Citrix Virtual Apps and Desktops

Cartões inteligentes

Os cartões inteligentes e tecnologias equivalentes são suportados nas diretrizes descritas neste artigo. Para usar cartões inteligentes com o Citrix Virtual Apps ou Citrix Virtual Desktops:

  • Entenda a política de segurança da sua organização em relação ao uso de cartões inteligentes. Essas políticas podem, por exemplo, indicar como os cartões inteligentes são emitidos e como os usuários devem protegê-los. Alguns aspectos dessas políticas podem precisar ser reavaliados em um ambiente Citrix Virtual Apps ou Citrix Virtual Desktops.
  • Determine quais tipos de dispositivos de usuário, sistemas operacionais e aplicativos publicados devem ser usados com cartões inteligentes.
  • Familiarize-se com a tecnologia de cartão inteligente e o hardware e software do fornecedor de cartões inteligentes selecionado.
  • Saiba como implantar certificados digitais em um ambiente distribuído.

Nota:

O registro de cartões inteligentes não é suportado com o cartão inteligente rápido. O registro de cartões inteligentes pode funcionar quando o cartão inteligente rápido está desativado, mas depende do tipo de cartão inteligente e middleware. Entre em contato com o fornecedor de cartão inteligente e middleware para obter informações sobre sua integração com o Citrix Virtual Apps and Desktops e suporte para registro de cartões inteligentes em sessões virtuais.

Tipos de cartões inteligentes

Os cartões inteligentes empresariais e ao consumidor têm as mesmas dimensões, conectores elétricos e se encaixam nos mesmos leitores de cartões inteligentes.

Os cartões inteligentes para uso empresarial contêm certificados digitais. Esses cartões inteligentes suportam logon do Windows e também podem ser usados com aplicativos para assinatura digital e criptografia de documentos e e-mail. O Citrix Virtual Apps and Desktops oferece suporte a esses usos.

Os cartões inteligentes para uso do consumidor não contêm certificados digitais; eles contêm um segredo compartilhado. Esses cartões inteligentes podem suportar pagamentos (como um cartão de crédito com chip e assinatura ou com chip e PIN). Eles não suportam o logon do Windows ou aplicativos típicos do Windows. Aplicativos especializados do Windows e uma infraestrutura de software adequada (incluindo, por exemplo, uma conexão com uma rede de cartão de pagamento) são necessários para uso com esses cartões inteligentes. Entre em contato com o seu representante da Citrix para obter informações sobre o suporte a esses aplicativos especializados no Citrix Virtual Apps ou no Citrix Virtual Desktops.

Para cartões inteligentes empresariais, existem equivalentes compatíveis que podem ser usados de forma semelhante.

  • Um token USB equivalente a cartão inteligente se conecta diretamente a uma porta USB. Esses tokens USB são geralmente do tamanho de uma unidade flash USB, mas podem ser tão pequenos quanto um cartão SIM usado em um celular. Eles aparecem como a combinação de um cartão inteligente com um leitor de cartão inteligente USB.
  • Um cartão inteligente virtual usando um TPM (Trusted Platform Module) do Windows aparece como um cartão inteligente. Esses cartões inteligentes virtuais são compatíveis com Windows 8 e Windows 10, usando o aplicativo Citrix Workspace (versão mínima Citrix Receiver 4.3).
    • Versões do Citrix Virtual Apps and Desktops (anteriormente XenApp e XenDesktop) anteriores ao XenApp e XenDesktop 7.6 FP3 não oferecem suporte a cartões inteligentes virtuais.
    • Para obter mais informações sobre cartões inteligentes virtuais, consulte Virtual Smart Card Overview.

    Nota: O termo “cartão inteligente virtual” também é usado para descrever um certificado digital armazenado no computador do usuário. Esses certificados digitais não são estritamente equivalentes aos cartões inteligentes.

