Tarjetas inteligentes

Las tarjetas inteligentes y otras tecnologías equivalentes se admiten si se ajustan a las directrices descritas en este artículo. Para usar tarjetas inteligentes con Citrix Virtual Apps o Citrix Virtual Desktops:

  • Debe conocer las directivas de seguridad de la empresa relacionadas con el uso de tarjetas inteligentes. Estas directivas pueden, por ejemplo, indicar cómo se proporcionan las tarjetas inteligentes a los usuarios y cómo estos deben protegerlas. Es posible que algunos aspectos de estas directivas deban evaluarse de nuevo en un entorno Citrix Virtual Apps o Citrix Virtual Desktops.
  • Debe determinar los tipos de dispositivos de usuario, sistemas operativos y aplicaciones publicadas que deben usarse con las tarjetas inteligentes.
  • Debe familiarizarse con la tecnología de las tarjetas inteligentes y el proveedor de hardware y software de tarjetas inteligentes que haya elegido.
  • Debe saber cómo implementar certificados digitales en un entorno distribuido.

Tipos de tarjetas inteligentes

Las tarjetas inteligentes de empresa y de consumidor tienen las mismas dimensiones, los mismos conectores eléctricos y se insertan en los mismos lectores de tarjetas inteligentes.

Las tarjetas inteligentes para empresa contienen certificados digitales. Estas tarjetas inteligentes admiten el inicio de sesión Windows, y también se pueden usar con aplicaciones para la firma digital y el cifrado de documentos y correos electrónicos. Citrix Virtual Apps and Desktops admiten estos usos.

En cambio, las tarjetas inteligentes de consumidor no contienen certificados digitales, sino un secreto compartido. Esas tarjetas inteligentes pueden admitir pagos (como una tarjeta de crédito de chip y firma o de chip y código secreto). No admiten inicios de sesión Windows ni aplicaciones típicas Windows. Por lo que se necesitan aplicaciones Windows especiales y una infraestructura de software adecuada (que incluya, por ejemplo, una conexión a una red de tarjetas de pago). Póngase en contacto con su representante de Citrix para obtener información acerca del respaldo que reciben esas aplicaciones especializadas en Citrix Virtual Apps o Citrix Virtual Desktops.

Para tarjetas inteligentes de empresa, existen opciones equivalentes que son compatibles y se pueden utilizar de una forma similar.

  • Un token USB equivalente a una tarjeta inteligente se conecta directamente a un puerto USB. Esos tokens USB tienen normalmente el tamaño de una unidad flash USB, pero pueden ser tan pequeños como la tarjeta SIM de un teléfono móvil. Aparecen como la combinación de una tarjeta inteligente y un lector USB de tarjetas inteligentes.
  • Una tarjeta inteligente virtual que utiliza el módulo de plataforma segura (Trusted Platform Module) de Windows aparece como una tarjeta inteligente. Esas tarjetas inteligentes virtuales se admiten en Windows 8 y Windows 10 con la aplicación Citrix Workspace (Citrix Receiver 4.3 como versión mínima).
    • Las versiones de Citrix Virtual Apps and Desktops (antes XenApp y XenDesktop) que sean anteriores a XenApp y XenDesktop 7.6 FP3 no admiten las tarjetas inteligentes virtuales.
    • Para obtener más información acerca de las tarjetas inteligentes virtuales, consulte Virtual Smart Card Overview.

    Nota: El término “tarjeta inteligente virtual” también se utiliza para designar un certificado digital que se almacena simplemente en el equipo del usuario. Esos certificados digitales no son estrictamente equivalentes a tarjetas inteligentes.

El respaldo para tarjetas inteligentes de Citrix Virtual Apps and Desktops está basado en las especificaciones estándar Personal Computer/Smart Card (PC/SC) de Microsoft. Requisito mínimo: las tarjetas inteligentes y los dispositivos de tarjeta inteligente deben ser compatibles con el sistema operativo Windows subyacente y deben estar aprobados por Microsoft Windows Hardware Quality Labs (WHQL) para utilizarse en equipos con sistemas operativos Windows válidos. Consulte la documentación de Microsoft para obtener más información sobre el cumplimiento normativo de hardware de PC/SC. Existen otros tipos de dispositivos de usuario que pueden cumplir el estándar PS/SC. Para obtener más información, consulte el programa Citrix Ready.

