Documentação de produtos
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Ver PDF

Configurar autenticação de cartão inteligente para o Web Studio

November 5, 2024
Contribuição de: 
C C

Este artigo descreve as etapas necessárias para configurar e habilitar a autenticação de cartão inteligente para o Web Studio:

Etapa 1: instalar o driver do cartão inteligente

Etapa 2: Emitir certificados para usuários de cartão inteligente

Etapa 3: Registrar certificados para usuários de cartão inteligente

Etapa 4: Configurar servidores IIS do Web Studio

Etapa 5 (opcional) Configurar delegações de autenticação para o Web Studio

Etapa 6: Habilitar autenticação de cartão inteligente para o Web Studio

Observação:

A autenticação de cartão inteligente é suportada apenas para usuários do mesmo domínio do Active Directory com servidores do Web Studio.

Etapa 1: instalar o driver do cartão inteligente

Instale o driver do cartão inteligente nas seguintes máquinas:

  • Controladores de domínio onde o Serviço de Certificado está instalado.
  • Servidores Web Studio
  • Máquinas que os usuários finais usam para acessar o Web Studio
  • Máquinas que você usa para registrar certificados para usuários de cartão inteligente

Os drivers de cartão inteligente variam de acordo com o fornecedor. Por exemplo, se estiver usando hardware de cartão inteligente fornecido pelo ITS, baixe os drivers SaftNet de https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers.

Etapa 2: Emitir certificados para usuários de cartão inteligente

Observação:

As etapas a seguir são fornecidas como um exemplo para orientar você no processo.

No seu controlador de domínio, siga estas etapas para concluir a tarefa:

  1. Acesse seu Controlador de Domínio e abra Autoridade de Certificação.

    começar ca

  2. Duplique o modelo Agente de Inscrição . As etapas detalhadas são as seguintes:

    1. Clique com o botão direito em Modelos de certificado e selecione Gerenciar.

      gerenciar modelos de certificado

    2. Clique com o botão direito do mouse em Agente de inscrição e selecione Duplicar modelo.

    3. Na aba Criptografia , selecione Microsoft Base Smart Card Crypto Providere então clique em OK. Um modelo chamado Cópia do Agente de Inscrição aparece na lista Modelos de Certificado .

      modelos de certificado>criptografia

    4. Na aba Nome do Assunto , certifique-se de que Incluir e-mail no nome do assunto esteja desmarcado.

      Modelos de certificado > Nome do assunto

  3. Verifique as permissões do modelo Usuário do Smartcard . As etapas detalhadas são as seguintes:
    1. Clique com o botão direito em Modelos de certificado e selecione Gerenciar.
    2. Clique com o botão direito em Usuário do Smartcard e selecione Propriedades.

    3. Na aba Segurança , verifique se Administradores de Domínio tem as seguintes permissões selecionadas, conforme mostrado abaixo:

      Modelos de certificado > segurança

  4. Emitir certificados para cartões inteligentes. As etapas detalhadas são as seguintes:
    1. Clique com o botão direito em Modelos de certificado e selecione Novo > Modelo para emitir.
    2. Selecione Cópia do Agente de Inscrição e Usuário do Smartcard.
    3. Clique em OK.

Etapa 3: Registrar certificados para usuários de cartão inteligente

Observação:

As etapas a seguir são fornecidas como um exemplo para orientar você no processo.

Em uma máquina Windows física associada ao domínio, siga estas etapas para registrar certificados para cada cartão inteligente:

  1. Prepare uma máquina Windows física associada ao domínio para uso de registro:
    1. Certifique-se de que o driver do cartão inteligente esteja instalado.
    2. Insira um cartão inteligente na máquina.
    3. Efetue login na máquina usando a conta de usuário que você deseja atribuir ao cartão inteligente.
  2. Adicione o snap-in Certificados na máquina que você preparou na etapa 1. As etapas detalhadas são as seguintes:
    1. Abra mmc.
    2. Clique em Arquivo e depois clique em Adicionar/Remover Snap-in.
    3. Na janela Adicionar ou remover snap-ins que aparece, selecione Certificados e clique em Adicionar >.
    4. Na caixa de diálogo que aparece, selecione Minha conta de usuário e clique em Concluir.

