Citrix Gateway

配置智能卡身份验证

您可以将 Citrix Gateway 配置为使用加密智能卡对用户进行身份验证。

要将智能卡配置为与 Citrix Gateway 一起使用,您需要执行以下操作:

  • 创建证书身份验证策略。有关详细信息,请参阅配置客户端证书身份验证
  • 将身份验证策略绑定到虚拟服务器。
  • 将颁发客户端证书的证书颁发机构 (CA) 的根证书添加到 Citrix Gateway。有关详细信息,请参阅在 Citrix Gateway 上安装根证书的步骤

    重要提示:将根证书添加到虚拟服务器进行智能卡身份验证时,必须从“ 选择 CA 证书”下拉框中选择证书,如下图所示。 图 1. 为智能卡身份验证添加根证书

    本地化后的图片

创建客户端证书后,可以将证书(称为闪存)写入智能卡上。完成该步骤后,可以测试智能卡。

如果为智能卡直通身份验证配置 Web Interface,如果存在以下条件之一,则单点登录 Web Interface 将失败:

  • 如果您将“已发布的应用程序”选项卡上的域设置为 mydomain.com 而不是我的域。
  • 如果未在“已发布的应用程序”选项卡上设置域名,并且如果运行该命令,则该值设置为 1。在这种情况下,UserPrincipalName 包含域名“mydomain.com”。

您可以使用智能卡身份验证来简化用户的登录过程,同时提高用户访问基础结构的安全性。对内部企业网络的访问受使用公钥基础结构的基于证书的双重身份验证的保护。私钥受硬件控制保护,离不开智能卡。使用智能卡和 PIN,用户可以方便地从一系列的企业设备访问其桌面和应用程序。

可以使用智能卡通过 StoreFront 对 Citrix Virtual Apps and Desktops 提供的桌面和应用程序进行用户身份验证。登录 StoreFront 的智能卡用户也可以访问 Citrix Endpoint Management 提供的应用程序。但是,用户必须再次进行身份验证才能访问使用客户端证书身份验证的 Endpoint Management Web 应用程序。

有关更多信息,请参阅 StoreFront 文档中的配置智能卡身份验证

使用安全 ICA 连接配置智能卡身份验证

通过使用在 Citrix Gateway 上配置的具有单点登录功能的智能卡登录并建立安全 ICA 连接的用户可能会在两个不同的时间收到提示输入其个人标识号 (PIN):登录时和尝试启动已发布资源时。如果 Web 浏览器和 Citrix Workspace 应用程序使用配置为使用客户端证书的同一虚拟服务器,则会出现此情况。Citrix Workspace 应用程序不会与 Web 浏览器共享进程或安全套接字层 (SSL) 连接。因此,当 ICA 连接完成与 Citrix Gateway 的 SSL 握手时,第二次需要客户端证书。

要防止用户接收第二个 PIN 提示,您必须更改两个设置:

  • 必须禁用 VPN 虚拟服务器上的客户端身份验证。
  • 必须启用 SSL 重新协商。

配置虚拟服务器后,将一个或多个 STA 服务器绑定到虚拟服务器,如中所述在 Web Interface 5.3 中配置 Citrix Gateway 设置

您可能还需要测试智能卡身份验证。

要禁用客户端身份验证,请执行以下操作:

  1. 在配置实用程序中的“配置”选项卡的导航窗格中,展开 Citrix Gateway,然后单击“虚拟服务器”。
  2. 在主详细信息窗格中选择相关虚拟服务器,然后单击编辑。
  3. 在“高级选项”窗格中,单击“SSL 参数”。
  4. 清除“客户端身份验证”复选框。
  5. 单击完成。

要启用 SSL 重新协商,请执行以下操作:

  1. 使用配置实用程序,从“配置”选项卡,导航到“流量管理”,然后点击 SSL。
  2. 在主面板中,单击更改高级 SSL 设置。
  3. 从“拒绝 SSL 重新协商”菜单中,选择“否”。

要测试智能卡身份验证,请执行以下操作:

  1. 将智能卡连接到用户设备。
  2. 打开 Web 浏览器并登录到 Citrix Gateway。
配置智能卡身份验证