Documentazione dei prodotti
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Visualizza PDF

Imposta l’autenticazione tramite smart card per Web Studio

November 5, 2024
Grazie al contributo di: 
C C

In questo articolo vengono descritti i passaggi necessari per configurare e abilitare l’autenticazione tramite smart card per Web Studio:

Passaggio 1: installare il driver della smart card

Fase 2: emettere certificati per gli utenti di smart card

Fase 3: registrare i certificati per gli utenti di smart card

Passaggio 4: configurare i server IIS di Web Studio

Passaggio 5 (facoltativo) Configurare le deleghe di autenticazione per Web Studio

Passaggio 6: abilitare l’autenticazione tramite smart card per Web Studio

Nota:

L’autenticazione tramite smart card è supportata solo per gli utenti dello stesso dominio Active Directory con server Web Studio.

Passaggio 1: installare il driver della smart card

Installare il driver della smart card sui seguenti computer:

  • Controller di dominio in cui è installato il servizio certificati.
  • Server Web Studio
  • Macchine che gli utenti finali utilizzano per accedere a Web Studio
  • Macchine che utilizzi per registrare i certificati per gli utenti di smart card

I driver delle smart card variano a seconda del fornitore. Ad esempio, se si utilizza l’hardware della smartcard fornito da ITS, scaricare i driver SaftNet da https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers.

Fase 2: emettere certificati per gli utenti di smart card

Nota:

I seguenti passaggi sono forniti a titolo di esempio per guidarti attraverso il processo.

Sul tuo controller di dominio, segui questi passaggi per completare l’attività:

  1. Accedi al tuo controller di dominio e apri Certification Authority.

    iniziare ca

  2. Duplica il modello Enrollment Agent . I passaggi dettagliati sono i seguenti:

    1. Fare clic con il pulsante destro del mouse su Modelli di certificato e selezionare Gestisci.

      gestire i modelli di certificato

    2. Fare clic con il pulsante destro del mouse su Agente di iscrizione e selezionare Duplica modello.

    3. Nella scheda Crittografia , seleziona Microsoft Base Smart Card Crypto Provider, quindi fai clic su OK. Un modello denominato Copia dell’agente di iscrizione appare nell’elenco Modelli di certificato .

      modelli di certificato>crittografia

    4. Nella scheda Nome oggetto , assicurati che l’opzione Includi e-mail nel nome oggetto non sia selezionata.

      Modelli di certificato > Nome soggetto

  3. Verificare i permessi del modello Smartcard User . I passaggi dettagliati sono i seguenti:
    1. Fare clic con il pulsante destro del mouse su Modelli di certificato e selezionare Gestisci.
    2. Fare clic con il pulsante destro del mouse su Utente Smartcard e selezionare Proprietà.

    3. Nella scheda Sicurezza , verifica che Amministratori di dominio abbia selezionato le seguenti autorizzazioni, come mostrato di seguito:

      Modelli di certificato > sicurezza

  4. Emettere certificati per smart card. I passaggi dettagliati sono i seguenti:
    1. Fare clic con il pulsante destro del mouse su Modelli di certificato e quindi selezionare Nuovo > modello da emettere.
    2. Selezionare Copia dell’agente di iscrizione e Utente smartcard.
    3. Fare clic su OK.

Fase 3: registrare i certificati per gli utenti di smart card

Nota:

I seguenti passaggi sono forniti a titolo di esempio per guidarti attraverso il processo.

Su un computer Windows fisico aggiunto al dominio, seguire questi passaggi per registrare i certificati per ciascuna smart card:

  1. Preparare una macchina Windows fisica aggiunta al dominio per l’utilizzo della registrazione:
    1. Assicurarsi che il driver della smart card sia installato.
    2. Inserire una smart card nel dispositivo.
    3. Accedere al computer utilizzando l’account utente che si desidera assegnare alla smart card.
  2. Aggiungere lo snap-in Certificati alla macchina preparata nel passaggio 1. I passaggi dettagliati sono i seguenti:
    1. Apri mmc.
    2. Fare clic su File e quindi su Aggiungi/Rimuovi snap-in.
    3. Nella finestra Aggiungi o rimuovi snap-in visualizzata, seleziona Certificati e quindi fai clic su Aggiungi >.
    4. Nella finestra di dialogo che appare, seleziona Il mio account utente e clicca su Fine.

