Documentação de produtos
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Ver PDF

Configurar a autenticação por cartão inteligente para o Web Studio

January 23, 2026
Contribuição de: 
C

Este artigo descreve as etapas necessárias para configurar e habilitar a autenticação por cartão inteligente para o Web Studio:

Etapa 1: Instalar o driver do cartão inteligente

Etapa 2: Emitir certificados para usuários de cartão inteligente

Etapa 3: Registrar certificados para usuários de cartão inteligente

Etapa 4: Configurar os servidores IIS do Web Studio

Etapa 5 (Opcional): Configurar delegações de autenticação para o Web Studio

Etapa 6: Habilitar a autenticação por cartão inteligente para o Web Studio

Nota:

A autenticação por cartão inteligente é suportada apenas para usuários do mesmo domínio do Active Directory que os servidores do Web Studio.

Etapa 1: Instalar o driver do cartão inteligente

Instale o driver do cartão inteligente nas seguintes máquinas:

  • Controladores de Domínio onde o Serviço de Certificados está instalado.
  • Servidores do Web Studio
  • Máquinas que os usuários finais usam para acessar o Web Studio
  • Máquinas que você usa para registrar certificados para usuários de cartão inteligente

Os drivers de cartão inteligente variam de acordo com o fornecedor. Por exemplo, se você estiver usando hardware de cartão inteligente fornecido pela ITS, baixe os drivers SaftNet em https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers.

Etapa 2: Emitir certificados para usuários de cartão inteligente

Nota:

As etapas a seguir são fornecidas como um exemplo para guiá-lo pelo processo.

No seu Controlador de Domínio, siga estas etapas para concluir a tarefa:

  1. Acesse seu Controlador de Domínio e abra a Autoridade de Certificação.

    Iniciar CA

  2. Duplique o modelo Agente de Registro. As etapas detalhadas são as seguintes:

    1. Clique com o botão direito em Modelos de Certificado e selecione Gerenciar.

      Gerenciar modelos de certificado

    2. Clique com o botão direito em Agente de Registro e selecione Duplicar Modelo.

    3. Na guia Criptografia, selecione Provedor Criptográfico Base de Cartão Inteligente da Microsoft e clique em OK. Um modelo chamado Cópia de Agente de Registro aparece na lista Modelos de Certificado.

      Modelos de certificado > Criptografia

    4. Na guia Nome do Assunto, certifique-se de que Incluir e-mail no nome do assunto esteja desmarcado.

      Modelos de certificado > Nome do Assunto

  3. Emita certificados para cartões inteligentes. As etapas detalhadas são as seguintes:
    1. Clique com o botão direito em Modelos de Certificado e selecione Novo > Modelo a Ser Emitido.
    2. Selecione Cópia de Agente de Registro e Usuário de Cartão Inteligente.
    3. Clique em OK.

Etapa 3: Registrar certificados para usuários de cartão inteligente

Nota:

As etapas a seguir são fornecidas como um exemplo para guiá-lo pelo processo.

Em uma máquina Windows física ingressada no domínio, siga estas etapas para registrar certificados para cada cartão inteligente:

  1. Prepare uma máquina Windows física ingressada no domínio para uso no registro:
    1. Certifique-se de que o driver do cartão inteligente esteja instalado.
    2. Insira um cartão inteligente na máquina.
    3. Faça logon na máquina usando a conta de usuário que você deseja atribuir ao cartão inteligente.
  2. Adicione o snap-in Certificados à máquina que você preparou na etapa 1. As etapas detalhadas são as seguintes:
    1. Abra o mmc.
    2. Clique em Arquivo e depois em Adicionar/Remover Snap-in.
    3. Na janela Adicionar ou Remover Snap-ins que aparece, selecione Certificados e clique em Adicionar >.
    4. Na caixa de diálogo que aparece, selecione Minha conta de usuário e clique em Concluir.

