo de usuario.

Para obtener información sobre los lectores de tarjetas inteligentes compatibles, consulte la documentación de la aplicación Citrix Workspace que esté utilizando. En la documentación de la aplicación Citrix Workspace, las versiones compatibles se enumeran en un artículo sobre tarjetas inteligentes o en el artículo de requisitos del sistema.

Experiencia del usuario

La compatibilidad con tarjetas inteligentes está integrada en Citrix Virtual Apps and Desktops, mediante un canal virtual de tarjetas inteligentes ICA/HDX específico que está habilitado de forma predeterminada.

Importante: No utilice la redirección USB genérica para lectores de tarjetas inteligentes. Esto está deshabilitado de forma predeterminada para los lectores de tarjetas inteligentes y no es compatible si está habilitado.

Se pueden utilizar varias tarjetas inteligentes y varios lectores en el mismo dispositivo de usuario, pero si se utiliza la autenticación de paso, solo se debe insertar una tarjeta inteligente cuando el usuario inicia un escritorio o una aplicación virtual. Cuando se utiliza una tarjeta inteligente dentro de una aplicación (por ejemplo, para funciones de firma digital o cifrado), puede haber otras solicitudes para insertar una tarjeta inteligente o introducir un PIN. Esto puede ocurrir si se ha insertado más de una tarjeta inteligente al mismo tiempo.

  • Si se solicita a los usuarios que inserten una tarjeta inteligente cuando la tarjeta inteligente ya está en el lector, deben seleccionar Cancelar.
  • Si se solicita a los usuarios el PIN, deben introducir el PIN de nuevo.

Puede restablecer los PIN mediante un sistema de administración de tarjetas o una utilidad del proveedor.

Importante:

Dentro de una sesión de Citrix Virtual Apps o Citrix Virtual Desktops, el uso de una tarjeta inteligente con la aplicación Conexión a Escritorio remoto de Microsoft no es compatible. Esto a veces se describe como un uso de “doble salto”.

Antes de implementar tarjetas inteligentes

  • Obtenga un controlador de dispositivo para el lector de tarjetas inteligentes e instálelo en el dispositivo de usuario. Muchos lectores de tarjetas inteligentes pueden usar el controlador de dispositivo CCID suministrado por Microsoft.
  • Obtenga un controlador de dispositivo y el software de proveedor de servicios criptográficos (CSP) de su proveedor de tarjetas inteligentes, e instálelos tanto en los dispositivos de usuario como en los escritorios virtuales. El controlador y el software CSP deben ser compatibles con Citrix Virtual Apps and Desktops; consulte la documentación del proveedor para ver la compatibilidad. Para los escritorios virtuales que utilizan tarjetas inteligentes compatibles con el modelo de minicontrolador, los minicontroladores de tarjetas inteligentes se descargan automáticamente, pero también puede obtenerlos en http://catalog.update.microsoft.com o de su proveedor. Además, si se requiere middleware PKCS#11, obténgalo del proveedor de la tarjeta.
  • Importante: Citrix recomienda instalar y probar los controladores y el software CSP en un equipo físico antes de instalar el software de Citrix.
  • Agregue la URL de Citrix Receiver™ para Web a la lista de Sitios de confianza para los usuarios que utilizan tarjetas inteligentes en Internet Explorer con Windows 10. En Windows 10, Internet Explorer no se ejecuta en modo protegido de forma predeterminada para los sitios de confianza.
  • Asegúrese de que su infraestructura de clave pública (PKI) esté configurada correctamente. Esto incluye asegurarse de que la asignación de certificado a cuenta esté configurada correctamente para el entorno de Active Directory y de que la validación del certificado de usuario se pueda realizar correctamente.
  • Asegúrese de que su implementación cumpla los requisitos del sistema de los demás componentes de Citrix utilizados con tarjetas inteligentes, incluidas Citrix Workspace app y StoreFront.
  • Asegúrese de tener acceso a los siguientes servidores en su sitio:
    • El controlador de dominio de Active Directory para la cuenta de usuario asociada a un certificado de inicio de sesión en la tarjeta inteligente
    • Delivery Controller™
    • Citrix StoreFront
    • Citrix Gateway/Citrix Access Gateway 10.x
    • VDA
    • (Opcional para Acceso con PC remoto): Microsoft Exchange Server

Habilitar el uso de tarjetas inteligentes

Paso 1. Emita tarjetas inteligentes a los usuarios según su política de emisión de tarjetas.

