Citrix Virtual Apps and Desktops

Tarjetas inteligentes

Las tarjetas inteligentes y otras tecnologías equivalentes se admiten si se ajustan a las directrices descritas en este artículo. Para usar tarjetas inteligentes con Citrix Virtual Apps o Citrix Virtual Desktops:

  • Debe conocer las directivas de seguridad de la empresa relacionadas con el uso de tarjetas inteligentes. Estas directivas pueden, por ejemplo, indicar cómo se proporcionan las tarjetas inteligentes a los usuarios y cómo estos deben protegerlas. Es posible que algunos aspectos de estas directivas deban evaluarse de nuevo en un entorno Citrix Virtual Apps o Citrix Virtual Desktops.
  • Debe determinar los tipos de dispositivos de usuario, sistemas operativos y aplicaciones publicadas que deben usarse con las tarjetas inteligentes.
  • Debe familiarizarse con la tecnología de las tarjetas inteligentes y el proveedor de hardware y software de tarjetas inteligentes que haya elegido.
  • Debe saber cómo implementar certificados digitales en un entorno distribuido.

Nota:

La inscripción con tarjeta inteligente no es compatible con tarjetas inteligentes rápidas. Es posible que la inscripción con tarjeta inteligente funcione cuando la tarjeta inteligente rápida está inhabilitada, pero depende del tipo de tarjeta inteligente y del middleware. Para obtener información sobre la integración con Citrix Virtual Apps and Desktops y la compatibilidad para la inscripción con tarjetas inteligentes a través de sesiones virtuales, póngase en contacto con su proveedor de tarjetas inteligentes y middleware.

Tipos de tarjetas inteligentes

Las tarjetas inteligentes de empresa y de consumidor tienen las mismas dimensiones, los mismos conectores eléctricos y se insertan en los mismos lectores de tarjetas inteligentes.

Las tarjetas inteligentes para empresa contienen certificados digitales. Estas tarjetas inteligentes admiten el inicio de sesión Windows, y también se pueden usar con aplicaciones para la firma digital y el cifrado de documentos y correos electrónicos. Citrix Virtual Apps and Desktops admiten estos usos.

En cambio, las tarjetas inteligentes de consumidor no contienen certificados digitales, sino un secreto compartido. Esas tarjetas inteligentes pueden admitir pagos (como una tarjeta de crédito de chip y firma o de chip y código secreto). No admiten inicios de sesión Windows ni aplicaciones típicas Windows. Por lo que se necesitan aplicaciones Windows especiales y una infraestructura de software adecuada (que incluya, por ejemplo, una conexión a una red de tarjetas de pago). Póngase en contacto con su representante de Citrix para obtener información acerca de la compatibilidad con esas aplicaciones especializadas en Citrix Virtual Apps o Citrix Virtual Desktops.

Para tarjetas inteligentes de empresa, existen opciones equivalentes que son compatibles y se pueden utilizar de una forma similar.

  • Un token USB equivalente a una tarjeta inteligente se conecta directamente a un puerto USB. Esos tokens USB tienen normalmente el tamaño de una unidad flash USB, pero pueden ser tan pequeños como la tarjeta SIM de un teléfono móvil. Aparecen como la combinación de una tarjeta inteligente y un lector USB de tarjetas inteligentes.
  • Una tarjeta inteligente virtual que utiliza el módulo de plataforma segura (Trusted Platform Module) de Windows aparece como una tarjeta inteligente. Esas tarjetas inteligentes virtuales se admiten en Windows 8 y Windows 10 con la aplicación Citrix Workspace (Citrix Receiver 4.3 como versión mínima).
    • Las versiones de Citrix Virtual Apps and Desktops (antes XenApp y XenDesktop) que sean anteriores a XenApp y XenDesktop 7.6 FP3 no admiten las tarjetas inteligentes virtuales.
    • Para obtener más información acerca de las tarjetas inteligentes virtuales, consulte Virtual Smart Card Overview.

    Nota: El término “tarjeta inteligente virtual” también se utiliza para designar un certificado digital que se almacena en el equipo del usuario. Esos certificados digitales no son estrictamente equivalentes a tarjetas inteligentes.

