XenApp and XenDesktop

智能卡

根据本文中介绍的指导原则,智能卡以及等效技术均受支持。 要对 XenApp 或 XenDesktop 使用智能卡,请执行以下操作:

  • 了解贵组织的与使用智能卡有关的安全策略。例如,这些策略可能说明如何颁发智能卡,以及用户应该如何保护这些智能卡。在 XenApp 或 XenDesktop 环境中,可能需要重新评估这些策略的某些方面。
  • 确定要与智能卡结合使用的用户设备类型、操作系统和已发布的应用程序。
  • 熟悉智能卡技术以及选定智能卡供应商提供的硬件和软件。
  • 了解如何在分布式环境中部署数字证书。

智能卡类型

企业和使用者智能卡具有相同的尺寸和电连接器,并且适合相同的智能卡读卡器。

供企业使用的智能卡包含数字证书。这些智能卡支持 Windows 登录,并且还可以与应用程序结合使用以进行数字签名以及文档和电子邮件的加密。XenApp 和 XenDesktop 支持这些用法。

供使用者使用的智能卡不包含数字证书,但包含一个共享机密。这些智能卡可以支持付款(例如,签名支付或芯片密码信用卡)。这些智能卡不支持 Windows 登录或典型的 Windows 应用程序。需要对这些智能卡使用专用 Windows 应用程序和适用的软件基础结构(例如,包括与支付卡网络建立连接)。有关与支持在 XenApp 或 XenDesktop 上使用这些专用应用程序有关的信息,请联系您的 Citrix 代表。

对于企业智能卡,这些是能够以相似的方式使用的兼容等效物。

  • 与智能卡等效的 USB 令牌直接连接到 USB 端口。这些 USB 令牌通常与 U 盘大小相同,但可以像手机中使用的 SIM 卡一样小。这些令牌显示为智能卡与 USB 智能卡读卡器的组合。
  • 使用 Windows 受信任的平台模块 (TPM) 的虚拟智能卡显示为智能卡。使用的最低 Citrix Receiver 版本为 4.3 的 Windows 8 和 Windows 10 支持这些虚拟智能卡。
    • 7.6 FP3 之前的 XenApp 和 XenDesktop 版本不支持虚拟智能卡。
    • 有关虚拟智能卡的详细信息,请参阅虚拟智能卡概览

注意:术语“虚拟智能卡”还用于描述完全存储在用户计算机上的数字证书。这些数字证书严格而言不等同于智能卡。

XenApp 和 XenDesktop 的智能卡支持基于 Microsoft 个人计算机/智能卡 (PC/SC) 标准规范。智能卡和智能卡设备必须受底层 Windows 操作系统支持,并且必须获得 Microsoft Windows 硬件质量实验室 (WHQL) 批准,可在运行合格 Windows 操作系统的计算机上使用,这是最低要求。有关硬件 PC/SC 合规性的其他信息,请参阅 Microsoft 文档。 其他类型的用户设备可能遵守 PS/SC 标准。有关详细信息,请参阅 https://www.citrix.com/ready/ 上的 Citrix Ready 计划。

一般情况下,每个供应商的智能卡或等效物都需要独立的设备驱动程序。但是,如果智能卡遵守诸如 NIST 个人身份验证 (PIV) 标准等标准,则可以对一系列智能卡使用单个设备驱动程序。必须将设备驱动程序同时安装在用户设备和 Virtual Delivery Agent (VDA) 上。设备驱动程序通常作为 Citrix 合作伙伴提供的智能卡中间件软件包的一部分提供;智能卡中间件软件包将提供高级功能。此外,还可以将设备驱动程序描述为加密服务提供程序 (CSP)、密钥存储提供程序 (KSP) 或微型驱动程序。

以下适用于 Windows 系统的智能卡和中间件的组合作为各自类型的代表,已经通过 Citrix 的测试。但是,也可以使用其他智能卡和中间件。有关与 Citrix 兼容的智能卡和中间件的详细信息,请参阅 https://www.citrix.com/ready