Paso 2. (Opcional) Configure las tarjetas inteligentes para habilitar a los usuarios para el acceso a PC remoto.

Paso 3. Instale y configure Delivery Controller y StoreFront (si aún no están instalados) para la redirección de tarjetas inteligentes.

Paso 4. Habilite StoreFront para el uso de tarjetas inteligentes. Para obtener más información, consulte Configurar la autenticación con tarjeta inteligente en la documentación de StoreFront.

Paso 5. Habilite Citrix Gateway/Access Gateway para el uso de tarjetas inteligentes. Para obtener más información, consulte Configurar la autenticación y la autorización y Configurar el acceso con tarjeta inteligente con la interfaz web en la documentación de NetScaler.

Paso 6. Habilite los VDA para el uso de tarjetas inteligentes.

  • Asegúrese de que el VDA tenga las aplicaciones y actualizaciones necesarias.
  • Instale el middleware.
  • Configure la redirección de tarjetas inteligentes, lo que permite la comunicación de datos de tarjetas inteligentes entre la aplicación Citrix Workspace en un dispositivo de usuario y una sesión de escritorio virtual.

Paso 7. Habilite los dispositivos de usuario (incluidas las máquinas unidas o no unidas a un dominio) para el uso de tarjetas inteligentes. Consulte Configurar la autenticación con tarjeta inteligente en la documentación de StoreFront para obtener más información.

  • Importe el certificado raíz de la entidad de certificación y el certificado de la entidad de certificación emisora en el almacén de claves del dispositivo.
  • Instale el middleware de tarjeta inteligente de su proveedor.
  • Instale y configure la aplicación Citrix Workspace para Windows, asegurándose de importar icaclient.adm mediante la Consola de administración de directivas de grupo y de habilitar la autenticación con tarjeta inteligente.

Paso 8. Pruebe la implementación. Asegúrese de que la implementación esté configurada correctamente iniciando un escritorio virtual con la tarjeta inteligente de un usuario de prueba. Pruebe todos los mecanismos de acceso posibles (por ejemplo, acceder al escritorio a través de Internet Explorer y la aplicación Citrix Workspace).

Seguimiento del recuento de inserciones del lector de tarjetas inteligentes

Con la redirección de tarjetas inteligentes, puede realizar un seguimiento del número de veces que se ha insertado o quitado una tarjeta inteligente de un lector mediante la función SCardGetStatusChange. La función actualiza una matriz de estructuras de datos SCARD_READERSTATE, una por cada lector que supervise. La palabra alta (16 bits) del campo dwEventState de cada SCARD_READERSTATE contiene el recuento del lector. Para obtener más información, consulte los artículos de Microsoft SCardGetStatusChangeA function y SCARD_READERSTATEA structure.

La configuración Reader Insert Count Reporting está deshabilitada de forma predeterminada. Para habilitar el seguimiento, añada la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard

Nombre: EnableReaderInsertCountReporting

Tipo: DWORD

Valor: Cualquier valor distinto de cero

Cuando la sesión se desconecta, el recuento se restablece a cero.

Reader Insert Count Reporting es compatible con el middleware de tarjetas inteligentes de terceros.

Tarjetas inteligentes
May 30, 2026
Contribución de: 
C C
May 30, 2026
Contribución de: 
C C

En este artículo

Comentarios sobre el sitio | Your privacy choices footer linkSus opciones de privacidad | Condiciones legales y de privacidad | Preferencias de cookies | Parámetros de consentimiento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.