Product Documentation

Tarjetas inteligentes

Sep 02, 2016

Las tarjetas inteligentes y otras tecnologías equivalentes se admiten si se ajustan a las directrices descritas en este artículo.  Para usar tarjetas inteligentes con XenApp o XenDesktop:

  • Debe conocer las directivas de seguridad de la empresa relacionadas con el uso de tarjetas inteligentes. Estas directivas pueden, por ejemplo, indicar cómo se proporcionan las tarjetas inteligentes a los usuarios y cómo estos deben protegerlas. Es posible que algunos aspectos de estas directivas deban evaluarse de nuevo en un entorno XenApp o XenDesktop.
  • Debe determinar los tipos de dispositivos de usuario, sistemas operativos y aplicaciones publicadas que deben usarse con las tarjetas inteligentes.
  • Debe familiarizarse con la tecnología de las tarjetas inteligentes y el proveedor de hardware y software de tarjetas inteligentes que haya elegido.
  • Debe saber cómo implementar certificados digitales en un entorno distribuido.

Tipos de tarjetas inteligentes

Las tarjetas inteligentes de empresa y de consumidor tienen las mismas dimensiones, los mismos conectores eléctricos y se insertan en los mismos lectores de tarjetas inteligentes.

Las tarjetas inteligentes de empresa contienen certificados digitales,  admiten el inicio de sesión Windows y se pueden usar con aplicaciones para la firma digital y el cifrado de documentos y correos. XenApp y XenDesktop admiten esos usos.

En cambio, las tarjetas inteligentes de consumidor no contienen certificados digitales (sino un secreto compartido); y admiten pagos (como una tarjeta de crédito de chip y firma o de chip y código secreto). No admiten inicios de sesión Windows ni aplicaciones típicas Windows,  por lo que se necesitan aplicaciones Windows especiales y una infraestructura de software adecuada (que incluya, por ejemplo, una conexión a una red de tarjetas de pago).  Póngase en contacto con su representante de Citrix para obtener información acerca del respaldo que reciben esas aplicaciones específicas en XenApp o XenDesktop.

Para tarjetas inteligentes de empresa, existen opciones equivalentes que son compatibles y se pueden utilizar de una forma similar.

  • Un token USB equivalente a una tarjeta inteligente se conecta directamente a un puerto USB. Esos tokens USB tienen normalmente el tamaño de una unidad flash USB, pero pueden ser tan pequeños como la tarjeta SIM de un teléfono móvil. Aparecen como la combinación de una tarjeta inteligente y un lector USB de tarjetas inteligentes.
  • Una tarjeta inteligente virtual que utiliza el módulo de plataforma segura (Trusted Platform Module) de Windows aparece como una tarjeta inteligente.  Esas tarjetas inteligentes virtuales se admiten en Windows 8 y Windows 10 con Citrix Receiver 4.3 como versión mínima.
    • Las versiones de XenApp y XenDesktop que sean anteriores a 7.6 FP3 no admiten tarjetas inteligentes virtuales.
    • Para obtener más información acerca de las tarjetas inteligentes virtuales, consulte Virtual Smart Card Overview.

Nota: El término “tarjeta inteligente virtual” también se utiliza para designar un certificado digital que se almacena simplemente en el equipo del usuario. Esos certificados digitales no son estrictamente equivalentes a tarjetas inteligentes.

El respaldo para tarjeta inteligente de XenApp y XenDesktop está basado en las especificaciones estándar Personal Computer/Smart Card (PC/SC) de Microsoft. Requisito mínimo: las tarjetas inteligentes y los dispositivos de tarjeta inteligente deben ser compatibles con el sistema operativo Windows subyacente y deben estar aprobados por Microsoft Windows Hardware Quality Labs (WHQL) para utilizarse en equipos con sistemas operativos Windows válidos. Consulte la documentación de Microsoft para obtener información adicional acerca de la compatibilidad de hardware de PC/SC.  Existen otros tipos de dispositivos de usuario que pueden cumplir el estándar PS/SC. Para obtener más información, consulte el programa Citrix Ready en http://www.citrix.com/ready/.

Por lo general, se necesita un controlador de dispositivo independiente para la tarjeta inteligente o equivalente de cada proveedor.  Sin embargo, si las tarjetas inteligentes cumplen un estándar como Personal Identity Verification (PIV) de NIST, se puede usar un solo controlador de dispositivo para una gama de tarjetas inteligentes. El controlador del dispositivo debe instalarse tanto en el dispositivo del usuario como en Virtual Delivery Agent (VDA),  se incluye a menudo en el paquete de middleware de la tarjeta inteligente, disponible de un socio de Citrix. Ese paquete ofrece funciones avanzadas.  El controlador del dispositivo también puede describirse como un minicontrolador, un proveedor de servicios de cifrado (CSP) o un proveedor de almacenamiento de claves (KSP).

Citrix ha probado las siguientes combinaciones de tarjeta inteligente con middleware para sistemas Windows como ejemplos representativos de su tipo. Sin embargo, también se pueden utilizar otras tarjetas inteligentes y otro middleware. Para obtener más información acerca de tarjetas inteligentes y middleware compatibles con Citrix, consulte http://www.citrix.com/ready.