O suporte a cartões inteligentes Citrix Virtual Apps and Desktops é baseado nas especificações do padrão Microsoft Personal Computer/Smart Card (PC/SC). Um requisito mínimo é que os cartões inteligentes e os dispositivos de cartão inteligente devem ser suportados pelo sistema operacional Windows subjacente e devem ser aprovados pelos Windows Hardware Quality Labs (WHQL) da Microsoft para serem usados em computadores que executam sistemas operacionais Windows qualificados. Consulte a documentação da Microsoft para obter informações adicionais sobre a conformidade PC/SC de hardware. Outros tipos de dispositivos de usuário podem estar em conformidade com o padrão PS/SC. Para obter mais informações, consulte o programa Citrix Ready.

Normalmente, um driver de dispositivo separado é necessário para o cartão inteligente ou equivalente de cada fornecedor. No entanto, se os cartões inteligentes estiverem em conformidade com um padrão, como o NIST Personal Identity Verification (PIV), pode ser possível usar um único driver de dispositivo para uma variedade de cartões inteligentes. O driver de dispositivo deve ser instalado no dispositivo do usuário e no Virtual Delivery Agent (VDA). O driver de dispositivo geralmente é fornecido como parte de um pacote de middleware de cartão inteligente disponível a partir de um parceiro Citrix; o pacote de middleware de cartão inteligente oferece recursos avançados. O driver do dispositivo também pode ser descrito como um provedor de serviços de criptografia (CSP), provedor de armazenamento de chaves (KSP) ou minidriver.

As seguintes combinações de cartão inteligente e middleware para sistemas Windows foram testadas pela Citrix como exemplos representativos de seu tipo. No entanto, outros cartões inteligentes e middleware também podem ser usados. Para obter mais informações sobre cartões inteligentes e middleware compatíveis com a Citrix, consulte http://www.citrix.com/ready.

Middleware Cartões compatíveis
Gemalto Mini Driver para cartão .NET Gemalto .NET v2+

Para obter informações sobre o uso de cartões inteligentes com outros tipos de dispositivos, consulte a documentação do aplicativo Citrix Workspace do dispositivo.

Remote PC Access

Os cartões inteligentes são suportados apenas para acesso remoto a PCs de escritório físico com Windows 10, Windows 8 ou Windows 7.

Os seguintes cartões inteligentes foram testados com o Remote PC Access:

Middleware Cartões compatíveis
Gemalto .NET minidriver Gemalto .NET v2+

Cartão inteligente rápido

O cartão inteligente rápido é uma melhoria ao redirecionamento de cartão inteligente baseado em PC/SC HDX existente. Melhora o desempenho quando os cartões inteligentes são usados em situações WAN de alta latência. Quando a latência é alta, a melhoria de desempenho pode ser significativa (por exemplo, 15 segundos para um logon rápido de cartão inteligente do Windows comparado a mais de 1 minuto com o redirecionamento de cartão inteligente baseado em PC/SC).

O cartão inteligente rápido é ativado por padrão em computadores host com Windows VDAs atualmente suportados. Para desabilitar o cartão inteligente rápido no lado do host — por exemplo, para fins de diagnóstico — defina a configuração do registro “Disable Cryptographic Redirection” com qualquer valor diferente de zero:

HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->

No lado do cliente, para habilitar o cartão inteligente rápido, inclua o parâmetro ICA SmartCardCryptographicRedirection no arquivo default.ica do site StoreFront associado:

[WFClient]
SmartCardCryptographicRedirection=On

Além disso, no lado do cliente, o cartão inteligente rápido pode ser ativado ou desativado à força (por exemplo, para fins de diagnóstico) com as seguintes configurações de registro:

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (como DWORD diferente de zero)

Ou

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (como DWORD diferente de zero)

O hive do registro de 32 bits deve ser especificado (usando WOW6432Node) se a máquina cliente for de 64 bits.

