Product Documentation

智能卡

Mar 17, 2016

支持依照此处所述的指导原则来实现智能卡身份验证。

在同一个用户设备上可以使用多个智能卡和多个读卡器,但是,如果正在使用直通身份验证,当用户启动虚拟桌面或应用程序时必须仅插入一个智能卡。 在应用程序中使用智能卡时(例如,为了实现数字签名或加密功能),可能会出现要求插入智能卡或输入 PIN 的其他提示。 同时插入多个智能卡时可能会发生这种情况。 当智能卡已插入读卡器中,但仍提示插入智能卡时,应选择取消。 如果提示输入 PIN,就应该重新输入 PIN。

如果将 Windows Server 2008 或 2008 R2 上运行的托管应用程序与需要安装 Microsoft 基本智能卡加密服务提供程序的智能卡一起使用,您可能会发现如果某个用户运行了智能卡事务,则其他所有正在使用智能卡登录的用户都将被阻止。 有关更多详细信息和用于解决此问题的修补程序,请参阅 http://support.microsoft.com/kb/949538

您的组织可能具有有关智能卡使用的特定安全策略。 例如,这些策略可能说明如何颁发智能卡,以及用户应该如何保护这些智能卡。 在 XenApp 或 XenDesktop 环境中,可能需要重新评估这些策略的某些方面。

您可以使用卡管理系统或供应商实用程序重置 PIN。

智能卡支持还涉及 Citrix 合作伙伴提供的组件。 这些组件由合作伙伴独立更新,这些文档不提供相关信息。 有关详细信息,请参阅 http://www.citrix.com/ready/ 上的 Citrix Ready 计划。

要求

读卡器支持:
  • 支持符合 USB 芯片/智能卡接口设备 (CCID) 规范的 ZKA(Zentraler Kredit Ausschuss 或 Central Credit Committee)1 类接触式读卡器。 这些读卡器包含用户可插入智能卡的插槽或刷槽。 不支持包括 2 类(具有用于输入 PIN 的键盘的读卡器)在内的其他类和非接触式读卡器。
  • 运行 Receiver for Windows 4.3 和 Windows 10 或 8 的用户设备支持虚拟智能卡(基于 Microsoft Windows 可信平台模块的虚拟智能卡)。 7.6 FP3 之前的 XenApp 和 XenDesktop 版本不支持虚拟智能卡。 有关虚拟智能卡的详细信息,请参阅 Microsoft Windows TechCenter 中的 Virtual Smart Card Overview(虚拟智能卡概述)。
  • 获取智能卡读卡器的设备驱动程序,并将其安装到用户设备。 许多智能卡读卡器可以使用 Microsoft 提供的 CCID 设备驱动程序。
  • 从智能卡供应商处获取设备驱动程序和加密服务提供程序 (CSP) 软件,然后将其安装在用户设备和虚拟桌面上。 驱动程序和 CSP 软件必须与 XenApp 和 XenDesktop 兼容;请查阅供应商的文档以了解兼容性。

Important

首先安装驱动程序和 CSP 软件,再在其上安装任何 Citrix 软件。

  • Citrix 建议首先在物理机上安装和测试驱动程序,然后再安装 Citrix 软件。
  • 对于通过支持并使用微型驱动程序模型的智能卡运行 Windows 7 的虚拟桌面,智能卡微型驱动程序应该会自动下载,您也可以从 http://catalog.update.microsoft.com 或从供应商处获取。 此外,如果需要 PKCS#11 中间件,请从卡供应商处获取。
通过智能卡实现 Remote PC Access:
  • 仅在远程访问运行 Windows 10、Windows 8 或 Windows 7 的办公室物理 PC 时支持智能卡;运行 Windows XP 的办公室 PC 不支持智能卡。
  • 以下智能卡已通过 Remote PC Access 进行测试: 
    • Gemalto .NET v2+ 及 Gemalto .Net 微型驱动程序
    • NIST PIV 卡及 ActivIdentity ActivClient 6.2
    • NIST PIV 卡及 Microsoft 微型驱动程序
    • CAC 卡及 ActivIdentity ActivClient 6.2
    • 虚拟智能卡及 Microsoft 本机驱动程序