Por lo general, se necesita un controlador de dispositivo independiente para la tarjeta inteligente o equivalente de cada proveedor. Sin embargo, si las tarjetas inteligentes cumplen un estándar como Personal Identity Verification (PIV) de NIST, se puede usar un solo controlador de dispositivo para una gama de tarjetas inteligentes. El controlador del dispositivo debe instalarse tanto en el dispositivo del usuario como en Virtual Delivery Agent (VDA). Ese controlador de dispositivo se incluye a menudo en el paquete de middleware de la tarjeta inteligente, disponible de un socio de Citrix. Ese paquete ofrece funciones avanzadas. El controlador del dispositivo también puede describirse como un minicontrolador, un proveedor de servicios de cifrado (CSP) o un proveedor de almacenamiento de claves (KSP).

Citrix ha probado las siguientes combinaciones de tarjeta inteligente con middleware para sistemas Windows como ejemplos representativos de su tipo. Sin embargo, también se pueden utilizar otras tarjetas inteligentes y otro middleware. Para obtener más información acerca de tarjetas inteligentes y middleware compatibles con Citrix, consulte http://www.citrix.com/ready.

Middleware Tarjetas válidas
ActivClient 7.0 (modo DoD habilitado) Tarjeta DoD CAC
ActivClient 7.0 en modo PIV Tarjeta NIST PIV
Minicontrolador de Microsoft Tarjeta NIST PIV
Minicontrolador GemAlto para tarjeta .NET GemAlto .NET v2+
Controlador nativo de Microsoft Tarjetas inteligentes virtuales (TPM)

Para obtener información sobre el uso de tarjetas inteligentes con otros tipos de dispositivo, consulte la documentación de la aplicación Citrix Workspace referente al dispositivo concreto.

Acceso con Remote PC

El uso de tarjetas inteligentes está respaldado solo para el acceso remoto a PC físicos de oficina con Windows 10, Windows 8 o Windows 7; no se admiten tarjetas inteligentes para PC de oficina con Windows XP.

Las siguientes tarjetas inteligentes se han probado con el acceso con Remote PC:

Middleware Tarjetas válidas
Minicontrolador GemAlto .NET Gemalto .NET v2+
ActivIdentity ActivClient 6.2 NIST PIV
ActivIdentity ActivClient 6.2 CAC
Minicontrolador de Microsoft NIST PIV
Controlador nativo de Microsoft Tarjetas inteligentes virtuales

Tarjeta inteligente rápida

La tarjeta inteligente rápida es una mejora con respecto a la redirección HDX existente de tarjetas inteligentes basada en PC/SC. Mejora el rendimiento cuando se usan tarjetas inteligentes en redes WAN con latencia alta.

La tarjeta inteligente rápida está habilitada de manera predeterminada en los hosts que ejecutan Windows Server 2012, Windows Server 2016 o Windows 10 (versión mínima). En el lado del cliente, para habilitar la tarjeta inteligente rápida, incluya el siguiente parámetro en el archivo default.ica del sitio StoreFront asociado:

[WFClient]
SmartCardCryptographicRedirection=On

Limitaciones:

  • Solo Citrix Receiver para Windows admite las tarjetas inteligentes rápidas. Si configura tarjetas inteligentes rápidas en el archivo default.ica, los Citrix Receivers que no son para Windows seguirán funcionando con la redirección existente de PC/SC.
  • Los únicos casos de doble salto donde se admiten las tarjetas inteligentes rápidas son ICA > ICA con la tarjeta inteligente rápida habilitada en ambos saltos. Como la tarjeta inteligente rápida no admite casos de doble salto ICA> RDP, esas situaciones no funcionan.
  • La tarjeta inteligente rápida no es compatible con Cryptography Next Generation. Por lo tanto, la tarjeta inteligente rápida no admite tarjetas inteligentes de criptografía de curva elíptica (Elliptic Curve Cryptography o ECC).
  • La tarjeta inteligente rápida solo admite operaciones de contenedor de claves de solo lectura. Por ejemplo, una tarjeta inteligente no puede registrarse con una tarjeta inteligente rápida.
  • La tarjeta inteligente rápida no admite el cambio del PIN de la tarjeta inteligente.

