Cartes à puce
Les cartes à puce et les technologies équivalentes sont prises en charge conformément aux directives décrites dans cet article. Pour utiliser des cartes à puce avec Citrix Virtual Apps ou Citrix Virtual Desktops™ :
- Comprenez la politique de sécurité de votre organisation concernant l’utilisation des cartes à puce. Ces politiques peuvent, par exemple, indiquer comment les cartes à puce sont émises et comment les utilisateurs doivent les protéger. Certains aspects de ces politiques pourraient devoir être réévalués dans un environnement Citrix Virtual Apps™ ou Citrix Virtual Desktops.
- Déterminez les types de périphériques utilisateur, les systèmes d’exploitation et les applications publiées à utiliser avec les cartes à puce.
- Familiarisez-vous avec la technologie des cartes à puce ainsi qu’avec le matériel et le logiciel du fournisseur de cartes à puce que vous avez choisi.
- Sachez comment déployer des certificats numériques dans un environnement distribué.
Remarque :
L’enrôlement de carte à puce n’est pas pris en charge avec fast smart card. L’enrôlement de carte à puce peut fonctionner lorsque fast smart card est désactivé, mais cela dépend du type de carte à puce et du middleware. Contactez votre fournisseur de cartes à puce et de middleware pour obtenir des informations sur leur intégration avec Citrix Virtual Apps and Desktops et la prise en charge de l’enrôlement de carte à puce via des sessions virtuelles.
Types de cartes à puce
Les cartes à puce d’entreprise et grand public ont les mêmes dimensions, les mêmes connecteurs électriques et s’adaptent aux mêmes lecteurs de cartes à puce.
Les cartes à puce à usage professionnel contiennent des certificats numériques. Ces cartes à puce prennent en charge l’ouverture de session Windows et peuvent également être utilisées avec des applications pour la signature numérique et le chiffrement de documents et d’e-mails. Citrix Virtual Apps and Desktops™ prend en charge ces utilisations.
Les cartes à puce à usage grand public ne contiennent pas de certificats numériques ; elles contiennent un secret partagé. Ces cartes à puce peuvent prendre en charge les paiements (tels qu’une carte de crédit à puce et signature ou à puce et code PIN). Elles ne prennent pas en charge l’ouverture de session Windows ni les applications Windows typiques. Des applications Windows spécialisées et une infrastructure logicielle appropriée (y compris, par exemple, une connexion à un réseau de cartes de paiement) sont nécessaires pour utiliser ces cartes à puce. Contactez votre représentant Citrix pour obtenir des informations sur la prise en charge de ces applications spécialisées sur Citrix Virtual Apps ou Citrix Virtual Desktops.
Pour les cartes à puce d’entreprise, il existe des équivalents compatibles qui peuvent être utilisés de manière similaire.
- Un jeton USB équivalent à une carte à puce se connecte directement à un port USB. Ces jetons USB ont généralement la taille d’une clé USB, mais peuvent être aussi petits qu’une carte SIM utilisée dans un téléphone mobile. Ils apparaissent comme la combinaison d’une carte à puce et d’un lecteur de carte à puce USB.
- Une carte à puce virtuelle utilisant un module de plateforme sécurisée (TPM) Windows apparaît comme une carte à puce. Ces cartes à puce virtuelles sont prises en charge pour Windows 8 et Windows 10, à l’aide de l’application Citrix Workspace (version minimale Citrix Receiver 4.3).
- Les versions de Citrix Virtual Apps and Desktops (anciennement XenApp et XenDesktop) antérieures à XenApp et XenDesktop 7.6 FP3 ne prennent pas en charge les cartes à puce virtuelles.
- Pour plus d’informations sur les cartes à puce virtuelles, consultez Présentation des cartes à puce virtuelles.
Remarque : Le terme « carte à puce virtuelle » est également utilisé pour décrire un certificat numérique stocké sur l’ordinateur de l’utilisateur. Ces certificats numériques ne sont pas strictement équivalents aux cartes à puce.
