Configurar la autenticación con tarjeta inteligente para Web Studio

Este artículo describe los pasos necesarios para configurar y habilitar la autenticación con tarjeta inteligente para Web Studio:

Paso 1: Instalar el controlador de la tarjeta inteligente

Paso 2: Emitir certificados para usuarios de tarjetas inteligentes

Paso 3: Inscribir certificados para usuarios de tarjetas inteligentes

Paso 4: Configurar los servidores IIS de Web Studio

Paso 5 (Opcional): Configurar delegaciones de autenticación para Web Studio

Paso 6: Habilitar la autenticación con tarjeta inteligente para Web Studio

Nota:

La autenticación con tarjeta inteligente solo es compatible con usuarios del mismo dominio de Active Directory que los servidores de Web Studio.

Paso 1: Instalar el controlador de la tarjeta inteligente

Instale el controlador de la tarjeta inteligente en las siguientes máquinas:

• Controladores de dominio donde está instalado el Servicio de certificados.
• Servidores de Web Studio
• Máquinas que los usuarios finales utilizan para acceder a Web Studio
• Máquinas que utiliza para inscribir certificados para usuarios de tarjetas inteligentes

Los controladores de tarjetas inteligentes varían según el proveedor. Por ejemplo, si utiliza hardware de tarjeta inteligente proporcionado por ITS, descargue los controladores SaftNet de https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers.

Paso 2: Emitir certificados para usuarios de tarjetas inteligentes

Nota:

Los siguientes pasos se proporcionan como ejemplo para guiarle a través del proceso.

En su controlador de dominio, siga estos pasos para completar la tarea:

1. Acceda a su controlador de dominio y abra Autoridad de certificación.

   

2. Duplique la plantilla de Agente de inscripción. Los pasos detallados son los siguientes:

   1. Haga clic con el botón derecho en Plantillas de certificado y seleccione Administrar.

      

   2. Haga clic con el botón derecho en Agente de inscripción y seleccione Duplicar plantilla.

   3. En la ficha Nombre del sujeto, asegúrese de que la opción Incluir correo electrónico en el nombre del sujeto no esté seleccionada.

      

   4. En la ficha Criptografía, seleccione Microsoft Base Smart Card Crypto Provider y, a continuación, haga clic en Aceptar. Una plantilla denominada Copia de Agente de inscripción aparece en la lista Plantillas de certificado.

      plantillas de certificado>criptografía(/es-es/citrix-virtual-apps-desktops/2407/media/ca-manage-template-crypto.png)

3. Emitir certificados para tarjetas inteligentes. Los pasos detallados son los siguientes:
   1. Haga clic con el botón derecho en Plantillas de certificado y, a continuación, seleccione Nuevo > Plantilla para emitir.
   2. Seleccione Copia de agente de inscripción y Usuario de tarjeta inteligente.
   3. Haga clic en Aceptar.

Paso 3: Inscribir certificados para usuarios de tarjetas inteligentes

Nota:

Los siguientes pasos se proporcionan como ejemplo para guiarle a través del proceso.

En una máquina física Windows unida a un dominio, siga estos pasos para inscribir certificados para cada tarjeta inteligente:

1. Prepare una máquina física Windows unida a un dominio para el uso de inscripción:
   1. Asegúrese de que el controlador de la tarjeta inteligente esté instalado.
   2. Inserte una tarjeta inteligente en la máquina.
   3. Inicie sesión en la máquina con la cuenta de usuario que desea asignar a la tarjeta inteligente.
2. Agregue el complemento Certificados a la máquina que preparó en el paso 1. Los pasos detallados son los siguientes:
   1. Abra mmc.
   2. Haga clic en Archivo y, a continuación, en Agregar o quitar complemento.
   3. En la ventana Agregar o quitar complementos que aparece, seleccione Certificados y, a continuación, haga clic en Agregar >.
   4. En el cuadro de diálogo que aparece, seleccione Mi cuenta de usuario y haga clic en Finalizar.