Tipos de lectores de tarjetas inteligentes

El lector de tarjetas inteligentes se puede integrar en el dispositivo del usuario, o bien se puede conectar al dispositivo del usuario (normalmente mediante USB o Bluetooth). Se admiten los lectores de tarjetas con contacto que cumplen con la especificación de los dispositivos de interfaz de tarjetas inteligentes/chips USB (CCID). Contienen una ranura donde el usuario debe introducir o pasar la tarjeta inteligente. El estándar (Deutsche Kreditwirtschaft DK) define cuatro clases de lectores de tarjetas con contacto.

  • Los lectores de tarjetas inteligentes de clase 1 son los más comunes, y normalmente solo contienen una ranura. Por norma general, los lectores de tarjetas inteligentes de clase 1 se admiten con un controlador de dispositivo CCID estándar que se suministra con el sistema operativo.
  • Los lectores de tarjetas inteligentes de clase 2 constan, además, de un teclado seguro al que no se puede acceder desde el dispositivo de usuario. Los lectores de tarjetas inteligentes de clase 2 pueden estar integrados en un teclado que contenga a su vez un teclado numérico seguro. Para lectores de tarjetas inteligentes de clase 2, póngase en contacto con su representante de Citrix. Puede ser necesario un controlador de dispositivo específico del lector para habilitar la función de teclado numérico seguro.
  • Los lectores de tarjetas inteligentes de clase 3 contienen, además, una pantalla segura. Los lectores de tarjetas inteligentes de clase 3 no se respaldan.
  • Los lectores de tarjetas inteligentes de clase 4 contienen, además, un módulo de transacción segura. Los lectores de tarjetas inteligentes de clase 4 no se respaldan.

Nota:

La clase que tenga el lector de tarjetas inteligentes no tiene que ver con la clase de dispositivo USB.

Los lectores de tarjetas inteligentes deben instalarse con el controlador de dispositivo correspondiente en el dispositivo de usuario.

Para obtener información sobre los lectores admitidos de tarjetas inteligentes, consulte la documentación de la aplicación Citrix Workspace que utilice. En la documentación de la aplicación Citrix Workspace, las versiones admitidas suelen incluirse en el artículo de tarjetas inteligentes o en el artículo de requisitos del sistema.

Experiencia de usuario

El respaldo para tarjetas inteligentes está integrado en Citrix Virtual Apps and Desktops mediante un canal virtual ICA/HDX determinado para tarjetas inteligentes que está habilitado de forma predeterminada.

Importante: No utilice la redirección USB genérica para lectores de tarjetas inteligentes. Esta funcionalidad está inhabilitada de forma predeterminada para lectores de tarjetas inteligentes y no se respalda si se habilita.

Es posible utilizar varias tarjetas inteligentes y varios lectores en el mismo dispositivo de usuario, pero si la autenticación PassThrough se encuentra en uso solo debe insertarse una tarjeta inteligente cuando el usuario inicia un escritorio virtual o una aplicación. Cuando se utiliza una tarjeta inteligente en una aplicación (por ejemplo, para las funciones de cifrado o firma digital), es posible que aparezcan solicitudes adicionales para insertar una tarjeta inteligente o introducir un PIN. Esto puede suceder cuando se inserta más de una tarjeta inteligente al mismo tiempo.

  • Si se les solicita a los usuarios que inserten una tarjeta inteligente cuando la tarjeta inteligente ya se encuentra en el lector, deben seleccionar Cancelar.
  • Si se solicita el PIN a los usuarios, deben introducirlo de nuevo.

Puede restablecer los PIN con un sistema de administración de tarjetas o alguna herramienta del proveedor.

Importante:

En una sesión de Citrix Virtual Apps o Citrix Virtual Desktops, no se admite el uso de una tarjeta inteligente con la aplicación Conexión a Escritorio remoto de Microsoft. Esto a veces se describe como un uso de “doble salto”.