La funcionalidad de tarjetas inteligentes de Citrix Virtual Apps and Desktops está basada en las especificaciones estándar Personal Computer/Smart Card (PC/SC) de Microsoft. Requisito mínimo: las tarjetas inteligentes y los dispositivos de tarjeta inteligente deben ser compatibles con el sistema operativo Windows subyacente y deben estar aprobados por Microsoft Windows Hardware Quality Labs (WHQL) para utilizarse en equipos con sistemas operativos Windows válidos. Consulte la documentación de Microsoft para obtener más información sobre el cumplimiento normativo de hardware de PC/SC. Existen otros tipos de dispositivos de usuario que podrían cumplir el estándar PS/SC. Para obtener más información, consulte el programa Citrix Ready.

Por lo general, se necesita un controlador de dispositivo independiente para la tarjeta inteligente o equivalente de cada proveedor. Sin embargo, si las tarjetas inteligentes cumplen un estándar como Personal Identity Verification (PIV) de NIST, es posible usar un solo controlador de dispositivo para una gama de tarjetas inteligentes. El controlador del dispositivo debe instalarse tanto en el dispositivo del usuario como en Virtual Delivery Agent (VDA). Ese controlador de dispositivo se incluye a menudo en el paquete de middleware de la tarjeta inteligente, disponible de un socio de Citrix. Ese paquete ofrece funciones avanzadas. Es posible que el controlador del dispositivo también se describa como un minicontrolador, un proveedor de servicios de cifrado (CSP) o un proveedor de almacenamiento de claves (KSP).

Citrix ha probado las siguientes combinaciones de tarjeta inteligente con middleware para sistemas Windows como ejemplos representativos de su tipo. Sin embargo, también se pueden utilizar otras tarjetas inteligentes y otro middleware. Para obtener más información acerca de tarjetas inteligentes y middleware compatibles con Citrix, consulte http://www.citrix.com/ready.

Middleware Tarjetas válidas
Minicontrolador Gemalto para tarjeta .NET Gemalto .NET v2+

Para obtener información sobre el uso de tarjetas inteligentes con otros tipos de dispositivo, consulte la documentación de la aplicación Citrix Workspace referente al dispositivo concreto.

Acceso con Remote PC

El uso de tarjetas inteligentes se admite solamente en el acceso remoto a PC físicos de oficina con Windows 10, Windows 8 o Windows 7.

Las siguientes tarjetas inteligentes se han probado con el acceso con Remote PC:

Middleware Tarjetas válidas
Minicontrolador Gemalto .NET Gemalto .NET v2+

Tarjeta inteligente rápida

La tarjeta inteligente rápida es una mejora con respecto a la redirección HDX existente de tarjetas inteligentes basada en PC/SC. Mejora el rendimiento cuando se usan tarjetas inteligentes en redes WAN con latencia alta. Cuando la latencia es alta, la mejora del rendimiento puede ser significativa (por ejemplo, 15 segundos para un inicio de sesión rápido en Windows con tarjeta inteligente en lugar de más de 1 minuto con la redirección de tarjeta inteligente basada en PC/SC).

La tarjeta inteligente rápida está habilitada de forma predeterminada en máquinas host con agentes VDA de Windows compatibles actualmente. Para inhabilitar la tarjeta inteligente rápida en el lado del host (por ejemplo, con fines de diagnóstico), establezca el parámetro de Registro “CryptographicRedirectionDisable” en cualquier valor distinto de cero:

HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->

En el lado del cliente, para habilitar la tarjeta inteligente rápida, incluya el parámetro ICA SmartCardCryptographicRedirection en el archivo default.ica del sitio de StoreFront asociado:

[WFClient]
SmartCardCryptographicRedirection=On

Además, en el lado del cliente, se puede forzar la activación o la desactivación de la tarjeta inteligente rápida (por ejemplo, para fines de diagnóstico) con estos parámetros del Registro:

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (como un valor DWORD que no sea cero)

O bien:

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (como un valor DWORD que no sea cero)

El subárbol del Registro de 32 bits debe especificarse (mediante WOW6432Node) si la máquina cliente es de 64 bits.

