智能卡身份验证的要求
Dec 12, 2017
Citrix Receiver for Mac 支持在以下配置中使用智能卡身份验证:
- 对 Receiver for Web/StoreFront 2.x 及更高版本、XenDesktop 7.1 及更高版本或 XenApp 6.5 及更高版本进行智能卡身份验证。
- 支持智能卡的应用程序(例如 Microsoft Outlook 和 Microsoft Office)允许用户对虚拟桌面或应用程序会话中的文档进行数字签名或加密。
- 使用多个证书 — Citrix Receiver for Mac 支持将多个证书与一个或多个智能卡结合使用。如果用户将智能卡插入读卡器,这些证书可用于在用户设备上运行的所有应用程序,包括 Citrix Receiver for Mac。
在双跳会话中 – 如果需要使用双跳,则需要在 Citrix Receiver for Mac 与用户的虚拟桌面之间建立更进一步的连接。
关于对 NetScaler 进行智能卡身份验证
如果智能卡上存在多个可用证书,则使用智能卡对连接进行身份验证时,Citrix Receiver for Mac 会提示您选择证书。选择证书时,Citrix Receiver for Mac 会提示您输入智能卡密码;通过身份验证后,会话将启动。
如果智能卡上只有一个适用证书,Citrix Receiver for Mac 会使用该证书,不提示您进行选择。但是,您仍必须输入与该智能卡关联的密码以对连接进行身份验证以及启动会话。
为智能卡身份验证指定 PKCS#11 模块
注意:不强制安装 PKCS#11 模块。本部分内容仅适用于 ICA 会话。不适用于 Citrix Receiver 对需要智能卡的 NetScaler Gateway 或 StoreFront 的访问。
要为智能卡身份验证指定 PKCS#11 模块,请执行以下操作:
- 在 Citrix Receiver 中,选择首选项。
- 单击安全和隐私。
- 在安全和隐私部分中,单击智能卡。
- 在 PKCS#11 字段中,选择恰当的模块;单击其他浏览到 PKCS#11 模块所在的位置(如果未列出所需模块)。
- 选择恰当的模块后,单击添加。
支持的读卡器、中间件和智能卡配置文件
Citrix Receiver for Mac 支持大部分 macOS 兼容的智能卡读卡器和加密中间件。Citrix 已验证以下各项的操作。
支持的读卡器:
- 通用 USB 连接智能卡读卡器
支持的中间件:
- Clariify
- Activeidentity 客户端版本
- Charismathics 客户端版本
支持的智能卡:
- PIV 卡
- 通用访问卡 (CAC)
- Gemalto .NET 卡
请按照供应商的 macOS 兼容智能卡读卡器和加密中间件提供的配置用户设备的说明进行操作。
限制
- 证书必须存储在智能卡上,而非存储在用户设备上。
- Citrix Receiver for Mac 不保存用户所做的证书选择。
- Citrix Receiver for Mac 不存储或保存用户的智能卡 PIN。PIN 的获取由操作系统进行处理,而操作系统可能有自己的缓存机制。
- 插入智能卡后,Citrix Receiver for Mac 不重新连接会话。
- 要将智能卡身份验证与 VPN 隧道结合使用,用户必须安装 NetScaler Gateway 插件并通过 Web 页登录,在每一步都使用智能卡和 PIN 进行身份验证。使用 NetScaler Gateway 插件通过直通身份验证访问 StoreFront 不适用于智能卡用户。