    5. Clique em OK.

      Adicionar certificado

  3. Solicite novos certificados para o snap-in Certificados. As etapas detalhadas são as seguintes:

    1. Vá para Certificados - Usuário Atual > Pessoal, clique com o botão direito em Certificados e selecione Todas as Tarefas > Solicitar Novo Certificado.

      Solicitar novo certificado

    2. Na caixa de diálogo Solicitar Certificados que aparece, selecione Cópia de Agente de Registro e Usuário de Cartão Inteligente.

      Gerenciar modelos de certificado

    3. Na caixa de diálogo acima, clique em Detalhes para Usuário de Cartão Inteligente e depois em Propriedades. A caixa de diálogo Propriedades do Certificado aparece. Solicitar novo certificado > propriedades
    4. Na guia Chave Privada, expanda Provedor de Serviços Criptográficos, desmarque Provedor Criptográfico Forte da Microsoft (Criptografia), selecione apenas Provedor Criptográfico Base de Cartão Inteligente da Microsoft (Criptografia) e clique em OK.
    5. Clique em Registrar.
    6. Na caixa de diálogo Segurança do Windows que aparece, insira o código PIN do cartão inteligente e clique em OK. Quando o registro for concluído, clique em Concluir. Registrar certificado

Após o registro bem-sucedido, dois certificados aparecem em Certificados - Usuário Atual -> Pessoal -> Certificados, conforme mostrado na captura de tela a seguir. Gerenciar modelos de certificado

Etapa 4: Configurar os servidores IIS do Web Studio

Em cada servidor do Web Studio, siga estas etapas para configurar o IIS para autenticação por cartão inteligente:

  1. Habilite a Autenticação de Mapeamento de Certificado de Cliente para a máquina do Web Studio.

    O elemento <clientCertificateMappingAuthentication> não está disponível na instalação padrão do IIS 7 e posterior. Para obter mais informações sobre instalação e habilitação, consulte este artigo da Microsoft.

  2. Inicie o Gerenciador do IIS na máquina do Web Studio.

  3. Habilite a Autenticação de Certificado de Cliente do Active Directory para a máquina. As etapas detalhadas são as seguintes:

    1. Selecione a máquina no painel esquerdo e clique duas vezes em Autenticação.

      IIS > Autenticação

    2. Habilite a Autenticação de Certificado de Cliente do Active Directory.

      IIS > habilitar Autenticação de Certificado de Cliente AD

  4. Configure o módulo Backend do Web Studio para um protocolo HTTPS mais seguro com autenticação de certificado de cliente:

    1. Vá para Sites > Default Web Site > Studio > Backend > Smartcard e clique duas vezes em Configurações SSL na seção IIS.

      Módulo backend IIS smartcard SSL

    2. Selecione Exigir para Certificados de cliente.

      Servidor IIS backend smartcard ssl exigido

    3. Retorne a Sites > Default Web Site > Studio > Backend > Smartcard e clique duas vezes em Editor de Configuração na seção IIS.

      IIS > Editor de Configuração

    4. Certifique-se de que /clientCertificateMappingAuthentication esteja habilitado.

      Habilitar autenticação de cliente

  5. (Somente Windows 2022) Desabilite o TLS 3.1 sobre TCP. As etapas detalhadas são as seguintes:

    1. Vá para Sites > Default Web Site.
    2. Clique em Editar Site > Associação.

    3. Na caixa de diálogo Associações de Site que aparece, selecione o registro https e clique em Editar.

      Somente Windows 2022 https editar

    4. Na caixa de diálogo Editar Associação de Site que aparece, selecione Desabilitar TLS 1.3 sobre TCP e clique em OK.

      Somente Windows 2022 https editar desabilitado

É bom saber:

O Backend do Web Studio é um módulo do Web Studio que fornece as seguintes funções:

  • Autenticação por cartão inteligente.
  • Recuperação de tokens de portador FMA do serviço de Orquestração usando autenticação integrada do Windows.

Etapa 5 (Opcional): Configurar delegações de autenticação para o Web Studio

Quando o Web Studio e os Controladores de Entrega são instalados em servidores diferentes, você deve configurar delegações para cada servidor do Web Studio para os Controladores de Entrega para os serviços HOST e HTTPS.