Limitaciones:

  • Solo la aplicación Citrix Workspace para Windows admite tarjetas inteligentes rápidas. Si configura tarjetas inteligentes rápidas en el archivo default.ica, las aplicaciones Citrix Workspace que no son para Windows seguirán funcionando con la redirección existente de PC/SC.
  • Los únicos casos de doble salto donde se admiten las tarjetas inteligentes rápidas son ICA > ICA con la tarjeta inteligente rápida habilitada en ambos saltos. Como la tarjeta inteligente rápida no admite casos de doble salto ICA> RDP, esas situaciones no funcionan.
  • La tarjeta inteligente rápida no es compatible con Cryptography Next Generation. Por lo tanto, la tarjeta inteligente rápida no admite tarjetas inteligentes de criptografía de curva elíptica (Elliptic Curve Cryptography o ECC).
  • La tarjeta inteligente rápida solo admite operaciones de contenedor de claves de solo lectura.
  • La tarjeta inteligente rápida no admite el cambio del PIN de la tarjeta inteligente.

A partir de la versión 2203 de VDA y de la versión 2202 de la aplicación Citrix Workspace para Windows, la tarjeta inteligente rápida es compatible con Cryptography Next Generation (CNG). Además, las tarjetas inteligentes de criptografía de curva elíptica (Elliptic Curve Cryptography o ECC) son compatibles con estas curvas: P-256, P-384, P-521 bits, tanto para ECDSA como para ECDH.

A partir de la versión 2203 de VDA, la tarjeta inteligente rápida permite almacenar en la caché el PIN de la tarjeta inteligente entre las aplicaciones de la misma sesión de inicio del usuario. Por ejemplo, si el almacenamiento en caché de PIN de sesión está habilitado y el usuario final ha proporcionado previamente el PIN de la tarjeta inteligente a Outlook, cuando se usa Word para firmar un documento, Word usa el PIN de la tarjeta inteligente ya almacenado en la caché (enviado a Outlook). El almacenamiento en caché de PIN de sesión mejora la experiencia de usuario porque reduce las veces que el usuario tiene que introducir el PIN de su tarjeta inteligente. Además, si quiere, si la tarjeta inteligente se usa para iniciar sesión en el VDA, el PIN de inicio de sesión de la tarjeta inteligente de Windows se puede guardar en la caché de PIN de sesión. Esto puede mejorar aún más la experiencia de usuario.

El almacenamiento en caché de PIN de sesión está inhabilitado de forma predeterminada Se puede habilitar y controlar con estos parámetros del Registro en el VDA:

En HKLM\SOFTWARE\Citrix\SmartCard:

  • EnablePinSessionCache como DWORD (valor que no sea cero para habilitarlo)
  • EnableLogonPinSessionCache como DWORD (valor que no sea cero para habilitarlo)
  • PinSessionCacheEntryStaleTimeout como DWORD (segundos antes de que una entrada se vuelva obsoleta; el valor predeterminado es 1 hora)

Tipos de lectores de tarjetas inteligentes

Es posible integrar el lector de tarjetas inteligentes en el dispositivo del usuario, o bien conectarse al dispositivo del usuario (normalmente mediante USB o Bluetooth). Se admiten los lectores de tarjetas con contacto que cumplen con la especificación de los dispositivos de interfaz de tarjetas inteligentes/chips USB (CCID). Contienen una ranura donde el usuario debe introducir o pasar la tarjeta inteligente. El estándar (Deutsche Kreditwirtschaft DK) define cuatro clases de lectores de tarjetas con contacto.

  • Los lectores de tarjetas inteligentes de clase 1 son los más comunes, y normalmente contienen una ranura. Por norma general, los lectores de tarjetas inteligentes de clase 1 se admiten con un controlador de dispositivo CCID estándar que se suministra con el sistema operativo.
  • Los lectores de tarjetas inteligentes de clase 2 constan, además, de un teclado seguro al que no se puede acceder desde el dispositivo de usuario. Es posible que los lectores de tarjetas inteligentes de clase 2 estén integrados en un teclado que contenga a su vez un teclado numérico seguro. Para lectores de tarjetas inteligentes de clase 2, contacte con su representante de Citrix. Es posible que se necesite un controlador de dispositivo específico del lector para habilitar la función de teclado numérico seguro.
  • Los lectores de tarjetas inteligentes de clase 3 contienen, además, una pantalla segura. Los lectores de tarjetas inteligentes de clase 3 no se admiten.
  • Los lectores de tarjetas inteligentes de clase 4 contienen, además, un módulo de transacción segura. Los lectores de tarjetas inteligentes de clase 4 no se admiten.

