Product Documentation

使用智能卡安全地进行身份验证

Nov 06, 2015

在组织中管理智能卡时的注意事项:

  • 在同一个用户设备上可以使用多个智能卡和多个读卡器,但是,如果正在使用直通身份验证,当用户启动虚拟桌面或应用程序时必须仅插入一个智能卡。在应用程序中使用智能卡时(例如,为了实现数字签名或加密功能),可能会出现要求插入智能卡或输入 PIN 的其他提示。同时插入多个智能卡时可能会发生这种情况。当智能卡已插入读卡器中,但仍提示插入智能卡时,应选择取消。如果提示输入 PIN,就应该重新输入 PIN。
  • 如果将 Windows Server 2008 或 2008 R2 上运行的托管应用程序与需要安装 Microsoft 基本智能卡加密服务提供程序的智能卡一起使用,您可能会发现如果某个用户运行了智能卡事务,则其他所有正在使用智能卡登录的用户都将被阻止。有关更多详细信息和用于解决此问题的修补程序,请参阅 http://support.microsoft.com/kb/949538

您的组织可能具有有关智能卡使用的特定安全策略。例如,这些策略可能说明如何颁发智能卡,以及用户应该如何保护这些智能卡。在 XenDesktop 环境中,可能需要重新评估这些策略的某些方面。

您可以使用卡管理系统或供应商实用程序重置 PIN。

读卡器

支持符合 USB 芯片/智能卡接口设备 (CCID) 规范的 ZKA(Zentraler Kredit Ausschuss 或 Central Credit Committee)1 类接触式读卡器。这些读卡器包含用户可插入智能卡的插槽或刷槽。不支持包括 2 类(带有用于输入 PIN 的键盘的读卡器)非接触式读卡器在内的其他类读卡器和基于可信平台模块 (TPM) 芯片的虚拟智能卡。

您必须获得智能卡读卡器的设备驱动程序,并将其安装到用户设备。许多智能卡读卡器可以使用 Microsoft 提供的 CCID 设备驱动程序。

必须从智能卡供应商处获取设备驱动程序和加密服务提供程序 (CSP) 软件,然后将其安装在用户设备和虚拟桌面上。驱动程序和 CSP 软件必须与 Citrix XenDesktop 兼容。请查阅供应商的文档以了解兼容性。Citrix 建议您:

  • 首先安装驱动程序和 CSP 软件,再在其上安装任何 Citrix 软件。
  • 在物理机上,首先安装和测试驱动程序,再安装 Citrix 软件。
注意:对于通过支持并使用微型驱动程序模型的智能卡运行 Windows 7 的虚拟桌面,智能卡微型驱动程序应该会自动下载,您也可以从 http://catalog.update.microsoft.com 或从供应商处获取。此外,如果需要 PKCS#11 中间件,请从卡供应商处获取。

智能卡支持还涉及 Citrix 合作伙伴提供的组件。这些组件由合作伙伴独立更新,这些主题中不进行介绍。有关详细信息,请参阅 http://www.citrix.com/ready/ 上的 Citrix Ready 计划。

通过智能卡远程访问

  • 仅在远程访问运行 Windows 7 或 Windows 8 的办公室物理 PC 时支持智能卡;运行 Windows XP 的办公室 PC 不支持智能卡。
  • 以下智能卡已通过 Remote PC Access 进行测试:
    • Gemalto .Net 2.0 及 Gemalto .Net 微型驱动程序
    • Gemalto IDPrime .NET 510 及 Gemalto .Net 微型驱动程序
    • Gemalto PIV 卡及 ActivIdentity ActivClient 6.2

用户设备

用户设备必须运行 Citrix Receiver、相应的中间件和以下操作系统之一:

  • Windows 8(包括 Embedded Edition),32 位和 64 位版本
  • Windows 7(包括 Embedded Edition),32 位和 64 位版本
  • Windows XP Professional,Service Pack 3(32 位版本)

中间件

Receiver 对智能卡的支持基于 Microsoft 个人计算机/智能卡 (Microsoft Personal Computer/Smart Card, PC/SC) 标准规范。智能卡和智能卡设备必须受底层 Windows 操作系统支持,且必须获得 Microsoft Windows Hardware Quality Labs (WHQL) 批准,可用于运行合格 Windows 操作系统的计算机,此为最低要求。有关硬件 PC/SC 合规性的其他信息,请参阅 http://www.microsoft.com

以下智能卡和中间件的组合作为各自类型的代表,已经通过 Citrix 的测试。但是,也可以使用其他智能卡和中间件。有关与 Citrix 兼容的智能卡和中间件的详细信息,请参阅 http://www.citrix.com/ready/zh

Windows
中间件 相配的卡 备注

处于 GSC-IS 模式的 ActivClient 6.2(DoD CAC 版)

DoD CAC 卡

处于 GSC-IS 模式的 ActivClient 7.0

DoD CAC 卡

处于 PIV 模式的 ActivClient 7.0

DoD CAC 卡、NIST PIV 卡

适用于 .NET 卡的 GemAlto 微型驱动程序

GemAlto IDPrime .NET 510

SafeNet Authentication Client 8.x for Windows

USB eToken 5100

其他要求

在进行智能卡部署之前,先执行以下附加任务:

  • 确保正确配置了您的公钥基础结构 (PKI)。包括确保针对 Active Directory 环境正确配置了证书至帐户的映射,并且可以成功执行用户证书验证。
  • 配置组件以使用 TLS 1.0 进行智能卡登录。
  • 确保您的部署符合与智能卡结合使用的其他 Citrix 组件(包括 Receiver 和 StoreFront)的系统要求。