    5. Fare clic su OK.

      Aggiungi certificato

  3. Richiedi nuovi certificati per lo snap-in Certificati . I passaggi dettagliati sono i seguenti:

    1. Vai a Certificati - Utente corrente > Personale, fai clic con il pulsante destro del mouse su Certificati, quindi seleziona Tutte le attività > Richiedi nuovo certificato.

      ![richiedi nuovo certificato](/it-it/citrix-virtual-apps-desktops/media/ add-certificate-2.png)

    2. Nella finestra di dialogo Richiedi certificati visualizzata, seleziona Copia dell’agente di iscrizione e Utente smartcard.

      gestire i modelli di certificato

    3. Nella finestra di dialogo soprastante, fare clic su Dettagli per Utente Smartcard e quindi fare clic su Proprietà. Viene visualizzata la finestra di dialogo Proprietà certificato . richiedi nuovo certificato > proprietà
    4. Nella scheda Chiave privata , espandi Provider del servizio crittografico, deseleziona Microsoft Strong Cryptographic Provider (crittografia), seleziona solo Microsoft Base Smart Card Crypto Provider (crittografia), quindi fai clic su OK.
    5. Fai clic su Iscriviti.
    6. Nella finestra di dialogo Sicurezza di Windows visualizzata, immetti il codice PIN della smart card e fai clic su OK. Una volta completata l’iscrizione, fare clic su Fine. certificato di iscrizione

Dopo la registrazione corretta, compaiono due certificati sotto Certificati - Utente corrente -> Personale -> Certificati, come mostrato nella seguente schermata. gestire i modelli di certificato

Passaggio 4: configurare i server IIS di Web Studio

Su ciascun server Web Studio, seguire questi passaggi per configurare IIS per l’autenticazione tramite smart card:

  1. Abilita Autenticazione mappatura certificati client per la macchina Web Studio**.

    L’elemento <clientCertificateMappingAuthentication> non è disponibile nell’installazione predefinita di IIS 7 e versioni successive. Per ulteriori informazioni sull’installazione e l’abilitazione, vedere questo articolo Microsoft.

  2. Avviare IIS Manager sul computer Web Studio.

  3. Abilitare Autenticazione del certificato client Active Directory per la macchina. I passaggi dettagliati sono i seguenti:

    1. Selezionare la macchina nel riquadro di sinistra e fare doppio clic su Autenticazione.

      IIS > Autenticazione

    2. Abilita Autenticazione del certificato client di Active Directory.

      IIS > abilita autenticazione certificato client AC

  4. Configurare il modulo Backend di Web Studio per un protocollo HTTPS più sicuro con autenticazione del certificato client:

    1. Vai a Siti > Sito Web predefinito > Studio > Backend > Smartcard, quindi fai doppio clic su Impostazioni SSL nella sezione IIS .

      Modulo backend IIS smartcard SSL

    2. Seleziona Richiedi per Certificati client.

      Smartcard SSL backend del server IIS richiesta

    3. Ritorna a Siti > Sito Web predefinito > Studio > Backend > Smartcard e quindi fai doppio clic su Editor di configurazione nella sezione IIS .

      IIS > Editor di configurazione

    4. Assicurati che /clientCertificateMappingAuthentication sia abilitato.

      abilita l'autenticazione del client

  5. (Solo Windows 2022) Disabilitare TLS 3.1 su TCP. I passaggi dettagliati sono i seguenti:

    1. Vai a Siti > Sito Web predefinito.
    2. Fare clic su Modifica sito > Associazione.

    3. Nella finestra di dialogo Associazioni sito visualizzata, seleziona il record https , quindi fai clic su Modifica.

      Windows 2022 solo https modifica

    4. Nella finestra di dialogo Modifica binding sito visualizzata, seleziona Disabilita TLS 1.3 su TCP e quindi fai clic su OK.

      Windows 2022 solo modifica https disabilitata

Considerazioni importanti:

Web Studio Backend è un modulo di Web Studio che fornisce le seguenti funzioni:

  • Autenticazione tramite smart card.
  • Recupero dei token di portatore FMA dal servizio di orchestrazione mediante autenticazione Windows integrata.