Middleware

Tarjetas válidas

ActivClient 7.0 (modo DoD habilitado)

Tarjeta DoD CAC

ActivClient 7.0 en modo PIV

Tarjeta NIST PIV

Minicontrolador de Microsoft

Tarjeta NIST PIV

Minicontrolador GemAlto para tarjeta .NET

GemAlto .NET v2+

Controlador nativo de Microsoft

Tarjetas inteligentes virtuales (TPM)

Para obtener más información sobre el uso de tarjetas inteligentes con otros tipos de dispositivo, consulte la documentación de Citrix Receiver referente al dispositivo concreto. Para obtener más información sobre el uso de PIV con XenDesktop, consulte Configuring Citrix XenDesktop 7.6 and NetScaler Gateway 10.5 with PIV Smart Card Authentication.

Para obtener más información sobre el uso de tarjetas inteligentes con otros tipos de dispositivo, consulte la documentación de Citrix Receiver referente al dispositivo concreto.

Acceso con Remote PC

El uso de tarjetas inteligentes está respaldado solo para el acceso remoto a PC físicos de oficina con Windows 10, Windows 8 o Windows 7; no se admiten tarjetas inteligentes para PC de oficina con Windows XP.

Las siguientes tarjetas inteligentes se han probado con el acceso con Remote PC:

Middleware

Tarjetas válidas

Minicontrolador Gemalto .NET

Gemalto .NET v2+

ActivIdentity ActivClient 6.2

NIST PIV

ActivIdentity ActivClient 6.2

CAC

Minicontrolador de Microsoft

NIST PIV

Controlador nativo de Microsoft

Tarjetas inteligentes virtuales

 

Tipos de lectores de tarjetas inteligentes

El lector de tarjetas inteligentes se puede integrar en el dispositivo del usuario, o bien se puede conectar al dispositivo del usuario (normalmente mediante USB o Bluetooth).  Se admiten los lectores de tarjetas con contacto que cumplan con la especificación de dispositivos de interfaz de tarjetas inteligentes/chips USB (CCID). Contienen una ranura donde el usuario debe introducir o pasar la tarjeta inteligente. El estándar ZKA (Zentraler Kredit Ausschuss o Comité central de crédito) define cuatro clases de lectores de tarjeta con contacto.  

  • Los lectores de tarjetas inteligentes de clase 1 son los más comunes, y normalmente solo contienen una ranura. Por norma general, los lectores de tarjetas inteligentes de clase 1 se admiten con un controlador de dispositivo CCID estándar que se suministra con el sistema operativo.
  • Los lectores de tarjetas inteligentes de clase 2 constan, además, de un teclado seguro al que no se puede acceder desde el dispositivo de usuario.  Los lectores de tarjeta inteligente de clase 2 pueden estar integrados en un teclado que contenga a su vez un teclado numérico seguro. Para lectores de tarjeta inteligente de clase 2, póngase en contacto con su representante de Citrix. Puede ser necesario un controlador de dispositivo específico del lector para habilitar la función de teclado numérico seguro.
  • Los lectores de tarjetas inteligentes de clase 3 contienen, además, una pantalla segura.  Esos lectores de tarjetas inteligentes no se respaldan.
  • Los lectores de tarjetas inteligentes de clase 4 contienen, además, un módulo de transacción segura. Los lectores de tarjetas inteligentes de clase 4 no se respaldan.

Nota: La clase que tenga el lector de tarjetas inteligentes no tiene que ver con la clase de dispositivo USB.

Los lectores de tarjeta inteligente deben instalarse con el controlador de dispositivo correspondiente en el dispositivo de usuario. 

Experiencia de usuario

El respaldo para tarjetas inteligentes está integrado en XenApp y XenDesktop mediante un canal virtual ICA/HDX determinado para tarjetas inteligentes que está habilitado de forma predeterminada.

Importante: No utilice la redirección de USB genérico para lectores de tarjetas inteligentes, ya que  está inhabilitada de forma predeterminada para lectores de tarjeta inteligente y no se respalda si se habilita.

Es posible utilizar varias tarjetas inteligentes y varios lectores en el mismo dispositivo de usuario pero, si se utiliza la autenticación PassThrough, solo debe insertarse una tarjeta inteligente cuando el usuario inicie un escritorio virtual o una aplicación. Cuando se utiliza una tarjeta inteligente en una aplicación (por ejemplo, para las funciones de cifrado o firma digital), es posible que aparezcan solicitudes adicionales para insertar una tarjeta inteligente o introducir un PIN. Esto puede suceder cuando se inserta más de una tarjeta inteligente al mismo tiempo.

  • Si se les solicita a los usuarios que inserten una tarjeta inteligente cuando la tarjeta inteligente ya se encuentra en el lector, deben seleccionar Cancelar.
  • Si se solicita el PIN a los usuarios, deben introducirlo de nuevo.