La prise en charge des cartes à puce par Citrix Virtual Apps and Desktops est basée sur les spécifications standard Microsoft Personal Computer/Smart Card (PC/SC). Une exigence minimale est que les cartes à puce et les périphériques de carte à puce doivent être pris en charge par le système d’exploitation Windows sous-jacent et doivent être approuvés par les Microsoft Windows Hardware Quality Labs (WHQL) pour être utilisés sur des ordinateurs exécutant des systèmes d’exploitation Windows éligibles. Consultez la documentation Microsoft pour plus d’informations sur la conformité matérielle PC/SC. D’autres types de périphériques utilisateur peuvent être conformes à la norme PS/SC. Pour plus d’informations, reportez-vous au programme Citrix Ready.
Généralement, un pilote de périphérique distinct est nécessaire pour la carte à puce ou l’équivalent de chaque fournisseur. Toutefois, si les cartes à puce sont conformes à une norme telle que la norme NIST Personal Identity Verification (PIV), il peut être possible d’utiliser un seul pilote de périphérique pour une gamme de cartes à puce. Le pilote de périphérique doit être installé à la fois sur le périphérique utilisateur et sur le Virtual Delivery Agent (VDA). Le pilote de périphérique est souvent fourni dans le cadre d’un package de middleware de carte à puce disponible auprès d’un partenaire Citrix ; le package de middleware de carte à puce offre des fonctionnalités avancées. Le pilote de périphérique peut également être décrit comme un fournisseur de services cryptographiques (CSP), un fournisseur de stockage de clés (KSP) ou un minipilote.
Les combinaisons de cartes à puce et de middleware suivantes pour les systèmes Windows ont été testées par Citrix comme exemples représentatifs de leur type. Cependant, d’autres cartes à puce et middleware peuvent également être utilisés. Pour plus d’informations sur les cartes à puce et les middleware compatibles Citrix, consultez http://www.citrix.com/ready.
| Middleware | Cartes correspondantes |
|---|---|
| Gemalto Mini Driver pour carte .NET | Gemalto .NET v2+ |
Pour plus d’informations sur l’utilisation des cartes à puce avec d’autres types de périphériques, consultez la documentation de l’application Citrix Workspace™ pour ce périphérique.
Accès PC distant
Les cartes à puce sont prises en charge uniquement pour l’accès à distance aux PC de bureau physiques exécutant Windows 10, Windows 8 ou Windows 7.
Les cartes à puce suivantes ont été testées avec l’accès PC distant :
| Middleware | Cartes correspondantes |
|---|---|
| Minidriver Gemalto .NET | Gemalto .NET v2+ |
Carte à puce rapide
La carte à puce rapide est une amélioration par rapport à la redirection de carte à puce HDX basée sur PC/SC existante. Elle améliore les performances lorsque les cartes à puce sont utilisées dans des situations de WAN à latence élevée. Lorsque la latence est élevée, l’amélioration des performances peut être significative (par exemple, 15 secondes pour une ouverture de session Windows par carte à puce rapide contre plus d’une minute avec la redirection de carte à puce basée sur PC/SC).
La carte à puce rapide est activée par défaut sur les machines hôtes dotées de VDA Windows actuellement pris en charge. Pour désactiver la carte à puce rapide côté hôte (par exemple, à des fins de diagnostic), définissez le paramètre de registre « Disable Cryptographic Redirection » sur toute valeur non nulle :
HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->
Côté client, pour activer la carte à puce rapide, incluez le paramètre ICA SmartCardCryptographicRedirection dans le fichier default.ica du site StoreFront associé :
[WFClient]
SmartCardCryptographicRedirection=On
En outre, côté client, la carte à puce rapide peut être activée ou désactivée de force (par exemple, à des fins de diagnostic) avec les paramètres de registre suivants :
- HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (en tant que DWORD non nul)
Ou
- HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (en tant que DWORD non nul)
La ruche de registre 32 bits doit être spécifiée (en utilisant WOW6432Node) si la machine cliente est 64 bits.
