产品文档

配置 PIV 智能卡身份验证

June 2, 2026
投稿者: 
C

本文列出了在 Director 服务器和 Active Directory 中启用智能卡身份验证功能所需的配置。

注意:

智能卡身份验证仅支持来自同一 Active Directory 域的用户。

Director 服务器的配置

在 Director 服务器上执行以下配置步骤:

  1. 安装并启用客户端证书映射身份验证。请遵循 Microsoft 文档客户端证书映射身份验证中的使用 Active Directory 的客户端证书映射身份验证说明。

  2. 在 Director 站点上禁用表单身份验证。

    启动 IIS 管理器。

    转至 站点 > 默认网站 > Director

    选择身份验证

    右键单击表单身份验证,然后选择禁用

    禁用表单身份验证

  3. 配置 Director URL 以使用更安全的 HTTPS 协议(而非 HTTP)进行客户端证书身份验证。

    1. 启动 IIS 管理器。

    2. 转到 站点 > 默认网站 > Director

    3. 选择 SSL 设置

    4. 选择 要求 SSL客户端证书 > 要求

    SSL 配置的详细设置界面

  4. 请务必对 web.config 配置文件进行更新操作。您需要使用任何文本编辑工具打开 web.config 文件,该文件通常可以在 c:\inetpub\wwwroot\Director 路径下找到。

<system.webServer> 父元素下,将以下代码片段添加为第一个子元素:

<defaultDocument>
   <files>
       <add value="LogOn.aspx"/>
   </files>
</defaultDocument>

活动目录配置设置

默认情况下,Director 应用程序使用 应用程序池 标识属性运行。智能卡身份验证需要委派,为此,Director 应用程序标识必须在服务主机上具有可信计算基 (TCB) 权限。

Citrix 建议您为应用程序池标识创建单独的服务帐户。根据 Microsoft MSDN 文章 使用受限委派的协议转换技术补充 中的说明创建服务帐户并分配 TCB 权限。

将新创建的服务帐户分配给 Director 应用程序池。下图显示了示例服务帐户“域池”的属性对话框。

示例服务帐户

针对此帐户,请配置以下服务:

  • 交付控制器™: 主机, HTTP
  • 总监: 主机, HTTP
  • 活动目录: GC, LDAP

要进行配置,

  1. 在用户帐户属性对话框中,单击 添加

  2. 添加服务 对话框中,单击“用户”或“计算机”。

  3. 选择交付控制器主机名。

  4. 可用服务 列表中,选择 HOST 和 HTTP 服务类型

配置服务

同样,为 Director活动目录 主机添加服务类型。

创建服务主体名称记录

您必须为每个 Director 服务器以及用于访问 Director 服务器池的负载均衡虚拟 IP (VIP) 创建一个服务帐户。您必须创建服务主体名称 (SPN) 记录,以配置对新创建的服务帐户的委派。

  • 使用以下命令为 Director 服务器创建 SPN 记录:

      setspn -a http/<directorServer>.<domain_fqdn> <domain>\<DirectorAppPoolServiceAcct>

 <!--NeedCopy-->

  • 使用以下命令为负载均衡 VIP 创建 SPN 记录:

      setspn -S http/<DirectorFQDN> <domain>\<DirectorAppPoolServiceAcct>

 <!--NeedCopy-->

  • 使用以下命令查看或测试创建的 SPN:

     setspn –l <DirectorAppPoolServiceAcct>

 <!--NeedCopy-->

智能卡

  • 在左侧窗格中选择 Director 虚拟目录,然后双击 应用程序设置。在“应用程序设置”窗口中,单击 添加 并确保 AllowKerberosConstrainedDelegation 设置为 1。

科尔贝罗斯

  • 在左侧窗格中选择 应用程序池,然后右键单击 Director 应用程序池并选择 高级设置

  • 选择 标识,单击省略号 (“…”) 输入服务帐户域\登录名和密码凭据。关闭 IIS 控制台。

标识

  • 从提升的命令提示符处,将目录更改为 C:\Windows\System32\inetsrv 并输入以下命令:
   appcmd.exe set config “Default Web Site” -section:system.webServer/security/authentication/clientCertificateMappingAuthentication /enabled:”True” /commit:apphost

<!--NeedCopy-->


    appcmd.exe set config “Default Web Site” -section:system.webServer/security/access /sslFlags:”Ssl, SslNegotiateCert” /commit:apphost
<!--NeedCopy-->

命令提示符

Firefox 浏览器配置

要使用 Firefox 浏览器,请安装 OpenSC 0.17.0 中提供的 PIV 驱动程序。有关安装和配置说明,请参阅 在 Firefox 中逐步安装 OpenSC PKCS#11 模块。 有关 Director 中智能卡身份验证功能的使用信息,请参阅 Director 文章中的 将 Director 与基于 PIV 的智能卡身份验证结合使用 部分。

配置 PIV 智能卡身份验证
June 2, 2026
投稿者: 
C
June 2, 2026
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.