中间件 相配的卡
ActivClient 7.0(启用 DoD 模式) DoD CAC 卡
处于 PIV 模式的 ActivClient 7.0 NIST PIV 卡
Microsoft 微型驱动程序 NIST PIV 卡
适用于 .NET 卡的 GemAlto 微型驱动程序 Gemalto .NET v2+
Microsoft 本机驱动程序 虚拟智能卡 (TPM)

有关对其他设备类型使用智能卡的信息,请参阅 Citrix Receiver 文档中与该设备有关的内容。

有关对其他设备类型使用智能卡的信息,请参阅 Citrix Receiver 文档中与该设备有关的内容。

Remote PC Access

仅在远程访问运行 Windows 10、Windows 8 或 Windows 7 的办公室物理 PC 时支持智能卡;运行 Windows XP 的办公室 PC 不支持智能卡。

以下智能卡已通过 Remote PC Access 进行测试:

中间件 相配的卡
Gemalto .NET 微型驱动程序 Gemalto .NET v2+
ActivIdentity ActivClient 6.2 NIST PIV
ActivIdentity ActivClient 6.2 CAC
Microsoft 微型驱动程序 NIST PIV
Microsoft 本机驱动程序 虚拟智能卡

智能卡读卡器类型

智能卡读卡器可能内置在用户设备中,或者单独连接到用户设备(通常通过 USB 或蓝牙进行连接)。 支持遵守 USB 芯片/智能卡接口设备 (CCID) 规范的接触式读卡器。这些读卡器包含用户可插入智能卡的插槽或刷槽。Deutsche Kreditwirtschaft (DK) 标准定义了四种类别的接触式读卡器。

  • 类别 1 智能卡读卡器最常见,通常仅包含一个插槽。随操作系统提供的标准 CCID 设备驱动程序通常支持类别 1 智能卡读卡器。
  • 类别 2 智能卡读卡器还包含一个用户设备无法访问的安全数字小键盘。 类别 2 智能卡读卡器可能内置在具有集成的安全数字小键盘的键盘中。要了解与类别 2 智能卡读卡器有关的信息,请联系您的 Citrix 代表;可能需要安装读卡器特有的设备驱动程序,才能启用安全数字小键盘功能。
  • 类别 3 智能卡读卡器还包含一个安全显示屏。 不支持类别 3 智能卡读卡器。
  • 类别 4 智能卡读卡器还包含一个安全的交易模块。不支持类别 4 智能卡读卡器。

注意:智能卡读卡器类别与 USB 设备类别无关。

智能卡读卡器必须随相应的设备驱动程序一起安装在用户设备上。

有关受支持的智能卡读卡器的信息,请参阅您正在使用的 Citrix Receiver 的文档。在 Citrix Receiver 文档中,支持的版本通常在智能卡一文或系统要求一文中列出。

用户体验

智能卡支持功能通过默认启用的特定 ICA/HDX 智能卡虚拟通道集成在 XenApp 和 XenDesktop 中。

重要:请勿对智能卡读卡器使用通用 USB 重定向。 该功能默认对智能卡读卡器禁用,如果启用,则不受支持。

在同一个用户设备上可以使用多个智能卡和多个读卡器,但是,如果正在使用直通身份验证,当用户启动虚拟桌面或应用程序时必须仅插入一个智能卡。在应用程序中使用智能卡时(例如,为了实现数字签名或加密功能),可能会出现要求插入智能卡或输入 PIN 的其他提示。同时插入多个智能卡时可能会发生这种情况。

  • 当智能卡已插入读卡器中,但仍提示插入智能卡时,应选择取消。
  • 如果提示输入 PIN,则应重新输入 PIN。

如果将 Windows Server 2008 或 2008 R2 上运行的托管应用程序与需要安装 Microsoft 基本智能卡加密服务提供程序的智能卡一起使用,您可能会发现如果某个用户运行了智能卡事务,则其他所有正在使用智能卡登录的用户都将被阻止。有关更多详细信息和用于解决此问题的修补程序,请参阅 https://support.microsoft.com/kb/949538

