Produktdokumentation
Citrix Virtual Apps and Desktops 7 2311
PDF anzeigen

Smartcards

June 5, 2026
Beitrag von: 
C

Smartcards und gleichwertige Technologien werden gemäß den in diesem Artikel beschriebenen Richtlinien unterstützt. Um Smartcards mit Citrix Virtual Apps oder Citrix Virtual Desktops™ zu verwenden:

  • Machen Sie sich mit der Sicherheitsrichtlinie Ihres Unternehmens bezüglich der Verwendung von Smartcards vertraut. Diese Richtlinien könnten beispielsweise festlegen, wie Smartcards ausgegeben werden und wie Benutzer sie schützen müssen. Einige Aspekte dieser Richtlinien müssen möglicherweise in einer Citrix Virtual Apps™- oder Citrix Virtual Desktops-Umgebung neu bewertet werden.
  • Bestimmen Sie, welche Benutzergerätetypen, Betriebssysteme und veröffentlichten Anwendungen mit Smartcards verwendet werden sollen.
  • Machen Sie sich mit der Smartcard-Technologie und der Hardware und Software Ihres ausgewählten Smartcard-Anbieters vertraut.
  • Wissen Sie, wie digitale Zertifikate in einer verteilten Umgebung bereitgestellt werden.

Hinweis:

Die Smartcard-Registrierung wird mit Fast Smartcard nicht unterstützt. Die Smartcard-Registrierung funktioniert möglicherweise, wenn Fast Smartcard deaktiviert ist, hängt aber vom Typ der Smartcard und der Middleware ab. Wenden Sie sich an Ihren Smartcard- und Middleware-Anbieter, um Informationen zur Integration mit Citrix Virtual Apps and Desktops und zur Unterstützung der Smartcard-Registrierung über virtuelle Sitzungen zu erhalten.

Arten von Smartcards

Smartcards für Unternehmen und Verbraucher haben die gleichen Abmessungen, elektrischen Anschlüsse und passen in die gleichen Smartcard-Lesegeräte.

Smartcards für den Unternehmenseinsatz enthalten digitale Zertifikate. Diese Smartcards unterstützen die Windows-Anmeldung und können auch mit Anwendungen zur digitalen Signatur und Verschlüsselung von Dokumenten und E-Mails verwendet werden. Citrix Virtual Apps and Desktops™ unterstützen diese Verwendungszwecke.

Smartcards für den Verbrauchergebrauch enthalten keine digitalen Zertifikate; sie enthalten ein gemeinsames Geheimnis. Diese Smartcards können Zahlungen unterstützen (z. B. eine Chip-und-Unterschrift- oder Chip-und-PIN-Kreditkarte). Sie unterstützen weder die Windows-Anmeldung noch typische Windows-Anwendungen. Spezialisierte Windows-Anwendungen und eine geeignete Softwareinfrastruktur (einschließlich, zum Beispiel, einer Verbindung zu einem Zahlungskartennetzwerk) sind für die Verwendung mit diesen Smartcards erforderlich. Wenden Sie sich an Ihren Citrix-Vertreter, um Informationen zur Unterstützung dieser spezialisierten Anwendungen auf Citrix Virtual Apps oder Citrix Virtual Desktops zu erhalten.

Für Unternehmens-Smartcards gibt es kompatible Äquivalente, die auf ähnliche Weise verwendet werden können.

  • Ein Smartcard-äquivalenter USB-Token wird direkt an einen USB-Port angeschlossen. Diese USB-Token haben normalerweise die Größe eines USB-Sticks, können aber auch so klein wie eine in einem Mobiltelefon verwendete SIM-Karte sein. Sie erscheinen als Kombination aus einer Smartcard und einem USB-Smartcard-Lesegerät.
  • Eine virtuelle Smartcard, die ein Windows Trusted Platform Module (TPM) verwendet, erscheint als Smartcard. Diese virtuellen Smartcards werden für Windows 8 und Windows 10 unterstützt, unter Verwendung der Citrix Workspace app (Mindestversion Citrix Receiver 4.3).
    • Versionen von Citrix Virtual Apps and Desktops (ehemals XenApp und XenDesktop) vor XenApp und XenDesktop 7.6 FP3 unterstützen keine virtuellen Smartcards.
    • Weitere Informationen zu virtuellen Smartcards finden Sie unter Übersicht über virtuelle Smartcards.

    Hinweis: Der Begriff „virtuelle Smartcard“ wird auch verwendet, um ein digitales Zertifikat zu beschreiben, das auf dem Benutzercomputer gespeichert ist. Diese digitalen Zertifikate sind nicht streng gleichwertig mit Smartcards.

Die Smartcard-Unterstützung von Citrix Virtual Apps and Desktops basiert auf den Standardspezifikationen für Microsoft Personal Computer/Smart Card (PC/SC). Eine Mindestanforderung ist, dass Smartcards und Smartcard-Geräte vom zugrunde liegenden Windows-Betriebssystem unterstützt und von den Microsoft Windows Hardware Quality Labs (WHQL) für die Verwendung auf Computern mit qualifizierten Windows-Betriebssystemen zugelassen sein müssen. Weitere Informationen zur Hardware-PC/SC-Konformität finden Sie in der Microsoft-Dokumentation. Andere Arten von Benutzergeräten können dem PS/SC-Standard entsprechen. Weitere Informationen finden Sie im Citrix Ready-Programm.

