Documentação de produtos
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Ver PDF

Configurar a autenticação por cartão inteligente para o Web Studio

April 27, 2026
Contribuição de: 
C C

Este artigo descreve as etapas necessárias para configurar e habilitar a autenticação por cartão inteligente para o Web Studio:

Etapa 1: Instalar o driver do cartão inteligente

Etapa 2: Emitir certificados para usuários de cartão inteligente

Etapa 3: Registrar certificados para usuários de cartão inteligente

Etapa 4: Configurar os servidores IIS do Web Studio

Etapa 5 (Opcional): Configurar delegações de autenticação para o Web Studio

Etapa 6: Habilitar a autenticação por cartão inteligente para o Web Studio

Nota:

A autenticação por cartão inteligente é compatível apenas com usuários do mesmo domínio do Active Directory que os servidores do Web Studio.

Etapa 1: Instalar o driver do cartão inteligente

Instale o driver do cartão inteligente nas seguintes máquinas:

  • Controladores de Domínio onde o Serviço de Certificado está instalado.
  • Servidores do Web Studio
  • Máquinas que os usuários finais usam para acessar o Web Studio
  • Máquinas que você usa para registrar certificados para usuários de cartão inteligente

Os drivers de cartão inteligente variam de acordo com o fornecedor. Por exemplo, se estiver usando hardware de cartão inteligente fornecido pela ITS, baixe os drivers SaftNet em https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers.

Etapa 2: Emitir certificados para usuários de cartão inteligente

Nota:

As etapas a seguir são fornecidas como um exemplo para orientá-lo durante o processo.

No seu Controlador de Domínio, siga estas etapas para concluir a tarefa:

  1. Acesse seu Controlador de Domínio e abra a “Autoridade de Certificação”.

    Iniciar CA

  2. Duplique o modelo “Agente de Registro”. As etapas detalhadas são as seguintes:

    1. Clique com o botão direito do mouse em “Modelos de Certificado” e selecione “Gerenciar”.

      Gerenciar modelos de certificado

    2. Clique com o botão direito do mouse em “Agente de Registro” e selecione “Duplicar Modelo”.

    3. Na guia “Nome do Assunto”, certifique-se de que “Incluir e-mail no nome do assunto” esteja desmarcado.

      Modelos de certificado > Nome do Assunto

    4. Na guia “Criptografia”, selecione “Microsoft Base Smart Card Crypto Provider” e clique em “OK”. Um modelo chamado “Cópia de Agente de Registro” aparece na lista “Modelos de Certificado”.

      Modelos de certificado > Criptografia

  3. Emita certificados para cartões inteligentes. As etapas detalhadas são as seguintes:
    1. Clique com o botão direito do mouse em “Modelos de Certificado” e selecione “Novo > Modelo a Ser Emitido”.
    2. Selecione “Cópia de Agente de Registro” e “Usuário de Cartão Inteligente”.
    3. Clique em “OK”.

Etapa 3: Registrar certificados para usuários de cartão inteligente

Nota:

As etapas a seguir são fornecidas como um exemplo para orientá-lo durante o processo.

Em uma máquina física Windows ingressada no domínio, siga estas etapas para registrar certificados para cada cartão inteligente:

  1. Prepare uma máquina física Windows ingressada no domínio para uso no registro:
    1. Certifique-se de que o driver do cartão inteligente esteja instalado.
    2. Insira um cartão inteligente na máquina.
    3. Faça logon na máquina usando a conta de usuário que você deseja atribuir ao cartão inteligente.
  2. Adicione o snap-in “Certificados” à máquina que você preparou na etapa 1. As etapas detalhadas são as seguintes:
    1. Abra o mmc.
    2. Clique em “Arquivo” e depois em “Adicionar/Remover Snap-in”.
    3. Na janela “Adicionar ou Remover Snap-ins” que aparece, selecione “Certificados” e clique em “Adicionar >”.
    4. Na caixa de diálogo que aparece, selecione “Minha conta de usuário” e clique em “Concluir”.