您可以使用卡管理系统或供应商实用程序重置 PIN。

重要

在 XenApp 或 XenDesktop 会话中,不支持对 Microsoft 远程桌面连接应用程序使用智能卡。这有时称为“双跃点”用法。

部署智能卡之前的准备工作

  • 获取智能卡读卡器的设备驱动程序,并将其安装到用户设备。许多智能卡读卡器可以使用 Microsoft 提供的 CCID 设备驱动程序。
  • 从智能卡供应商处获取设备驱动程序和加密服务提供程序 (CSP) 软件,然后将其安装在用户设备和虚拟桌面上。驱动程序和 CSP 软件必须与 XenApp 和 XenDesktop 兼容;请查阅供应商的文档以了解兼容性。对于支持并使用微型驱动程序模型的智能卡的虚拟桌面,智能卡微型驱动程序应自动下载,但您也可以从 https://catalog.update.microsoft.com 或从供应商处获取。此外,如果需要 PKCS#11 中间件,请从卡供应商处获取。
  • 重要:Citrix 建议您首先在物理计算机上安装并测试驱动程序和 CSP 软件,然后再安装 Citrix 软件。
  • 在 Windows 10 上的 Internet Explorer 中,为使用智能卡的用户将 Citrix Receiver for Web URL 添加到可信站点列表中。在 Windows 10 中,Internet Explorer 默认情况下不会针对可信站点采用受保护模式运行。
  • 确保正确配置了您的公钥基础结构 (PKI)。包括确保针对 Active Directory 环境正确配置了证书至帐户的映射,并且可以成功执行用户证书验证。
  • 确保您的部署符合与智能卡结合使用的其他 Citrix 组件(包括 Citrix Receiver 和 StoreFront)的系统要求。
  • 确保可以访问您站点中的以下服务器:
    • 与智能卡上的登录证书相关联的用户帐户的 Active Directory 域控制器
    • Delivery Controller
    • Citrix StoreFront
    • Citrix NetScaler Gateway/Citrix Access Gateway 10.x
    • VDA
    • (对于 Remote PC Access 可选):Microsoft Exchange Server

支持使用智能卡

步骤 1. 根据智能卡颁发策略向用户颁发智能卡。

步骤 2. (可选)设置智能卡以使用户能够启用 Remote PC Access。

步骤 3. 安装并配置 Delivery Controller 和 StoreFront(如果尚未安装)以实现智能卡远程连接。

步骤 4. 启用 StoreFront 以使用智能卡。有关详细信息,请参阅 StoreFront 文档中的配置智能卡身份验证。

步骤 5. 启用 NetScaler Gateway/Access Gateway 以使用智能卡。有关详细信息,请参阅 NetScaler 文档中的配置身份验证和授权及通过 Web Interface 配置智能卡访问权限。

步骤 6. 启用 VDAs 以使用智能卡。

  • 确保 VDA 具有必需的应用程序和更新。
  • 安装中间件。
  • 设置智能卡远程连接功能,在用户设备上的 Citrix Receiver 与虚拟桌面会话之间启用智能卡数据的通信。

步骤 7. 使用户设备(包括加入域的计算机或未加入域的计算机)支持使用智能卡。有关详细信息,请参阅 StoreFront 文档中的配置智能卡身份验证。

  • 向设备的密钥库中导入证书颁发机构根证书和颁发的证书颁发机构证书。
  • 安装您的供应商提供的智能卡中间件。
  • 安装并配置 Citrix Receiver for Windows,务必使用组策略管理控制台导入 icaclient.adm 并启用智能卡身份验证。

步骤 8. 测试部署。使用测试用户的智能卡启动虚拟桌面,来确保已正确配置您的部署。测试所有可能的访问机制(例如,通过 Internet Explorer 和 Citrix Receiver 访问桌面)。

智能卡