设置 Web Studio 的智能卡身份验证
本文概述了为 Web Studio 设置和启用智能卡身份验证所需的步骤:
步骤 5(可选):配置 Web Studio 的身份验证委派
注意:
智能卡身份验证仅支持来自与 Web Studio 服务器相同的 Active Directory 域的用户。
步骤 1:安装智能卡驱动程序
在以下计算机上安装智能卡驱动程序:
- 安装了证书服务的那些域控制器。
- Web Studio 所使用的服务器
- 最终用户用于访问 Web Studio 的计算机
- 用于为智能卡用户注册证书的计算机
智能卡驱动程序因供应商而异。例如,如果使用 ITS 提供的智能卡硬件,请从 https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers 下载 SaftNet 驱动程序。
步骤 2:为智能卡用户颁发证书
注意:
以下步骤作为示例提供,以指导您完成此过程。
在您的域控制器上,按照以下步骤完成任务:
-
访问您的域控制器并打开 证书颁发机构。
- 复制 注册代理 模板。详细步骤如下:
-
右键单击 证书模板 并选择 管理。
- 右键单击 注册代理 并选择 复制模板。
-
在 加密 选项卡上,选择 Microsoft 基本智能卡加密服务提供程序,然后单击 确定。名为 注册代理副本 的模板将显示在 证书模板 列表中。
-
在 主题名称 选项卡上,确保 在主题名称中包含电子邮件 未选中。
-
- 需要为智能卡颁发相应的证书。具体操作步骤如下所示:
- 右键单击证书模板,然后选择新建 > 要颁发的模板。
- 选择注册代理副本和智能卡用户。
- 单击确定。
步骤 3:为智能卡用户注册证书
注意:
以下步骤仅作为示例提供,旨在指导您完成此过程。
在已加入域的物理 Windows 计算机上,请按照以下步骤为每张智能卡注册证书:
- 准备一台已加入域的物理 Windows 计算机用于注册:
- 确保已安装智能卡驱动程序。
- 将智能卡插入计算机。
- 使用您要分配给智能卡的用户帐户登录到计算机。
- 将证书管理单元添加到在步骤 1 中准备的计算机上。详细步骤如下:
- 打开mmc。
- 单击文件,然后单击添加/删除管理单元。
- 在出现的添加或删除管理单元窗口中,选择证书,然后单击添加 >。
- 在出现的对话框中,选择我的用户帐户,然后单击完成。
-
单击确定。
- 为证书管理单元请求新证书。详细步骤如下:
-
转到证书 - 当前用户 > 个人,右键单击证书,然后选择所有任务 > 请求新证书。
-
在出现的请求证书对话框中,选择注册代理副本和智能卡用户。
- 在上述对话框中,单击智能卡用户的详细信息,然后单击属性。将出现证书属性对话框。
- 在私钥选项卡上,展开加密服务提供商,清除Microsoft 增强型加密服务提供商 (加密),仅选择Microsoft 基本智能卡加密服务提供商 (加密),然后单击确定。
- 单击注册。
- 在出现的Windows 安全对话框中,输入智能卡 PIN 码,然后单击确定。注册完成后,单击完成。
-
成功注册后,证书 - 当前用户 -> 个人 -> 证书下将显示两个证书,如以下屏幕截图所示。
Step 4: Configure Web Studio IIS servers
在每台 Web Studio 服务器上,按照以下步骤配置 IIS 以进行智能卡身份验证:
-
为 Web Studio 计算机启用 客户端证书映射身份验证**。
<clientCertificateMappingAuthentication>元素在 IIS 7 及更高版本的默认安装中不可用。有关安装和启用的更多信息,请参阅此 Microsoft 文章。 - 在 Web Studio 计算机上启动 IIS 管理器。
-
为计算机启用 Active Directory 客户端证书身份验证。详细步骤如下:
-
在左侧窗格中选择计算机,然后双击身份验证。
-
启用 Active Directory 客户端证书身份验证。
-
- 为 Web Studio 后端模块配置更安全的 HTTPS 协议,并启用客户端证书身份验证:
-
转到 站点 > 默认网站 > Studio > 后端 > 智能卡,然后在 IIS 部分双击 SSL 设置。
-
为客户端证书选择要求。
-
返回到 站点 > 默认网站 > Studio > 后端 > 智能卡,然后双击 IIS 部分中的 配置编辑器。
-
Make sure /clientCertificateMappingAuthentication is enabled.