   5. Haga clic en Aceptar.

      

3. Solicite nuevos certificados para el complemento Certificados. Los pasos detallados son los siguientes:

   1. Vaya a Certificados - Usuario actual > Personal, haga clic con el botón derecho en Certificados y, a continuación, seleccione Todas las tareas > Solicitar nuevo certificado.

      

   2. En el cuadro de diálogo Solicitar certificados que aparece, seleccione Copia de agente de inscripción y Usuario de tarjeta inteligente.

      

   3. En el cuadro de diálogo anterior, haga clic en Detalles para Usuario de tarjeta inteligente y, a continuación, haga clic en Propiedades. Aparece el cuadro de diálogo Propiedades del certificado.

      

   4. En la ficha Clave privada, expanda Proveedor de servicios criptográficos, desactive Microsoft Strong Cryptographic Provider (Encrption), seleccione solo Microsoft Base Smart Card Crypto Provider (Encryption) y, a continuación, haga clic en Aceptar.
   5. Haga clic en Inscribir.

   6. En el cuadro de diálogo Seguridad de Windows que aparece, introduzca el código PIN de la tarjeta inteligente y haga clic en Aceptar. Cuando finalice la inscripción, haga clic en Finalizar.

      

Tras una inscripción correcta, aparecen dos certificados en Certificados - Usuario actual -> Personal -> Certificados, como se muestra en la siguiente captura de pantalla.

Paso 4: Configurar los servidores IIS de Web Studio

En cada servidor de Web Studio, siga estos pasos para configurar IIS para la autenticación con tarjeta inteligente:

1. Habilite la Autenticación de asignación de certificados de cliente para la máquina de Web Studio.

   El elemento <clientCertificateMappingAuthentication> no está disponible en la instalación predeterminada de IIS 7 y versiones posteriores. Para obtener más información sobre la instalación y la habilitación, consulte este artículo de Microsoft.

2. Inicie el Administrador de IIS en la máquina de Web Studio.

3. Habilite la Autenticación de certificados de cliente de Active Directory para la máquina. Los pasos detallados son los siguientes:

   1. Seleccione la máquina en el panel izquierdo y haga doble clic en Autenticación.

      

   2. Habilite la Autenticación de certificados de cliente de Active Directory.

      

4. Configure el módulo de back-end de Web Studio para un protocolo HTTPS más seguro con autenticación de certificados de cliente:

   1. Vaya a Sitios > Sitio web predeterminado > Studio > Backend > Smartcard y, a continuación, haga doble clic en Configuración SSL en la sección IIS.

      

   2. Seleccione Requerir para Certificados de cliente.

      

   3. Vuelva a Sitios > Sitio web predeterminado > Studio > Backend > Tarjeta inteligente y, a continuación, haga doble clic en Editor de configuración en la sección IIS.

      

   4. Asegúrese de que /clientCertificateMappingAuthentication esté habilitado.

      

5. (Solo Windows 2022) Deshabilite TLS 3.1 a través de TCP. Los pasos detallados son los siguientes:

   1. Vaya a Sitios > Sitio web predeterminado.
   2. Haga clic en Editar sitio > Enlace.

   3. En el cuadro de diálogo Enlaces de sitio que aparece, seleccione el registro https y, a continuación, haga clic en Editar.

      

   4. En el cuadro de diálogo Editar enlace de sitio que aparece, seleccione Deshabilitar TLS 1.3 a través de TCP y, a continuación, haga clic en Aceptar.

      

Es bueno saberlo:

El backend de Web Studio es un módulo de Web Studio que proporciona las siguientes funciones:

• Autenticación con tarjeta inteligente.
• Recuperación de tokens portadores de FMA del servicio de orquestación mediante la autenticación integrada de Windows.