Passaggio 5 (facoltativo) Configurare le deleghe di autenticazione per Web Studio

Se Web Studio e Delivery Controller sono installati su server diversi, è necessario configurare le deleghe per ciascun server Web Studio ai Delivery Controller per i servizi HOST e HTTPS.

Per completare l’attività per ogni server Web Studio, seguire questi passaggi:

  1. Importa il certificato HTTPS di Delivery Controller Orchestration
  2. Configurare la delega per il server Web Studio
  3. Configurare la delega per l’account di servizio del server IIS di Web Studio

Importa il certificato HTTPS di Delivery Controller Orchestration

Sul server Web Studio, importare il certificato Delivery Controller Orchestration HTTPS in Trusted Root Certification Authorities. I passaggi dettagliati sono i seguenti:

  1. Avvia Impostazioni > Gestisci certificati computer.

  2. Fare clic con il pulsante destro del mouse su Autorità di certificazione radice attendibili > Certificati e selezionare Tutte le attività > Importa.

    Importa certificato DDC

  3. Seguire le istruzioni sullo schermo per importare il certificato Delivery Controller Orchestration HTTPS .

Configurare la delega per il server Web Studio

Sul controller di dominio, configurare la delega per il server Web Studio al Delivery Controller per i servizi HOST e HTTP. Per completare l’attività, segui questi passaggi:

  1. Sul controller di dominio, avviare Centro amministrativo di Active Directory.
  2. Individua l’account del computer ** del server Web Studio che desideri configurare per la delega (ad esempio,, Dan002).

  3. Fare clic con il pulsante destro del mouse sull’account e selezionare Proprietà.

    configurare la delega per il server dello studio

    1. Vai alla scheda Delega ** .

      ![inserisci configurazione delega](/en-us/citrix-virtual-apps-desktops/media/ kerbero-delegation-2.png)

    2. Seleziona Considera attendibile questo utente per la delega solo ai servizi specificati > Utilizza qualsiasi protocollo di autenticazione.
    3. Fare clic su Aggiungi per specificare a quali servizi può essere delegato questo account computer.
    4. Nella finestra di dialogo Aggiungi servizio visualizzata, fare clic su Aggiungi utenti o computer per individuare il nome computer del Delivery Controller (ad esempio, Dan001).
    5. Selezionare i servizi HOST e HTTP , quindi fare clic su OK.

I risultati della configurazione sono mostrati nello screenshot seguente. gestire i modelli di certificato

Configurare la delega per l’account di servizio del server IIS di Web Studio

Se hai configurato un account di servizio per il server IIS di Web Studio, devi anche configurare la delega per questo account di servizio al Delivery Controller per i servizi HOST e HTTP. Una volta stabilita questa delega, il server Web Studio può utilizzare il proprio account di servizio per impersonare l’utente corrente della smart card e accedere ai servizi HOST e HTTP del gruppo di recapito. Per completare la configurazione, seguire questi passaggi:

  1. Sul controller di dominio, avviare Centro amministrativo di Active Directory.
  2. Individua l’account utente ** che vuoi configurare per la delega (ad esempio,, svr-stud-002).
  3. Fare clic con il pulsante destro del mouse sull’account e selezionare Proprietà.
  4. Seguire la procedura descritta nel passaggio 2 per delegare l’account del servizio IIS di Web Studio ai servizi HOST e HTTP del Delivery Controller.

I risultati della configurazione sono mostrati nello screenshot seguente.

gestire i modelli di certificato

Passaggio 6: abilitare l’autenticazione tramite smart card per Web Studio

Per abilitare l’autenticazione tramite smart card per Web Studio, seguire questi passaggi:

  1. Accedi a Web Studio e seleziona Impostazioni nel riquadro a sinistra.
  2. Selezionare Autenticazione smart card o Credenziali di dominio + Autenticazione smart card a seconda delle esigenze.
  3. Selezionare Autenticazione tramite smart card o Credenziali di dominio o autenticazione tramite smart card a seconda delle esigenze.

  4. Fare clic su Applica.

    gestire i modelli di certificato

Imposta l’autenticazione tramite smart card per Web Studio
November 5, 2024
Grazie al contributo di: 
C C
November 5, 2024
Grazie al contributo di: 
C C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.