Nota:

La clase que tenga el lector de tarjetas inteligentes no tiene que ver con la clase de dispositivo USB.

Los lectores de tarjetas inteligentes deben instalarse con el controlador de dispositivo correspondiente en el dispositivo de usuario.

Para obtener información sobre los lectores admitidos de tarjetas inteligentes, consulte la documentación de la aplicación Citrix Workspace que utilice. En la documentación de la aplicación Citrix Workspace, las versiones admitidas se incluyen en el artículo de tarjetas inteligentes o en el artículo de requisitos del sistema.

Experiencia de usuario

La funcionalidad de tarjetas inteligentes está integrada en Citrix Virtual Apps and Desktops mediante un canal virtual ICA/HDX determinado para tarjetas inteligentes que está habilitado de forma predeterminada.

Importante: No utilice la redirección de USB genérico para lectores de tarjetas inteligentes. Esta funcionalidad está inhabilitada de forma predeterminada para lectores de tarjetas inteligentes y no se admite si se habilita.

Es posible utilizar varias tarjetas inteligentes y varios lectores en el mismo dispositivo de usuario, pero si la autenticación PassThrough se encuentra en uso solo debe insertarse una tarjeta inteligente cuando el usuario inicia un escritorio virtual o una aplicación. Cuando se utiliza una tarjeta inteligente en una aplicación (por ejemplo, para las funciones de cifrado o firma digital), es posible que aparezcan otras solicitudes para insertar una tarjeta inteligente o introducir un PIN. Esto puede suceder cuando se inserta más de una tarjeta inteligente al mismo tiempo.

  • Si se les solicita a los usuarios que inserten una tarjeta inteligente cuando la tarjeta inteligente ya se encuentra en el lector, deben seleccionar Cancelar.
  • Si se solicita el PIN a los usuarios, deben introducirlo de nuevo.

Puede restablecer los PIN con un sistema de administración de tarjetas o alguna herramienta del proveedor.

Importante:

En una sesión de Citrix Virtual Apps o Citrix Virtual Desktops, no se admite el uso de una tarjeta inteligente con la aplicación Conexión a Escritorio remoto de Microsoft. Esto a veces se describe como un uso de “doble salto”.

Antes de implementar tarjetas inteligentes

  • Obtenga un controlador de dispositivo para el lector de tarjetas inteligentes e instálelo en el dispositivo de usuario. Muchos lectores de tarjetas inteligentes pueden usar el controlador de dispositivo CCID que proporciona Microsoft.
  • Obtenga un controlador de dispositivo y el software de proveedor de servicios de cifrado (CSP) del proveedor de la tarjeta inteligente e instálelos en los dispositivos de usuario y escritorios virtuales. El controlador y el software CSP deben ser compatibles con Citrix Virtual Apps and Desktops; consulte la documentación del proveedor para comprobarlo. Para los escritorios virtuales con tarjetas inteligentes que admiten y usan el modelo de minicontroladores, esos minicontroladores de tarjeta inteligente se descargan automáticamente, aunque pueden obtenerse del proveedor o en http://catalog.update.microsoft.com. Además, si se necesita middleware de PKCS #11, puede obtenerlo del proveedor de tarjetas.
  • Importante: Se recomienda instalar y probar los controladores y el software CSP en un equipo físico antes de instalar el software de Citrix.
  • Agregue la URL de Citrix Receiver para Web a la lista de sitios de confianza para los usuarios que usan tarjetas inteligentes en Internet Explorer con Windows 10. En Windows 10, Internet Explorer no se ejecuta en el modo protegido de forma predeterminada para los sitios de confianza.
  • Asegúrese de que la infraestructura de clave pública (PKI) está configurada correctamente. Esto incluye comprobar que la asignación de certificados a cuentas está configurada correctamente para el entorno de Active Directory y que la validación de certificados de usuario puede realizarse correctamente.
  • Compruebe que su implementación cumple los requisitos del sistema de los demás componentes de Citrix utilizados con tarjetas inteligentes, incluidos la aplicación Citrix Workspace y StoreFront.
  • Compruebe que tiene acceso a los siguientes servidores de su sitio:
    • El controlador de dominio de Active Directory para la cuenta de usuario que está asociada a un certificado de inicio de sesión de la tarjeta inteligente
    • Delivery Controller
    • Citrix StoreFront
    • Citrix Gateway/Citrix Access Gateway 10.x
    • VDA
    • (Optativo para acceso con Remote PC) Microsoft Exchange Server