Siga estas etapas para concluir a tarefa para cada servidor do Web Studio:

  1. Importar o Certificado HTTPS de Orquestração do Delivery Controller™
  2. Configurar a delegação para o servidor do Web Studio
  3. Configurar a delegação para a conta de serviço do servidor IIS do Web Studio

Importar o Certificado HTTPS de Orquestração do Delivery Controller

No servidor do Web Studio, importe o certificado HTTPS de Orquestração do Delivery Controller para Autoridades de Certificação Raiz Confiáveis. As etapas detalhadas são as seguintes:

  1. Inicie Configurações > Gerenciar certificados do computador.

  2. Clique com o botão direito em Autoridades de Certificação Raiz Confiáveis > Certificados e selecione Todas as Tarefas > Importar.

    Importar certificado DDC

  3. Siga as instruções na tela para importar o certificado HTTPS de Orquestração do Delivery Controller.

Configurar a delegação para o servidor do Web Studio

No controlador de domínio, configure a delegação para o servidor do Web Studio para o Delivery Controller para os serviços HOST e HTTP. Siga estas etapas para concluir a tarefa:

  1. No controlador de domínio, inicie o Centro Administrativo do Active Directory.
  2. Localize a conta de computador do Servidor do Web Studio que você deseja configurar para delegação (por exemplo, Dan002).

  3. Clique com o botão direito na conta e selecione Propriedades.

    Configurar delegação para o servidor do Studio

    1. Vá para a guia Delegação.

      Inserir configuração de delegação

    2. Selecione Confiar neste usuário para delegação apenas a serviços especificados > Usar qualquer protocolo de autenticação.
    3. Clique em Adicionar para especificar a quais serviços esta conta de computador pode ser delegada.
    4. Na caixa de diálogo Adicionar Serviço que aparece, clique em Adicionar Usuários ou Computadores para localizar o nome do computador do Delivery Controller (por exemplo, Dan001).
    5. Selecione os serviços HOST e HTTP e clique em OK.

Os resultados da configuração são mostrados na captura de tela a seguir. Gerenciar modelos de certificado

Configurar a delegação para a conta de serviço do servidor IIS do Web Studio

Se você configurou uma conta de serviço para o servidor IIS do Web Studio, também precisa configurar a delegação para esta conta de serviço para o Delivery Controller para os serviços HOST e HTTP. Com esta delegação estabelecida, o servidor do Web Studio pode usar sua conta de serviço para personificar o usuário atual do cartão inteligente para acessar os serviços HOST e HTTP do Grupo de Entrega. Siga estas etapas para concluir a configuração:

  1. No controlador de domínio, inicie o Centro Administrativo do Active Directory.
  2. Localize a conta de usuário que você deseja configurar para delegação (por exemplo, svr-stud-002).
  3. Clique com o botão direito na conta e selecione Propriedades.
  4. Siga o procedimento descrito na etapa 2 para delegar a Conta de Serviço do IIS do Web Studio aos serviços HOST e HTTP do Delivery Controller.

Os resultados da configuração são mostrados na captura de tela a seguir.

Gerenciar modelos de certificado

Etapa 6: Habilitar a autenticação por cartão inteligente para o Web Studio

Siga estas etapas para habilitar a autenticação por cartão inteligente para o Web Studio:

  1. Faça login no Web Studio e selecione Configurações no painel esquerdo.
  2. Selecione Autenticação por cartão inteligente ou Credenciais de domínio + Autenticação por cartão inteligente conforme necessário.
  3. Selecione Autenticação por cartão inteligente ou Credenciais de domínio ou autenticação por cartão inteligente conforme necessário.

  4. Clique em Aplicar.

    Gerenciar modelos de certificado

Configurar a autenticação por cartão inteligente para o Web Studio
January 23, 2026
Contribuição de: 
C
January 23, 2026
Contribuição de: 
C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.