Limitações:

  • Somente o aplicativo Citrix Workspace para Windows oferece suporte ao cartão inteligente rápido. Se você configurar cartões inteligentes rápidos no arquivo default.ica, os aplicativos Citrix Workspace que não são para Windows continuam a usar o redirecionamento PC/SC existente.
  • Os únicos cenários de salto duplo que os cartões inteligentes rápidos suportam são ICA > ICA com cartão inteligente rápido ativado em ambos os saltos. Como o cartão inteligente rápido não suporta cenários de salto duplo ICA > RDP, esses cenários não funcionam.
  • O cartão inteligente rápido não suporta Cryptography Next Generation. Sendo assim, o cartão inteligente rápido não aceita cartões inteligentes de criptografia de curva elíptica (ECC, Elliptic Curve Cryptography).
  • O cartão inteligente rápido suporta apenas operações de contêiner de chave somente leitura.
  • O cartão inteligente rápido não aceita a mudança do PIN do cartão inteligente.

A partir da versão 2203 do VDA e do aplicativo Citrix Workspace versão 2202 para Windows (ou posterior), o cartão inteligente rápido é compatível com o Cryptography Next Generation (CNG). Além disso, os cartões inteligentes de criptografia de curva elíptica (ECC, Elliptic Curve Cryptography) são suportados com as seguintes curvas: P-256, P-384, P-521 bits, para ECDSA e ECDH.

A partir da versão 2203 do VDA, o cartão inteligente rápido adiciona a capacidade de armazenar em cache o PIN do cartão inteligente entre os aplicativos a partir da mesma sessão de logon do usuário. Por exemplo, se Session PIN Caching estiver ativado e o usuário final tiver fornecido anteriormente o PIN do cartão inteligente para o Outlook, quando o Word for usado para assinar um documento, o Word usará o PIN do cartão inteligente já armazenado em cache (enviado ao Outlook). Session PIN Caching melhora a experiência do usuário, reduzindo o número de vezes que o usuário precisa inserir o PIN do cartão inteligente. Além disso, se o cartão inteligente for usado para fazer logon no VDA, o PIN de logon do cartão inteligente do Windows pode, opcionalmente, ser salvo no Session PIN Caching. Isso pode melhorar ainda mais a experiência do usuário.

Session PIN Caching está desativado por padrão. Ele pode ser ativado e controlado com as seguintes configurações de registro no VDA:

Em HKLM\SOFTWARE\Citrix\SmartCard:

  • EnablePinSessionCache como um DWORD (diferente de zero para habilitar)
  • EnableLogonPinSessionCache como um DWORD (diferente de zero para habilitar)
  • PinSessionCacheEntryStaleTimeout como um DWORD (número de segundos antes de uma entrada ficar obsoleta; o padrão é 1 hora)

Tipos de leitores de cartão inteligente

Um leitor de cartão inteligente pode ser incorporado ao dispositivo do usuário ou conectado separadamente ao dispositivo do usuário (geralmente por USB ou Bluetooth). Os leitores de cartão de contato que estão em conformidade com a especificação USB CCID (Chip Card Interface Devices) são suportados. Eles contêm um slot para leitura do cartão inteligente, por inserção ou passagem. O padrão Deutsche Kreditwirtschaft (DK) define quatro classes de leitores de cartão de contato.

  • Os leitores de cartão inteligente de classe 1 são os mais comuns e geralmente contêm um slot. Os leitores de cartão inteligente de classe 1 são compatíveis, geralmente com um driver de dispositivo padrão CCID fornecido com o sistema operacional.
  • Os leitores de cartão inteligente de classe 2 também contêm um teclado seguro que não pode ser acessado pelo dispositivo do usuário. Os leitores de cartão inteligente de classe 2 podem ser incorporados ao teclado regular com um teclado seguro integrado. Para leitores de cartão inteligente de classe 2, entre em contato com um representante da Citrix; um driver de dispositivo específico para leitor pode ser necessário para habilitar o recurso de teclado seguro.
  • Os leitores de cartão inteligente de classe 3 também contêm uma tela segura. Os leitores de cartão inteligente de classe 3 não são suportados.
  • Os leitores de cartão inteligente de classe 4 também contêm um módulo de transação seguro. Os leitores de cartão inteligente de classe 4 não são suportados.