用户设备必须运行 Citrix Receiver、 相应的中间件和以下操作系统之一:Windows 7 或 Windows 8(包括 Embedded Edition)32 位和 64 位版本。

中间件:
  • Receiver 对智能卡的支持基于 Microsoft 个人计算机/智能卡 (Microsoft Personal Computer/Smart Card, PC/SC) 标准规范。 智能卡和智能卡设备必须受底层 Windows 操作系统支持,且必须获得 Microsoft Windows Hardware Quality Labs (WHQL) 批准,可用于运行合格 Windows 操作系统的计算机,此为最低要求。 有关硬件 PC/SC 合规性的其他信息,请参阅 Microsoft 文档。
  • 以下适用于 Windows 系统的智能卡和中间件的组合作为各自类型的代表,已经通过 Citrix 的测试。 但是,也可以使用其他智能卡和中间件。 有关与 Citrix 兼容的智能卡和中间件的详细信息,请参阅 http://www.citrix.com/ready/zh
    中间件相配的卡
    ActivClient 7.0(启用 DoD 模式)DoD CAC 卡
    处于 PIV 模式的 ActivClient 7.0NIST PIV 卡
    Microsoft 微型驱动程序NIST PIV 卡
    适用于 .NET 卡的 GemAlto 微型驱动程序GemAlto .NET v2+

    Microsoft 本机驱动程序

    虚拟智能卡 (TPM)
部署智能卡之前:
  • 在 Windows 10 上的 Internet Explorer 中,为使用智能卡的用户将 Citrix Receiver for Web URL 添加到可信站点列表中。 在 Windows 10 中,Internet Explorer 默认情况下不会针对可信站点采用受保护模式运行。
  • 确保正确配置了您的公钥基础结构 (PKI)。 包括确保针对 Active Directory 环境正确配置了证书至帐户的映射,并且可以成功执行用户证书验证。
  • 配置组件以使用 TLS 1.0 进行智能卡登录。
  • 确保您的部署符合与智能卡结合使用的其他 Citrix 组件(包括 Receiver 和 StoreFront)的系统要求。
  • 确保可以访问您站点中的以下服务器:
    • 与智能卡上的登录证书相关联的用户帐户的 Active Directory 域控制器
    • Delivery Controller
    • Citrix StoreFront
    • Citrix NetScaler Gateway/Citrix Access Gateway 10.x
    • Virtual Delivery Agent
    • (对于远程访问可选):Microsoft Exchange Server
  • 您应该熟悉一般的智能卡技术和您所选的特定技术以及 SDK。 还应该了解如何在分布式环境中安装和维护证书。

支持使用智能卡

  1. 启用产品对智能卡的使用。
    1. 根据卡颁发策略向用户颁发智能卡。
    2. (可选)设置智能卡,以便为用户启用 Remote PC Access。
    3. 安装并配置 Delivery Controller 和 StoreFront(如果尚未安装)以实现智能卡远程连接功能。
  2. 启用 StoreFront 以使用智能卡。 有关详细信息,请参阅 StoreFront 文档中的配置智能卡身份验证
  3. 启用 NetScaler Gateway/Access Gateway 以使用智能卡。 有关详细信息,请参阅 NetScaler 文档中的配置身份验证和授权通过 Web Interface 配置智能卡访问权限
  4. 启用 Virtual Delivery Agent (VDA) 以使用智能卡。
    1. 确保 Virtual Delivery Agent 具有必需的应用程序和更新。
    2. 安装中间件。
    3. 设置智能卡远程连接功能,在用户设备上的 Receiver 与虚拟桌面会话之间启用智能卡数据的通信。
  5. 使用户设备(包括加入域的计算机或未加入域的计算机)支持使用智能卡。 有关详细信息,请参阅 StoreFront 文档中的配置智能卡身份验证
    1. 将证书颁发机构根证书和证书颁发机构证书导入到设备的密钥库中。
    2. 安装供应商的加密中间件。
    3. 安装并配置 Receiver for Windows,确保使用组策略管理控制台导入 icaclient.adm 并启用智能卡身份验证。
  6. 测试部署。 使用测试用户的智能卡启动虚拟桌面,来确保已正确配置您的部署。 测试所有可能的访问机制(例如,通过 Internet Explorer 和 Receiver 访问桌面)。