Antes de implementar tarjetas inteligentes

  • Obtenga un controlador de dispositivo para el lector de tarjetas inteligentes e instálelo en el dispositivo de usuario. Muchos lectores de tarjetas inteligentes pueden usar el controlador de dispositivo CCID que proporciona Microsoft.
  • Obtenga un controlador de dispositivo y el software de proveedor de servicios de cifrado (CSP) del proveedor de la tarjeta inteligente e instálelos en los dispositivos de usuario y escritorios virtuales. El controlador y el software CSP deben ser compatibles con Citrix Virtual Apps and Desktops; consulte la documentación del proveedor para comprobarlo. Para los escritorios virtuales con tarjetas inteligentes que admiten y usan el modelo de minicontroladores, esos minicontroladores de tarjeta inteligente deberían descargarse automáticamente, aunque pueden obtenerse del proveedor o en http://catalog.update.microsoft.com. Además, si se necesita middleware de PKCS #11, puede obtenerlo del proveedor de tarjetas.
  • Importante: Se recomienda instalar y probar los controladores y el software CSP en un equipo físico antes de instalar el software de Citrix.
  • Agregue la URL de Citrix Receiver para Web a la lista de sitios de confianza para los usuarios que trabajan con tarjetas inteligentes en Internet Explorer con Windows 10. En Windows 10, Internet Explorer no se ejecuta en el modo protegido de forma predeterminada para los sitios de confianza.
  • Asegúrese de que la infraestructura de clave pública (PKI) está configurada correctamente. Esto incluye comprobar que la asignación de certificados a cuentas está configurada correctamente para el entorno de Active Directory y que la validación de certificados de usuario puede realizarse correctamente.
  • Compruebe que su implementación cumple los requisitos del sistema de los demás componentes de Citrix utilizados con tarjetas inteligentes, incluidos la aplicación Citrix Workspace y StoreFront.
  • Compruebe que tiene acceso a los siguientes servidores de su sitio:
    • El controlador de dominio de Active Directory para la cuenta de usuario que está asociada con un certificado de inicio de sesión de la tarjeta inteligente
    • Delivery Controller
    • Citrix StoreFront
    • Citrix Gateway/Citrix Access Gateway 10.x
    • VDA
    • (Optativo para acceso con Remote PC) Microsoft Exchange Server

Habilitar el uso de tarjetas inteligentes

Paso 1. Proporcione tarjetas inteligentes a los usuarios de acuerdo con su directiva de emisión de tarjetas.

Paso 2. (Opcional) Configure las tarjetas inteligentes para permitir a los usuarios el acceso con Remote PC.

Paso 3. Instale y configure el Delivery Controller y StoreFront (si no están ya instalados) para la comunicación remota con tarjetas inteligentes.

Paso 4. Habilite StoreFront para el uso de tarjetas inteligentes. Para obtener más información, consulte Configuración de la autenticación con tarjeta inteligente en la documentación de StoreFront.

Paso 5. Habilite Citrix Gateway o Access Gateway para el uso de tarjetas inteligentes. Para obtener más información, consulte Configuración de la autenticación y la autorización y Configuración del acceso de tarjetas inteligentes con la Interfaz Web en la documentación de NetScaler.

Paso 6. Habilite agentes VDA para el uso de tarjetas inteligentes.

  • Compruebe que el VDA tiene las aplicaciones y las actualizaciones necesarias.
  • Instale el middleware.
  • Configure la comunicación remota con tarjetas inteligentes, habilite la comunicación de datos de la tarjeta inteligente entre la aplicación Citrix Workspace presente en un dispositivo de usuario y una sesión de escritorio virtual.

Paso 7. Habilite los dispositivos de usuario (incluidas las máquinas que estén o no estén unidas a un dominio) para el uso de tarjetas inteligentes. Para obtener más información, consulte Configuración de la autenticación con tarjeta inteligente en la documentación de StoreFront.

  • Importe el certificado raíz y el certificado de emisión de la entidad de certificación en el almacén de claves del dispositivo.
  • Instale el middleware del proveedor de la tarjeta inteligente.
  • Instale y configure la aplicación Citrix Workspace para Windows; importe icaclient.adm mediante la Consola de administración de directivas de grupo y habilite la autenticación con tarjeta inteligente.

Paso 8. Realice pruebas en la implementación. Compruebe que la implementación está correctamente configurada iniciando un escritorio virtual con la tarjeta inteligente de un usuario de prueba. Pruebe todos los mecanismos de acceso posibles (por ejemplo, el acceso al escritorio a través de Internet Explorer y la aplicación Citrix Workspace).