Nota:

A classe do leitor de cartão inteligente não está relacionada com a classe de dispositivo USB.

Os leitores de cartão inteligente devem ser instalados com um driver de dispositivo correspondente no dispositivo do usuário.

Para obter informações sobre leitores compatíveis de cartão inteligente, consulte a documentação do aplicativo Citrix Workspace que você está usando. Na documentação do aplicativo Citrix Workspace, as versões compatíveis são listadas na seção sobre cartões inteligentes ou na seção de requisitos do sistema.

Experiência do usuário

O suporte a cartões inteligentes é integrado ao Citrix Virtual Apps and Desktops usando um canal virtual de cartão inteligente ICA/HDX específico que é ativado por padrão.

Importante: não use o redirecionamento USB genérico para leitores de cartão inteligente. Essa funcionalidade é desativada por padrão para leitores de cartão inteligente e, se ativada, não é compatível.

Vários cartões inteligentes e vários leitores podem ser utilizados no mesmo dispositivo de usuário, mas se a autenticação de passagem estiver em uso, apenas um cartão inteligente deve ser inserido quando o usuário iniciar uma área de trabalho ou aplicativo virtual. Quando um cartão inteligente é usado em um aplicativo (por exemplo, para funções de criptografia ou assinatura digital), pode haver outras solicitações para inserir um cartão inteligente ou inserir um PIN. Isso pode ocorrer se mais de um cartão inteligente tiver sido inserido ao mesmo tempo.

  • Se os usuários forem solicitados a inserir um cartão inteligente quando o cartão inteligente já estiver no leitor, eles devem selecionar Cancelar.
  • Se os usuários forem solicitados a inserir o PIN, eles devem inserir o PIN novamente.

Você pode redefinir os PINs usando um sistema de gerenciamento de cartões ou um utilitário do fornecedor.

Importante:

Em uma sessão do Citrix Virtual Apps ou do Citrix Virtual Desktops, o uso de um cartão inteligente com o aplicativo de Conexão de Área de Trabalho Remota da Microsoft não é suportado. Isso é descrito às vezes como um uso de “salto duplo”.

Antes de implantar cartões inteligentes

  • Obtenha um driver de dispositivo para o leitor de cartão inteligente e instale-o no dispositivo do usuário. Muitos leitores de cartão inteligente podem usar o driver de dispositivo CCID fornecido pela Microsoft.
  • Obtenha um driver de dispositivo e um software de provedor de serviços de criptografia (CSP) do fornecedor do seu cartão inteligente e instale-os em dispositivos de usuários e áreas de trabalho virtuais. O driver e o software CSP devem ser compatíveis com o Citrix Virtual Apps and Desktops; verifique a documentação do fornecedor para saber sobre a compatibilidade. Para áreas de trabalho virtuais que usam cartões inteligentes que suportam e usam o modelo minidriver, o download dos minidrivers de cartão inteligente ocorre automaticamente, mas você também pode obtê-los em http://catalog.update.microsoft.com ou com o seu fornecedor. Além disso, se o middleware PKCS#11 for necessário, peça-o para o fornecedor do cartão.
  • Importante: a Citrix recomenda que você instale e teste os drivers e o software CSP em um computador físico antes de instalar o software da Citrix.
  • Adicione o URL do Citrix Receiver para Web à lista de sites confiáveis para usuários que usam cartões inteligentes no Internet Explorer com Windows 10. No Windows 10, o Internet Explorer não é executado no modo protegido por padrão para sites confiáveis.
  • Certifique-se de que sua infraestrutura de chave pública (PKI) esteja configurada adequadamente. Isso inclui garantir que o mapeamento do certificado à conta esteja configurado corretamente para o ambiente do Active Directory e que a validação do certificado do usuário possa ser executada com êxito.
  • Certifique-se de que a sua implantação atenda aos requisitos de sistema dos outros componentes Citrix usados com cartões inteligentes, incluindo o aplicativo Citrix Workspace e o StoreFront.
  • Garanta o acesso aos seguintes servidores no seu site:
    • Controlador de domínio do Active Directory da conta de usuário que está associada a um certificado de logon no cartão inteligente
    • Delivery Controller
    • Citrix StoreFront
    • Citrix Gateway/Citrix Access Gateway 10.x
    • VDA
    • (Opcional para Remote PC Access): Microsoft Exchange Server