Limitations :
- Seule l’application Citrix Workspace pour Windows prend en charge la carte à puce rapide. Si vous configurez des cartes à puce rapides dans le fichier default.ica, les applications Citrix Workspace qui ne sont pas pour Windows utilisent toujours la redirection PC/SC existante.
- Les seuls scénarios à double saut pris en charge par la carte à puce rapide sont ICA® > ICA avec la carte à puce rapide activée sur les deux sauts. Étant donné que la carte à puce rapide ne prend pas en charge les scénarios à double saut ICA > RDP, ces scénarios ne fonctionnent pas.
- La carte à puce rapide ne prend pas en charge la cryptographie de nouvelle génération. Ainsi, la carte à puce rapide ne prend pas en charge les cartes à puce de cryptographie à courbe elliptique (ECC).
- La carte à puce rapide prend en charge uniquement les opérations de conteneur de clés en lecture seule.
- La carte à puce rapide ne prend pas en charge la modification du code PIN de la carte à puce.
À partir de la version 2203 du VDA et de la version 2202 de l’application Citrix Workspace pour Windows (ou ultérieure), la carte à puce rapide est compatible avec la cryptographie de nouvelle génération (CNG). De plus, les cartes à puce de cryptographie à courbe elliptique (ECC) sont prises en charge avec les courbes suivantes : P-256, P-384, P-521 bits, pour ECDSA et ECDH.
À partir de la version 2203 du VDA, la carte à puce rapide permet de mettre en cache le code PIN de la carte à puce entre les applications d’une même session de connexion utilisateur. Par exemple, si le cache de code PIN de session est activé et que l’utilisateur final a déjà fourni son code PIN à Outlook via sa carte à puce, lorsque Word est ensuite utilisé pour signer un document, Word utilise le code PIN déjà mis en cache (celui soumis à Outlook). Le cache de code PIN de session améliore l’expérience utilisateur en réduisant le nombre de fois où l’utilisateur doit saisir le code PIN de sa carte à puce. De plus, si la carte à puce est utilisée pour se connecter au VDA, le code PIN de connexion Windows de la carte à puce peut éventuellement être enregistré dans le cache de code PIN de session. Cela peut améliorer davantage l’expérience utilisateur.
Le cache de code PIN de session est désactivé par défaut. Il peut être activé et contrôlé à l’aide des paramètres de registre suivants sur le VDA :
Dans HKLM\SOFTWARE\Citrix\SmartCard :
-
EnablePinSessionCacheen tant que DWORD (non nul pour activer) -
EnableLogonPinSessionCacheen tant que DWORD (non nul pour activer) -
PinSessionCacheEntryStaleTimeouten tant que DWORD (nombre de secondes avant qu’une entrée ne devienne obsolète, la valeur par défaut est 1 heure)
Types de lecteurs de cartes à puce
Un lecteur de carte à puce peut être intégré à l’appareil utilisateur ou être connecté séparément à l’appareil utilisateur (généralement via USB ou Bluetooth). Les lecteurs de cartes à contact conformes à la spécification USB Chip/Smart Card Interface Devices (CCID) sont pris en charge. Ils contiennent une fente ou un emplacement dans lequel l’utilisateur insère la carte à puce. La norme Deutsche Kreditwirtschaft (DK) définit quatre classes de lecteurs de cartes à contact.
- Les lecteurs de cartes à puce de classe 1 sont les plus courants et contiennent généralement une fente. Les lecteurs de cartes à puce de classe 1 sont pris en charge, généralement avec un pilote de périphérique CCID standard fourni avec le système d’exploitation.
- Les lecteurs de cartes à puce de classe 2 contiennent également un clavier sécurisé qui ne peut pas être accédé par l’appareil utilisateur. Les lecteurs de cartes à puce de classe 2 peuvent être intégrés à un clavier doté d’un clavier sécurisé intégré. Pour les lecteurs de cartes à puce de classe 2, contactez votre représentant Citrix ; un pilote de périphérique spécifique au lecteur peut être nécessaire pour activer la fonctionnalité de clavier sécurisé.
