Product Documentation

将智能卡与 XenApp 一起使用

Sep 14, 2015

您可以在 XenApp 环境中使用智能卡。智能卡是内嵌有计算机芯片的小型塑料卡。

在 XenApp 环境中,智能卡可用于:
  • 对访问网络和计算机的用户进行身份验证
  • 保护通过网络进行的通道通信
  • 使用数字签名签署内容

如果使用智能卡来进行安全网络身份验证,则用户可以通过身份验证来访问服务器上发布的应用程序和内容。此外,这些已发布应用程序中的智能卡功能也受支持。

例如,可将已发布的 Microsoft Outlook 应用程序配置为要求用户将智能卡插入与客户端设备连接的智能卡读卡器以登录服务器。用户通过应用程序的身份验证后,便可使用智能卡中存储的证书以数字形式签署电子邮件。

Citrix 已对智能卡进行检测,证明其符合国际标准化组织 (ISO) 的 7816 标准,该标准是针对带有电气触点的卡(称为接触式卡,通过智能卡读卡器设备与计算机系统连接)制订的。通过串行端口、USB 或 PCMCIA 端口,可将读卡器连接到主机。
注意:请先连接智能卡读卡器,然后再启动 ICA 会话。如果先启动 ICA 会话,然后再连接读卡器,用户必须先断开连接并重新启动 ICA 会话,才能在会话中使用智能卡。有关详细信息,请参阅 http://support.citrix.com/article/CTX132230

Citrix 支持使用基于 PC/SC 的加密智能卡。这些卡支持加密操作,如数字签名和加密。加密卡旨在允许安全存储私钥,例如,那些用于公钥基础结构 (PKI) 安全系统的密钥。这些卡对智能卡本身执行实际加密功能,也就是说私钥和数字证书离不开这些卡。

此外,Citrix 还支持双因素身份验证以增强安全性。除了仅出示智能卡(第一个因素)执行事务之外,还需要使用一个由用户定义并且只有用户本人知道的 PIN(第二个因素),来证明持卡人才是该智能卡的合法所有者。
注意:XenApp 不支持将 RSA Security Inc. PKCS(公钥加密标准)第 11 条功能规范用作个人加密令牌。

也可以将智能卡与 XenApp 的 Web Interface 一起使用。有关详细信息,请参阅 Web Interface 管理员文档。

智能卡要求

将智能卡与 XenApp 一起使用之前,请咨询智能卡供应商或集成商,以确定具体实施的详细配置要求。

服务器上需要安装以下组件:
  • PC/SC 软件
  • 加密服务提供程序 (CSP) 软件
在运行支持的 Citrix Receiver 或客户端的设备上需要安装以下组件:
  • PC/SC 软件
  • 智能卡读卡器软件驱动程序
  • 智能卡读卡器

您的 Windows 服务器和客户端操作系统可能已随附 PC/SC、CSP 或智能卡读卡器驱动程序。有关这些软件组件是否受支持或是否必须替换为供应商特定的软件的信息,请咨询您的智能卡供应商。

如果您可以分别安装智能卡读卡器驱动程序部分和 CSP 部分,则在安装 CSP 软件期间不需要将智能卡读卡器连接到服务器。

如果使用传递身份验证将凭据从您的客户端设备传递到智能卡服务器会话,该客户端设备上必须安装了 CSP 软件。

为智能卡配置 XenApp

完整且安全的智能卡解决方案可能比较复杂,Citrix 建议您咨询智能卡供应商或集成商以获得详细信息。智能卡实施方案的配置和第三方安全系统(例如证书颁发机构)的配置不在本文档的讨论范围内。

支持使用智能卡在用户访问已发布应用程序时进行身份验证,也支持在提供智能卡功能的已发布应用程序内部使用智能卡。在安装 XenApp 时,默认情况下只启用前者。

以下 Citrix Receiver 和客户端支持智能卡:
  • Receiver for Windows
  • Receiver for Linux
  • Receiver for MacIntosh
  • 基于 Windows 的终端客户端

要为 Receiver 或客户端用户配置智能卡支持,请参阅 Receiver 或客户端文档。