-
-
(仅限 Windows 2022)禁用通过 TCP 的 TLS 3.1。详细步骤如下:
- 转到 站点 > 默认网站。
- 单击 编辑站点 > 绑定。
-
在出现的“站点绑定”对话框中,选择 https 记录,然后单击“编辑”。
-
在出现的“编辑站点绑定”对话框中,选择“禁用通过 TCP 的 TLS 1.3”,然后单击“确定”。
须知:
Web Studio 后端是 Web Studio 中的一个模块,提供以下功能:
- 智能卡身份验证。
- 使用集成 Windows 身份验证从编排服务检索 FMA 持有者令牌。
步骤 5(可选)为 Web Studio 配置身份验证委派
当 Web Studio 和 交付控制器 安装在不同的服务器上时,您必须为每个 Web Studio 服务器配置到 交付控制器 的 HOST 和 HTTPS 服务委派。
请按照以下步骤为每个 Web Studio 服务器完成此任务:
- 导入交付控制器™ 编排 HTTPS 证书(#import-the-delivery-controller-orchestration-https-certificate)
- 为 Web Studio 服务器配置委派
- 为 Web Studio IIS 服务器的服务帐户配置委派
导入交付控制器编排 HTTPS 证书
在 Web Studio 服务器上,将 Delivery Controller 编排 HTTPS 证书导入到受信任的根证书颁发机构。详细步骤如下:
- 启动设置 > 管理计算机证书。
-
右键单击受信任的根证书颁发机构 > 证书,然后选择所有任务 > 导入。
- 按照屏幕上的说明导入 交付控制器编排 HTTPS 证书。
为 Web Studio 服务器配置委派
在域控制器上,为 Web Studio 服务器配置到 Delivery Controller 的 HOST 和 HTTP 服务委派。请按照以下步骤完成此任务:
- 在域控制器上,启动 Active Directory 管理中心。
- 找到您要为其配置委派的 Web Studio 服务器的 计算机 帐户(例如,Dan002)。
-
右键单击该帐户并选择 属性。
为 Studio 服务器配置委派(/zh-cn/citrix-virtual-apps-desktops/media/kerbero-delegation-1.png)
-
转到 委派 选项卡。
- 选择 仅信任此用户进行指定服务委派 > 使用任何身份验证协议。
- 单击 添加 以指定此计算机帐户可以委派给哪些服务。
- 在出现的 添加服务 对话框中,单击 添加用户或计算机 以查找 Delivery Controller 的计算机名称(例如,Dan001)。
- 选择 HOST 和 HTTP 服务,然后单击 确定。
-
配置结果显示在以下屏幕截图中。 管理证书模板(/zh-cn/citrix-virtual-apps-desktops/media/kerbero-delegation-result-1.png)
配置 Web Studio IIS 服务器服务帐户的委派
如果您已为 Web Studio IIS 服务器配置了服务帐户,您还需要为此服务帐户配置到 Delivery Controller 的委派,以用于 HOST 和 HTTP 服务。建立此委派后,Web Studio 服务器可以使用其服务帐户模拟当前智能卡用户来访问交付组的 HOST 和 HTTP 服务。请按照以下步骤完成配置:
- 在域控制器上,启动 Active Directory 管理中心。
- 找到您要为其配置委派的 用户 帐户(例如,svr-stud-002)。
- 右键单击该帐户并选择 属性。
- 按照步骤 2 中所述的步骤,将 Web Studio IIS 服务帐户委派给交付控制器的 HOST 和 HTTP 服务。
配置结果将会在以下屏幕截图中显示。
步骤 6:为 Web Studio 启用智能卡身份验证
按照以下步骤为 Web Studio 启用智能卡身份验证:
- 登录到 Web Studio 并在左侧窗格中选择设置。
- 根据需要选择智能卡身份验证或域凭据 + 智能卡身份验证。
- 根据需要选择智能卡身份验证或域凭据或智能卡身份验证。
-
单击应用。