- Les lecteurs de cartes à puce de classe 3 contiennent également un écran sécurisé. Les lecteurs de cartes à puce de classe 3 ne sont pas pris en charge.
- Les lecteurs de carte à puce de classe 4 contiennent également un module de transaction sécurisé. Les lecteurs de carte à puce de classe 4 ne sont pas pris en charge.
Remarque :
La classe du lecteur de carte à puce n’est pas liée à la classe de périphérique USB.
Les lecteurs de carte à puce doivent être installés avec un pilote de périphérique correspondant sur le périphérique utilisateur.
Pour plus d’informations sur les lecteurs de carte à puce pris en charge, consultez la documentation de l’application Citrix Workspace que vous utilisez. Dans la documentation de l’application Citrix Workspace, les versions prises en charge sont répertoriées dans un article sur les cartes à puce ou dans l’article sur la configuration système requise.
Expérience utilisateur
La prise en charge des cartes à puce est intégrée à Citrix Virtual Apps and Desktops, à l’aide d’un canal virtuel de carte à puce ICA/HDX spécifique qui est activé par défaut.
Important : N’utilisez pas la redirection USB générique pour les lecteurs de carte à puce. Ceci est désactivé par défaut pour les lecteurs de carte à puce et n’est pas pris en charge si activé.
Plusieurs cartes à puce et plusieurs lecteurs peuvent être utilisés sur le même périphérique utilisateur, mais si l’authentification pass-through est utilisée, une seule carte à puce doit être insérée lorsque l’utilisateur démarre un bureau virtuel ou une application. Lorsqu’une carte à puce est utilisée au sein d’une application (par exemple, pour la signature numérique ou les fonctions de chiffrement), d’autres invites peuvent apparaître pour insérer une carte à puce ou saisir un code PIN. Cela peut se produire si plusieurs cartes à puce ont été insérées en même temps.
- Si les utilisateurs sont invités à insérer une carte à puce alors que la carte à puce est déjà dans le lecteur, ils doivent sélectionner Annuler.
- Si les utilisateurs sont invités à saisir le code PIN, ils doivent saisir à nouveau le code PIN.
Vous pouvez réinitialiser les codes PIN à l’aide d’un système de gestion de cartes ou d’un utilitaire fournisseur.
Important :
Dans une session Citrix Virtual Apps ou Citrix Virtual Desktops, l’utilisation d’une carte à puce avec l’application Microsoft Remote Desktop Connection n’est pas prise en charge. Ceci est parfois décrit comme une utilisation en « double saut ».
Avant de déployer des cartes à puce
- Obtenez un pilote de périphérique pour le lecteur de carte à puce et installez-le sur le périphérique utilisateur. De nombreux lecteurs de carte à puce peuvent utiliser le pilote de périphérique CCID fourni par Microsoft.
- Obtenez un pilote de périphérique et un logiciel de fournisseur de services cryptographiques (CSP) auprès de votre fournisseur de cartes à puce, et installez-les sur les périphériques utilisateur et les bureaux virtuels. Le pilote et le logiciel CSP doivent être compatibles avec Citrix Virtual Apps and Desktops ; vérifiez la documentation du fournisseur pour la compatibilité. Pour les bureaux virtuels utilisant des cartes à puce qui prennent en charge et utilisent le modèle de mini-pilote, les mini-pilotes de carte à puce se téléchargent automatiquement, mais vous pouvez également les obtenir à partir de http://catalog.update.microsoft.com ou auprès de votre fournisseur. De plus, si un middleware PKCS#11 est requis, obtenez-le auprès du fournisseur de la carte.
- Important : Citrix recommande d’installer et de tester les pilotes et le logiciel CSP sur un ordinateur physique avant d’installer le logiciel Citrix.
- Ajoutez l’URL de Citrix Receiver™ pour Web à la liste des sites de confiance pour les utilisateurs qui utilisent des cartes à puce dans Internet Explorer avec Windows 10. Sous Windows 10, Internet Explorer ne s’exécute pas en mode protégé par défaut pour les sites de confiance.