Paso 5 (Opcional) Configurar delegaciones de autenticación para Web Studio

Cuando Web Studio y los Delivery Controllers están instalados en servidores diferentes, debe configurar delegaciones para cada servidor de Web Studio a los Delivery Controllers para los servicios HOST y HTTPS.

Siga estos pasos para completar la tarea en cada servidor de Web Studio:

1. Importar el certificado HTTPS de orquestación de Delivery Controller™
2. Configurar la delegación para el servidor de Web Studio
3. （Opcional) Configurar la delegación para la cuenta de servicio del servidor IIS de Web Studio

Importar el certificado HTTPS de orquestación de Delivery Controller

En el servidor de Web Studio, importe el certificado Delivery Controller Orchestration HTTPS a Trusted Root Certification Authorities. Los pasos detallados son los siguientes:

1. Inicie Configuración > Administrar certificados de equipo.

2. Haga clic con el botón secundario en Trusted Root Certification Authorities > Certificados y seleccione Todas las tareas > Importar.

   

3. Siga las instrucciones en pantalla para importar el certificado Delivery Controller Orchestration HTTPS.

Configurar la delegación para el servidor de Web Studio

En el controlador de dominio, configure la delegación para el servidor de Web Studio al Delivery Controller para los servicios HOST y HTTP. Siga estos pasos para completar la tarea:

1. En el controlador de dominio, inicie el Centro de administración de Active Directory.
2. Localice la cuenta de equipo del servidor de Web Studio para la que desea configurar la delegación (por ejemplo, Dan002).

3. Haga clic con el botón derecho en la cuenta, seleccione Propiedades y, a continuación, complete los siguientes pasos:

   

   1. Vaya a la ficha Delegación.

      

   2. Seleccione Confiar en este usuario para la delegación solo a los servicios especificados > Usar cualquier protocolo de autenticación.
   3. Haga clic en Agregar para especificar a qué servicios se puede delegar esta cuenta de equipo.
   4. En el cuadro de diálogo Agregar servicio que aparece, haga clic en Agregar usuarios u equipos para localizar el nombre del equipo del Delivery Controller (por ejemplo, Dan001).
   5. Seleccione los servicios HOST y HTTP y, a continuación, haga clic en Aceptar.

Los resultados de la configuración se muestran en la siguiente captura de pantalla.

(Opcional) Configurar la delegación para la cuenta de servicio del servidor IIS de Web Studio

Si ha configurado una cuenta de servicio para el servidor IIS de Web Studio, también debe configurar la delegación para esta cuenta de servicio al Delivery Controller para los servicios HOST y HTTP. Con esta delegación establecida, el servidor de Web Studio puede usar su cuenta de servicio para suplantar al usuario actual de tarjeta inteligente para acceder al Delivery Controller para los servicios HOST y HTTP. Siga estos pasos para completar la configuración:

1. En el controlador de dominio, inicie el Centro de administración de Active Directory.
2. Busque la cuenta de usuario del servidor IIS de Web Studio (cuenta de servicio) para la que quiere configurar la delegación (por ejemplo, svr-stud-002).
3. Haga clic con el botón derecho en la cuenta y seleccione Propiedades.
4. Siga el procedimiento descrito en el paso 3 de Configurar la delegación para el servidor de Web Studio para delegar la cuenta de servicio del servidor IIS de Web Studio en el Delivery Controller para los servicios HOST y HTTP.

Los resultados de la configuración se muestran en la siguiente captura de pantalla.

Paso 6: Habilitar la autenticación con tarjeta inteligente para Web Studio

Siga estos pasos para habilitar la autenticación con tarjeta inteligente para Web Studio:

1. Inicie sesión en Web Studio y seleccione Configuración en el panel izquierdo.
2. Seleccione Autenticación con tarjeta inteligente o Credenciales de dominio o autenticación con tarjeta inteligente, según sea necesario.

3. Haga clic en Aplicar.