    5. Clique em “OK”.

      Adicionar certificado

  3. Solicite novos certificados para o snap-in “Certificados”. As etapas detalhadas são as seguintes:

    1. Vá para “Certificados - Usuário Atual > Pessoal”, clique com o botão direito do mouse em “Certificados” e selecione “Todas as Tarefas > Solicitar Novo Certificado”.

      Solicitar novo certificado

    2. Na caixa de diálogo “Solicitar Certificados” que aparece, selecione “Cópia de Agente de Registro” e “Usuário de Cartão Inteligente”.

      Gerenciar modelos de certificado

    3. Na caixa de diálogo acima, clique em “Detalhes” para “Usuário de Cartão Inteligente” e depois em “Propriedades”. A caixa de diálogo “Propriedades do Certificado” aparece.

      Solicitar novo certificado > propriedades

    4. Na guia “Chave Privada”, expanda “Provedor de Serviços Criptográficos”, desmarque “Microsoft Strong Cryptographic Provider (Criptografia)”, selecione apenas “Microsoft Base Smart Card Crypto Provider (Criptografia)” e clique em “OK”.
    5. Clique em “Registrar”.

    6. Na caixa de diálogo “Segurança do Windows” que aparece, insira o código PIN do cartão inteligente e clique em “OK”. Quando o registro for concluído, clique em “Concluir”.

      Registrar certificado

Após o registro bem-sucedido, dois certificados aparecem em “Certificados - Usuário Atual -> Pessoal -> Certificados”, conforme mostrado na captura de tela a seguir. Gerenciar modelos de certificado

Etapa 4: Configurar os servidores IIS do Web Studio

Em cada servidor do Web Studio, siga estas etapas para configurar o IIS para autenticação por cartão inteligente:

  1. Habilite a “Autenticação de Mapeamento de Certificado do Cliente” para a máquina do Web Studio.

    O elemento <clientCertificateMappingAuthentication> não está disponível na instalação padrão do IIS 7 e posterior. Para obter mais informações sobre instalação e habilitação, consulte este artigo da Microsoft.

  2. Inicie o “Gerenciador do IIS” na máquina do Web Studio.

  3. Habilite a “Autenticação de Certificado de Cliente do Active Directory” para a máquina. As etapas detalhadas são as seguintes:

    1. Selecione a máquina no painel esquerdo e clique duas vezes em “Autenticação”.

      IIS > Autenticação

    2. Habilite a “Autenticação de Certificado de Cliente do Active Directory”.

      IIS > habilitar Autenticação de Certificado de Cliente AD

  4. Configure o módulo de back-end do Web Studio para um protocolo HTTPS mais seguro com autenticação de certificado de cliente:

    1. Vá para “Sites > Site Padrão > Studio > Back-end > Smartcard” e clique duas vezes em “Configurações SSL” na seção “IIS”.

      Módulo de back-end do IIS smartcard SSL

    2. Selecione “Exigir” para “Certificados de cliente”.

      IIS server backend smartcard ssl exigido

    3. Retorne a “Sites > Site Padrão > Studio > Back-end > Smartcard” e clique duas vezes em “Editor de Configuração” na seção “IIS”.

      IIS > Editor de Configuração

    4. Certifique-se de que /clientCertificateMappingAuthentication esteja habilitado.

      Habilitar autenticação de cliente

  5. (Somente Windows 2022) Desabilite o TLS 1.3 sobre TCP. As etapas detalhadas são as seguintes:

    1. Vá para “Sites > Site Padrão”.
    2. Clique em “Editar Site > Vinculação”.

    3. Na caixa de diálogo “Vinculações do Site” que aparece, selecione o registro https e clique em “Editar”.

      Somente Windows 2022 https editar

    4. Na caixa de diálogo “Editar Vinculação do Site” que aparece, selecione “Desabilitar TLS 1.3 sobre TCP” e clique em “OK”.

      Somente Windows 2022 https editar desabilitado

É bom saber:

O back-end do Web Studio é um módulo do Web Studio que oferece as seguintes funções:

  • Autenticação por cartão inteligente.
  • Recuperação de tokens de portador FMA do serviço de Orquestração usando autenticação integrada do Windows.