Habilitar o uso de cartão inteligente

Etapa 1. Emita cartões inteligentes para os usuários de acordo com a sua política de emissão de cartão.

Etapa 2. (Opcional) Configure os cartões inteligentes para habilitar os usuários para o Remote PC Access.

Etapa 3. Instale e configure o Delivery Controller e o StoreFront (se ainda não estiverem instalados) para controlar remotamente o cartão inteligente.

Etapa 4. Habilite o StoreFront para uso do cartão inteligente. Para obter detalhes, consulte Configurar autenticação de cartão inteligente na documentação do StoreFront.

Etapa 5. Habilite o Citrix Gateway/Access Gateway para o uso de cartão inteligente. Para obter detalhes, consulte Configurar autenticação e autorização e Configurar acesso a cartão inteligente com Web Interface na documentação do NetScaler.

Etapa 6. Habilite VDAs para uso de cartão inteligente.

  • Assegure-se de que o VDA tenha os aplicativos e as atualizações necessários.
  • Instale o middleware.
  • Configure o controle remoto do cartão inteligente, permitindo a comunicação de dados de cartões inteligentes entre o aplicativo Citrix Workspace em um dispositivo de usuário e uma sessão de área de trabalho virtual.

Etapa 7. Habilite dispositivos de usuário (incluindo computadores associados ao domínio ou não associados ao domínio) para uso de cartões inteligentes. Consulte Configurar autenticação de cartão inteligente na documentação do StoreFront para obter detalhes.

  • Importe o certificado raiz da autoridade de certificação e o certificado de autoridade de certificação emissora para o keystore do dispositivo.
  • Instale o middleware de cartão inteligente do seu fornecedor.
  • Instale e configure o aplicativo Citrix Workspace para Windows, importando o icaclient.adm usando o Console de Gerenciamento de Política de Grupo e habilite a autenticação de cartão inteligente.

Etapa 8. Teste a implantação. Certifique-se de que a implantação esteja configurada corretamente, iniciando uma área de trabalho virtual com o cartão inteligente de um usuário de teste. Teste todos os mecanismos de acesso possíveis (por exemplo, acessar a área de trabalho por meio do Internet Explorer e do aplicativo Citrix Workspace).

Rastrear a contagem de inserções no leitor de cartão inteligente

Com o controle remoto de cartão inteligente, você pode rastrear o número de vezes que um cartão inteligente foi inserido ou removido de um leitor usando a função SCardGetStatusChange. A função atualiza uma matriz de estruturas de dados SCARD_READERSTATE — uma por cada leitor que você monitora. A palavra superior (16 bits) do campo dwEventState de cada SCARD_READERSTATE contém a contagem de leitores. Para obter mais informações, consulte os artigos da Microsoft SCardGetStatusChangeA function e SCARD_READERSTATEA structure.

A configuração do relatório de inserções Reader Insert Count Reporting está desativada por padrão. Para ativar o rastreamento, adicione a seguinte chave de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard

Nome: EnableReaderInsertCountReporting

Tipo: DWORD

Valor: qualquer valor diferente de zero

Quando a sessão se desconecta, a contagem é reiniciada do zero.

O Reader Insert Count Reporting é compatível com middleware de cartão inteligente de terceiros.