- Assurez-vous que votre infrastructure à clé publique (PKI) est configurée de manière appropriée. Cela inclut de s’assurer que le mappage certificat-compte est correctement configuré pour l’environnement Active Directory et que la validation du certificat utilisateur peut être effectuée avec succès.
- Assurez-vous que votre déploiement répond aux exigences système des autres composants Citrix utilisés avec les cartes à puce, y compris Citrix Workspace app et StoreFront.
- Assurez l’accès aux serveurs suivants dans votre Site :
- Le contrôleur de domaine Active Directory pour le compte utilisateur associé à un certificat d’ouverture de session sur la carte à puce
- Delivery Controller™
- Citrix StoreFront
- Citrix Gateway/Citrix Access Gateway 10.x
- VDA
- (Facultatif pour l’accès PC distant) : Microsoft Exchange Server
Activer l’utilisation des cartes à puce
Étape 1. Délivrez des cartes à puce aux utilisateurs conformément à votre politique d’émission de cartes.
Étape 2. (Facultatif) Configurez les cartes à puce pour activer les utilisateurs pour l’accès au PC distant.
Étape 3. Installez et configurez le Delivery Controller et StoreFront (s’ils ne sont pas déjà installés) pour la redirection de carte à puce.
Étape 4. Activez StoreFront pour l’utilisation des cartes à puce. Pour plus de détails, consultez la section Configurer l’authentification par carte à puce dans la documentation StoreFront.
Étape 5. Activez Citrix Gateway/Access Gateway pour l’utilisation des cartes à puce. Pour plus de détails, consultez les sections Configuration de l’authentification et de l’autorisation et Configuration de l’accès par carte à puce avec l’interface Web dans la documentation NetScaler.
Étape 6. Activez les VDA pour l’utilisation des cartes à puce.
- Assurez-vous que le VDA dispose des applications et des mises à jour requises.
- Installez le middleware.
- Configurez la redirection de carte à puce, en activant la communication des données de carte à puce entre l’application Citrix Workspace sur un périphérique utilisateur et une session de bureau virtuel.
Étape 7. Activez les périphériques utilisateur (y compris les machines jointes ou non au domaine) pour l’utilisation des cartes à puce. Pour plus de détails, consultez la section Configurer l’authentification par carte à puce dans la documentation StoreFront.
- Importez le certificat racine de l’autorité de certification et le certificat de l’autorité de certification émettrice dans le magasin de clés du périphérique.
- Installez le middleware de carte à puce de votre fournisseur.
- Installez et configurez l’application Citrix Workspace pour Windows, en veillant à importer icaclient.adm à l’aide de la console de gestion des stratégies de groupe et à activer l’authentification par carte à puce.
Étape 8. Testez le déploiement. Assurez-vous que le déploiement est correctement configuré en lançant un bureau virtuel avec la carte à puce d’un utilisateur test. Testez tous les mécanismes d’accès possibles (par exemple, l’accès au bureau via Internet Explorer et l’application Citrix Workspace).
Suivre le nombre d’insertions de lecteurs de carte à puce
Avec la redirection de carte à puce, vous pouvez suivre le nombre de fois qu’une carte à puce a été insérée ou retirée d’un lecteur à l’aide de la fonction SCardGetStatusChange. La fonction met à jour un tableau de structures de données SCARD_READERSTATE, une pour chaque lecteur que vous surveillez. Le mot de poids fort (16 bits) du champ dwEventState de chaque SCARD_READERSTATE contient le nombre de lecteurs. Pour plus d’informations, consultez les articles Microsoft fonction SCardGetStatusChangeA et structure SCARD_READERSTATEA.
Le paramètre Rapport de nombre d’insertions de lecteur est désactivé par défaut. Pour activer le suivi, ajoutez la clé de registre suivante :
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard
Nom : EnableReaderInsertCountReporting
Type : DWORD
Valeur : Toute valeur non nulle
Lorsque la session se déconnecte, le compteur est remis à zéro.
Rapport de nombre d’insertions de lecteur est compatible avec les middlewares de carte à puce tiers.