配置智能卡身份验证

您可以将 Citrix 网关配置为使用加密智能卡对用户进行身份验证。

要将智能卡配置为与 Citrix 网关一起使用,您需要执行以下操作:

  • 创建证书身份验证策略。有关详细信息,请参阅配置客户端证书身份验证
  • 将身份验证策略绑定到虚拟服务器。
  • 将颁发客户端证书的证书颁发机构 (CA) 的根证书添加到 Citrix 网关。有关详细信息,请参阅在 Citrix 网关上安装根证书的步骤

    重要提示:将根证书添加到虚拟服务器进行智能卡身份验证时,必须从 “ 选择 CA 证书” 下拉框中选择证书,如下图所示。 图1。为智能卡身份验证添加根证书

    本地化后的图片

创建客户端证书后,可以将证书(称为闪存)写入智能卡上。完成该步骤后,可以测试智能卡。

如果为智能卡直通身份验证配置 Web 界面,如果存在以下条件之一,则单点登录 Web 界面将失败:

  • 如果您将 “已发布的应用程序” 选项卡上的域设置为 mydomain.com 而不是我的域。
  • 如果未在 “已发布的应用程序” 选项卡上设置域名,并且如果运行该命令,则该值设置为 1。在这种情况下,用户主体名称包含域名 “mydomain.com。 “

您可以使用智能卡身份验证来简化用户的登录过程,同时提高用户访问基础结构的安全性。对内部企业网络的访问受使用公钥基础结构的基于证书的双重身份验证的保护。私钥受硬件控制保护,永远不会离开智能卡。您的用户可以使用智能卡和 PIN 从一系列公司设备访问其桌面和应用程序。

您可以使用智能卡通过 StoreFront 对 Citrix 虚拟应用程序和桌面提供的桌面和应用程序进行用户身份验证。登录 StoreFront 的智能卡用户也可以访问 Citrix 端点管理提供的应用程序。但是,用户必须再次进行身份验证才能访问使用客户端证书身份验证的端点管理 Web 应用程序。

有关更多信息,请配置智能卡身份验证参阅店铺文档中的。

使用安全 ICA 连接配置智能卡身份验证

通过使用在 Citrix Gateway 上配置的具有单点登录功能的智能卡登录并建立安全 ICA 连接的用户可能会在两个不同的时间收到提示输入其个人标识号 (PIN):登录时和尝试启动已发布资源时。如果 Web 浏览器和 Citrix Receiver 使用配置为使用客户端证书的同一虚拟服务器,则会出现此情况。Citrix Receiver 不会与 Web 浏览器共享进程或安全套接字层 (SSL) 连接。因此,当 ICA 连接完成与 Citrix 网关的 SSL 握手时,第二次需要客户端证书。

要防止用户接收第二个 PIN 提示,您必须更改两个设置:

  • 必须禁用 VPN 虚拟服务器上的客户端身份验证。
  • 必须启用 SSL 重新协商。

配置虚拟服务器后,将一个或多个 STA 服务器绑定到虚拟服务器,如中所述在 Web 界面 5.3 中配置 Citrix 网关设置

您可能还需要测试智能卡身份验证。

要禁用客户端身份验证,请执行以下操作:

  1. 在配置实用程序中的 “配置” 选项卡的导航窗格中,展开 Citrix 网关,然后单击 “虚拟服务器”。
  2. 在主详细信息窗格中选择相关虚拟服务器,然后单击编辑。
  3. 在 “高级选项” 窗格中,单击 “SSL 参数”。
  4. 清除 “客户端身份验证” 复选框。
  5. 单击完成。

要启用 SSL 重新协商,请执行以下操作:

  1. 使用配置实用程序,从 “配置” 选项卡,导航到 “流量管理”,然后点击 SSL。
  2. 在主面板中,单击更改高级 SSL 设置。
  3. 从 “拒绝 SSL 重新协商” 菜单中,选择 “否”。

要测试智能卡身份验证,请执行以下操作:

  1. 将智能卡连接到用户设备。
  2. 打开 Web 浏览器并登录到 Citrix 网关。

配置智能卡身份验证