Etapa 5 (Opcional): Configurar delegações de autenticação para o Web Studio

Quando o Web Studio e os Delivery Controllers são instalados em servidores diferentes, você deve configurar delegações para cada servidor do Web Studio para os Delivery Controllers para os serviços HOST e HTTPS.

Siga estas etapas para concluir a tarefa para cada servidor do Web Studio:

Importar o Certificado HTTPS de Orquestração do Delivery Controller

No servidor do Web Studio, importe o certificado “HTTPS de Orquestração do Delivery Controller” para as “Autoridades de Certificação Raiz Confiáveis”. As etapas detalhadas são as seguintes:

  1. Inicie “Configurações > Gerenciar certificados do computador”.

  2. Clique com o botão direito do mouse em “Autoridades de Certificação Raiz Confiáveis > Certificados” e selecione “Todas as Tarefas > Importar”.

    Importar certificado DDC

  3. Siga as instruções na tela para importar o certificado “HTTPS de Orquestração do Delivery Controller”.

Configurar delegação para o servidor do Web Studio

No controlador de domínio, configure a delegação para o servidor do Web Studio para o Delivery Controller para os serviços HOST e HTTP. Siga estas etapas para concluir a tarefa:

  1. No controlador de domínio, inicie o “Centro Administrativo do Active Directory”.
  2. Localize a conta de computador do servidor do Web Studio para o qual você deseja configurar a delegação (por exemplo, Dan002).

  3. Clique com o botão direito do mouse na conta, selecione “Propriedades”, e conclua as seguintes etapas:

    Configurar delegação para o servidor Studio

    1. Vá para a guia “Delegação”.

      Inserir configuração de delegação

    2. Selecione “Confiar neste usuário para delegação apenas para serviços especificados > Usar qualquer protocolo de autenticação”.
    3. Clique em “Adicionar” para especificar a quais serviços esta conta de computador pode ser delegada.
    4. Na caixa de diálogo “Adicionar Serviço” que aparece, clique em “Adicionar Usuários ou Computadores” para localizar o nome do computador do Delivery Controller (por exemplo, Dan001).
    5. Selecione os serviços HOST e HTTP e clique em “OK”.

Os resultados da configuração são mostrados na captura de tela a seguir. Gerenciar modelos de certificado

(Opcional) Configurar delegação para a conta de serviço do servidor IIS do Web Studio

Se você configurou uma conta de serviço para o servidor IIS do Web Studio, também precisará configurar a delegação para esta conta de serviço para o Delivery Controller para os serviços HOST e HTTP. Com esta delegação estabelecida, o servidor do Web Studio pode usar sua conta de serviço para representar o usuário atual do cartão inteligente para acessar o Delivery Controller para os serviços HOST e HTTP. Siga estas etapas para concluir a configuração:

  1. No controlador de domínio, inicie o “Centro Administrativo do Active Directory”.
  2. Localize a conta de usuário do servidor IIS do Web Studio (conta de serviço) para a qual você deseja configurar a delegação (por exemplo, svr-stud-002).
  3. Clique com o botão direito do mouse na conta e selecione “Propriedades”.
  4. Siga o procedimento descrito na etapa 3 de Configurar delegação para o servidor do Web Studio para delegar a conta de serviço do servidor IIS do Web Studio ao Delivery Controller para os serviços HOST e HTTP.

Os resultados da configuração são mostrados na captura de tela a seguir.

Gerenciar modelos de certificado

Etapa 6: Habilitar a autenticação por cartão inteligente para o Web Studio

Siga estas etapas para habilitar a autenticação por cartão inteligente para o Web Studio:

  1. Faça logon no Web Studio e selecione “Configurações” no painel esquerdo.
  2. Selecione “Autenticação por cartão inteligente” ou “Credenciais de domínio ou autenticação por cartão inteligente”, conforme necessário.

  3. Clique em “Aplicar”.

    Gerenciar modelos de certificado

Configurar a autenticação por cartão inteligente para o Web Studio
April 27, 2026
Contribuição de: 
C C
April 27, 2026
Contribuição de: 
C C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.