    5. Clique em OK.

      Add certificate

  3. Solicite novos certificados para o snap-in Certificados . As etapas detalhadas são as seguintes:

    1. Vá para Certificados - Usuário atual > Pessoal, clique com o botão direito em Certificadose selecione Todas as tarefas > Solicitar novo certificado.

      ![solicitar novo certificado](/en-us/citrix-virtual-apps-desktops/media/ add-certificate-2.png)

    2. Na caixa de diálogo Solicitar certificados que aparece, selecione Cópia do agente de inscrição e Usuário do cartão inteligente.

      gerenciar modelos de certificado

    3. Na caixa de diálogo acima, clique em Detalhes para Usuário do Smartcard e então clique em Propriedades. A caixa de diálogo Propriedades do certificado é exibida. solicitar novo certificado > propriedades
    4. Na aba Chave Privada , expanda Provedor de Serviços Criptográficos, desmarque Provedor Criptográfico Forte da Microsoft (Criptografia), selecione somente Provedor Criptográfico de Cartão Inteligente Base da Microsoft (Criptografia)e então clique em OK.
    5. Clique em Inscreva-se.
    6. Na caixa de diálogo Segurança do Windows que aparece, digite o código PIN do cartão inteligente e clique em OK. Quando a inscrição for concluída, clique em Concluir. certificado de inscrição

Após o registro bem-sucedido, dois certificados aparecem em Certificados - Usuário atual -> Pessoal -> Certificados, conforme mostrado na captura de tela a seguir. gerenciar modelos de certificado

Etapa 4: Configurar servidores IIS do Web Studio

Em cada servidor do Web Studio, siga estas etapas para configurar o IIS para autenticação de cartão inteligente:

  1. Habilite Autenticação de Mapeamento de Certificado de Cliente para a máquina Web Studio**.

    O elemento <clientCertificateMappingAuthentication> não está disponível na instalação padrão do IIS 7 e posteriores. Para obter mais informações sobre instalação e ativação, consulte este artigo da Microsoft.

  2. Inicie o Gerenciador do IIS na máquina do Web Studio.

  3. Habilite Autenticação de Certificado de Cliente do Active Directory para a máquina. As etapas detalhadas são as seguintes:

    1. Selecione a máquina no painel esquerdo e clique duas vezes em Autenticação.

      IIS > Autenticação

    2. Habilitar Autenticação de Certificado de Cliente do Active Directory.

      IIS > habilitar autenticação de certificado de cliente AC

  4. Configure o módulo Web Studio Backend para um protocolo HTTPS mais seguro com autenticação de certificado de cliente:

    1. Vá para Sites > Site padrão > Estúdio > Backend > Smartcarde clique duas vezes em Configurações SSL na seção IIS .

      Módulo de backend IIS smartcard SSL

    2. Selecione Exigir para Certificados de cliente.

      Servidor IIS backend smartcard ssl necessário

    3. Retorne para Sites > Site Padrão > Estúdio > Backend > Smartcard e então clique duas vezes em Editor de Configuração na seção IIS .

      IIS > Editor de configuração

    4. Certifique-se de que /clientCertificateMappingAuthentication esteja habilitado.

      habilitar autenticação do cliente

  5. (Somente Windows 2022) Desabilite TLS 3.1 sobre TCP. As etapas detalhadas são as seguintes:

    1. Vá para Sites > Site padrão.
    2. Clique em Editar Site > Vinculação.

    3. Na caixa de diálogo Ligações de site que aparece, selecione o registro https e clique em Editar.

      Somente edição https do Windows 2022

    4. Na caixa de diálogo Editar vinculação do site que aparece, selecione Desativar TLS 1.3 sobre TCP e clique em OK.

      Somente Windows 2022 https edit desabilitado

É bom saber:

O Web Studio Backend é um módulo do Web Studio que fornece as seguintes funções:

  • Autenticação de cartão inteligente.
  • Recuperação de tokens portadores de FMA do serviço de orquestração usando autenticação integrada do Windows.