Si está utilizando aplicaciones alojadas ejecutadas en Windows Server 2008 o 2008 R2 y con tarjetas inteligentes que requieren el Proveedor base de servicios de cifrado para tarjetas inteligentes de Microsoft, es posible que, si un usuario ejecuta una transacción de tarjeta inteligente, se bloqueen los demás usuarios que utilizan una tarjeta inteligente en el proceso de inicio de sesión. Para obtener más información y una revisión hotfix para este problema, consulte http://support.microsoft.com/kb/949538.

Puede restablecer los PIN con un sistema de administración de tarjetas o alguna herramienta del proveedor.

Antes de implementar tarjetas inteligentes

  • Obtenga un controlador de dispositivo para el lector de tarjetas inteligentes e instálelo en el dispositivo de usuario. Muchos lectores de tarjetas inteligentes pueden usar el controlador de dispositivo CCID que proporciona Microsoft.
  • Obtenga un controlador de dispositivo y el software de proveedor de servicios de cifrado (CSP) del proveedor de la tarjeta inteligente e instálelos en los dispositivos de usuario y escritorios virtuales. El controlador y el software CSP deben ser compatibles con XenApp y XenDesktop; consulte la documentación del proveedor para comprobarlo. Para los escritorios virtuales con tarjetas inteligentes que admiten y usan el modelo de minicontroladores, los minicontroladores de tarjeta inteligente deberían descargarse automáticamente, pero pueden obtenerse en http://catalog.update.microsoft.com o del proveedor. Además, si se necesita middleware de PKCS #11, puede obtenerlo del proveedor de tarjetas.
  • Importante: Se recomienda instalar y probar los controladores y el software CSP en un equipo físico antes de instalar el software de Citrix.
  • Agregue la URL de Citrix Receiver para Web a la lista de sitios de confianza para los usuarios que trabajan con tarjetas inteligentes en Internet Explorer con Windows 10. En Windows 10, Internet Explorer no se ejecuta en el modo protegido de forma predeterminada para los sitios de confianza.
  • Asegúrese de que la infraestructura de clave pública (PKI) está configurada correctamente. Esto incluye comprobar que la asignación de certificados a cuentas está configurada correctamente para el entorno de Active Directory y que la validación de certificados de usuario puede realizarse correctamente.
  • Compruebe que su implementación cumple los requisitos del sistema de los demás componentes de Citrix utilizados con tarjetas inteligentes, incluidos Citrix Receiver y StoreFront.
  • Compruebe que tiene acceso a los siguientes servidores de su sitio:
    • El controlador de dominio de Active Directory para la cuenta de usuario que está asociada con un certificado de inicio de sesión de la tarjeta inteligente
    • Delivery Controller
    • Citrix StoreFront
    • Citrix NetScaler Gateway/Citrix Access Gateway 10.x
    • VDA
    • (Optativo para acceso con Remote PC): Microsoft Exchange Server

Habilitación del uso de tarjetas inteligentes

Paso 1: Proporcione tarjetas inteligentes a los usuarios de acuerdo con su directiva de emisión de tarjetas.

Paso 2: (Opcional) Configure las tarjetas inteligentes para habilitar usuarios para el acceso con Remote PC.

Paso 3: Instale y configure el Delivery Controller y StoreFront (si no están ya instalados) para la comunicación remota con tarjetas inteligentes.

Paso 4: Habilite StoreFront para el uso de tarjetas inteligentes. Para obtener más información, consulte Configuración de la autenticación con tarjeta inteligente en la documentación de StoreFront.

Paso 5: Habilite NetScaler Gateway o Access Gateway para el uso de tarjetas inteligentes. Para obtener más información, consulte Configuración de la autenticación y la autorización y Configuración del acceso de tarjetas inteligentes con la Interfaz Web en la documentación de NetScaler.

Paso 6: Habilite VDAs para el uso de tarjetas inteligentes.

  • Compruebe que el VDA tiene las aplicaciones y las actualizaciones necesarias.
  • Instale el middleware.
  • Configure la comunicación remota de la tarjeta inteligente, habilite la comunicación de datos de la tarjeta inteligente entre Citrix Receiver de un dispositivo de usuario y una sesión de escritorio virtual.

Paso 7: Habilite los dispositivos de usuario (incluidas las máquinas que estén o no estén unidas a un dominio) para el uso de tarjetas inteligentes. Para obtener más información, consulte Configuración de la autenticación con tarjeta inteligente en la documentación de StoreFront.

  • Importe el certificado raíz ý el certificado de emisión de la entidad de certificación en el almacén de claves del dispositivo.
  • Instale el middleware del proveedor de la tarjeta inteligente.
  • Instale y configure Citrix Receiver para Windows; importe icaclient.adm mediante la Consola de administración de directivas de grupo y habilite la autenticación con tarjeta inteligente.

Paso 8: Realice pruebas en la implementación. Compruebe que la implementación está correctamente configurada iniciando un escritorio virtual con la tarjeta inteligente de un usuario de prueba. Pruebe todos los mecanismos de acceso posibles (por ejemplo, el acceso al escritorio a través de Internet Explorer y Citrix Receiver).