Habilitar el uso de tarjetas inteligentes

Paso 1. Proporcione tarjetas inteligentes a los usuarios de acuerdo con su directiva de emisión de tarjetas.

Paso 2. (Opcional) Configure las tarjetas inteligentes para permitir a los usuarios el acceso con Remote PC.

Paso 3. Instale y configure el Delivery Controller y StoreFront (si no están ya instalados) para la comunicación remota con tarjetas inteligentes.

Paso 4. Habilite StoreFront para el uso de tarjetas inteligentes. Para obtener más información, consulte Configuración de la autenticación con tarjeta inteligente en la documentación de StoreFront.

Paso 5. Habilite Citrix Gateway o Access Gateway para el uso de tarjetas inteligentes. Para obtener más información, consulte Configuración de la autenticación y la autorización y Configuración del acceso de tarjetas inteligentes con la Interfaz Web en la documentación de NetScaler.

Paso 6. Habilite agentes VDA para el uso de tarjetas inteligentes.

  • Compruebe que el VDA tiene las aplicaciones y las actualizaciones necesarias.
  • Instale el middleware.
  • Configure la comunicación remota con tarjetas inteligentes, habilite la comunicación de datos de la tarjeta inteligente entre la aplicación Citrix Workspace presente en un dispositivo de usuario y una sesión de escritorio virtual.

Paso 7. Habilite los dispositivos de usuario (incluidas las máquinas que estén o no estén unidas a un dominio) para el uso de tarjetas inteligentes. Para obtener más información, consulte Configuración de la autenticación con tarjeta inteligente en la documentación de StoreFront.

  • Importe el certificado raíz y el certificado de emisión de la entidad de certificación en el almacén de claves del dispositivo.
  • Instale el middleware del proveedor de la tarjeta inteligente.
  • Instale y configure la aplicación Citrix Workspace para Windows; importe icaclient.adm mediante la Consola de administración de directivas de grupo y habilite la autenticación con tarjeta inteligente.

Paso 8: Realice pruebas en la implementación. Compruebe que la implementación está correctamente configurada iniciando un escritorio virtual con la tarjeta inteligente de un usuario de prueba. Pruebe todos los mecanismos de acceso posibles (por ejemplo, el acceso al escritorio a través de Internet Explorer y la aplicación Citrix Workspace).

Seguimiento del recuento de inserciones del lector de tarjetas inteligentes

Con la función de control remoto de tarjetas inteligentes, puede hacer un seguimiento del número de veces que se ha insertado o retirado una tarjeta inteligente de un lector mediante la función SCardGetStatusChange. La función actualiza una matriz de estructuras de datos SCARD_READERSTATE, una por cada lector que supervise. El byte alto (16 bits) del campo dwEventState de cada SCARD_READERSTATE contiene el recuento del lector. Para obtener más información, consulte los artículos de Microsoft SCardGetStatusChangeA function y SCARD_READERSTATEA structure.

El parámetro para notificación del recuento de inserciones del lector está inhabilitado de forma predeterminada. Para habilitarlo, agregue la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard

Nombre: EnableReaderInsertCountReporting

Tipo: DWORD

Valor: Un valor distinto de cero

Cuando la sesión se desconecta, el recuento se vuelve a poner a cero.

La notificación del recuento de inserciones del lector es compatible con middleware de tarjetas inteligentes de terceros.