Etapa 5 (opcional) Configurar delegações de autenticação para o Web Studio

Quando o Web Studio e os Delivery Controllers são instalados em servidores diferentes, você deve configurar delegações para cada servidor Web Studio para os Delivery Controllers para serviços HOST e HTTPS.

Siga estas etapas para concluir a tarefa para cada servidor do Web Studio:

  1. Importar o certificado HTTPS do Delivery Controller Orchestration
  2. Configurar delegação para o servidor Web Studio
  3. Configurar delegação para a conta de serviço do servidor IIS do Web Studio

Importar o certificado HTTPS do Delivery Controller Orchestration

No servidor Web Studio, importe o certificado Delivery Controller Orchestration HTTPS para Trusted Root Certification Authorities. As etapas detalhadas são as seguintes:

  1. Iniciar Configurações > Gerenciar certificados do computador.

  2. Clique com o botão direito do mouse em Autoridades de Certificação Raiz Confiáveis > Certificados e selecione Todas as Tarefas > Importar.

    Importar certificado DDC

  3. Siga as instruções na tela para importar o certificado Delivery Controller Orchestration HTTPS .

Configurar delegação para o servidor Web Studio

No controlador de domínio, configure a delegação do servidor Web Studio para o Delivery Controller para serviços HOST e HTTP. Siga estas etapas para concluir a tarefa:

  1. No controlador de domínio, inicie Centro Administrativo do Active Directory.
  2. Localize a conta do computador ** do Web Studio Server que você deseja configurar para delegação (por exemplo, Dan002).

  3. Clique com o botão direito do mouse na conta e selecione Propriedades.

    configurar delegação para servidor de estúdio

    1. Vá para a aba Delegação .

      ![insira a configuração de delegação](/en-us/citrix-virtual-apps-desktops/media/ kerbero-delegation-2.png)

    2. Selecione Confiar neste usuário para delegação somente a serviços especificados > Usar qualquer protocolo de autenticação.
    3. Clique em Adicionar para especificar a quais serviços esta conta de computador pode ser delegada.
    4. Na caixa de diálogo Adicionar serviço que aparece, clique em Adicionar usuários ou computadores para localizar o nome do computador do Delivery Controller (por exemplo, Dan001).
    5. Selecione os serviços HOST e HTTP e clique em OK.

Os resultados da configuração são mostrados na captura de tela a seguir. gerenciar modelos de certificado

Configurar delegação para a conta de serviço do servidor IIS do Web Studio

Se você configurou uma conta de serviço para o servidor IIS do Web Studio, também precisará configurar a delegação dessa conta de serviço para o Delivery Controller para os serviços HOST e HTTP. Com essa delegação estabelecida, o servidor Web Studio pode usar sua conta de serviço para representar o usuário atual do cartão inteligente para acessar os serviços HOST e HTTP do Grupo de Entrega. Siga estas etapas para concluir a configuração:

  1. No controlador de domínio, inicie Centro Administrativo do Active Directory.
  2. Localize a conta de usuário ** que você deseja configurar para delegação (por exemplo, svr-stud-002).
  3. Clique com o botão direito do mouse na conta e selecione Propriedades.
  4. Siga o procedimento descrito na etapa 2 para delegar a conta de serviço do IIS do Web Studio aos serviços HOST e HTTP do Delivery Controller.

Os resultados da configuração são mostrados na captura de tela a seguir.

gerenciar modelos de certificado

Etapa 6: Habilitar autenticação de cartão inteligente para o Web Studio

Siga estas etapas para habilitar a autenticação de cartão inteligente para o Web Studio:

  1. Entre no Web Studio e selecione Configurações no painel esquerdo.
  2. Selecione Autenticação de cartão inteligente ou Credenciais de domínio + Autenticação de cartão inteligente conforme necessário.
  3. Selecione Autenticação de cartão inteligente ou Credenciais de domínio ou autenticação de cartão inteligente conforme necessário.

  4. Clique em Aplicar.

    gerenciar modelos de certificado

Configurar autenticação de cartão inteligente para o Web Studio
November 5, 2024
Contribuição de: 
C C
November 5, 2024
Contribuição de: 
C C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.