Normalerweise ist für jede Smartcard oder ein gleichwertiges Produkt eines Anbieters ein separater Gerätetreiber erforderlich. Wenn Smartcards jedoch einem Standard wie dem NIST Personal Identity Verification (PIV)-Standard entsprechen, kann es möglich sein, einen einzigen Gerätetreiber für eine Reihe von Smartcards zu verwenden. Der Gerätetreiber muss sowohl auf dem Benutzergerät als auch auf dem Virtual Delivery Agent (VDA) installiert sein. Der Gerätetreiber wird oft als Teil eines Smartcard-Middleware-Pakets geliefert, das von einem Citrix-Partner erhältlich ist; das Smartcard-Middleware-Paket bietet erweiterte Funktionen. Der Gerätetreiber kann auch als Cryptographic Service Provider (CSP), Key Storage Provider (KSP) oder Minidriver bezeichnet werden.

Die folgenden Smartcard- und Middleware-Kombinationen für Windows-Systeme wurden von Citrix als repräsentative Beispiele ihres Typs getestet. Es können jedoch auch andere Smartcards und Middleware verwendet werden. Weitere Informationen zu Citrix-kompatiblen Smartcards und Middleware finden Sie unter http://www.citrix.com/ready.

Middleware Passende Karten
Gemalto Mini-Treiber für .NET-Karte Gemalto .NET v2+

Informationen zur Smartcard-Nutzung mit anderen Gerätetypen finden Sie in der Dokumentation der Citrix Workspace™-App für das jeweilige Gerät.

Remote-PC-Zugriff

Smartcards werden nur für den Remotezugriff auf physische Büro-PCs unterstützt, auf denen Windows 10, Windows 8 oder Windows 7 ausgeführt wird.

Die folgenden Smartcards wurden mit Remote-PC-Zugriff getestet:

Middleware Passende Karten
Gemalto .NET Minidriver Gemalto .NET v2+

Schnelle Smartcard

Die schnelle Smartcard ist eine Verbesserung gegenüber der bestehenden HDX PC/SC-basierten Smartcard-Umleitung. Sie verbessert die Leistung, wenn Smartcards in WAN-Situationen mit hoher Latenz verwendet werden. Bei hoher Latenz kann die Leistungsverbesserung erheblich sein (z. B. 15 Sekunden für eine Windows-Anmeldung mit schneller Smartcard gegenüber mehr als 1 Minute bei der PC/SC-basierten Smartcard-Umleitung).

Die schnelle Smartcard ist standardmäßig auf Hostcomputern mit aktuell unterstützten Windows-VDAs aktiviert. Um die schnelle Smartcard auf der Hostseite zu deaktivieren – zum Beispiel zu Diagnosezwecken – setzen Sie die Registrierungseinstellung „Disable Cryptographic Redirection“ auf einen beliebigen Wert ungleich Null:

HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->

Um die schnelle Smartcard auf der Clientseite zu aktivieren, fügen Sie den ICA-Parameter SmartCardCryptographicRedirection in die Datei default.ica der zugehörigen StoreFront-Site ein:

[WFClient]
SmartCardCryptographicRedirection=On

Zusätzlich kann die schnelle Smartcard auf der Clientseite mit den folgenden Registrierungseinstellungen erzwungen aktiviert oder erzwungen deaktiviert werden (z. B. zu Diagnosezwecken):

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (als DWORD ungleich Null)

Oder

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (als DWORD ungleich Null)

Die 32-Bit-Registrierungsstruktur muss angegeben werden (mithilfe von WOW6432Node), wenn der Clientcomputer 64-Bit ist.

Einschränkungen:

  • Nur die Citrix Workspace-App für Windows unterstützt schnelle Smartcards. Wenn Sie schnelle Smartcards in der Datei default.ica konfigurieren, verwenden Citrix Workspace-Apps, die nicht für Windows sind, weiterhin die bestehende PC/SC-Umleitung.
  • Die einzigen Double-Hop-Szenarien, die die schnelle Smartcard unterstützt, sind ICA® > ICA mit aktivierter schneller Smartcard auf beiden Hops. Da die schnelle Smartcard keine ICA > RDP Double-Hop-Szenarien unterstützt, funktionieren diese Szenarien nicht.
  • Die schnelle Smartcard unterstützt Cryptography Next Generation nicht. Daher unterstützt die schnelle Smartcard keine Smartcards mit Elliptic Curve Cryptography (ECC).
  • Die schnelle Smartcard unterstützt nur schreibgeschützte Schlüsselcontainer-Operationen.
  • Die schnelle Smartcard unterstützt das Ändern der Smartcard-PIN nicht.

Ab VDA-Version 2203 und Citrix Workspace-App-Version 2202 für Windows (oder höher) ist die schnelle Smartcard mit Cryptography Next Generation (CNG) kompatibel. Darüber hinaus werden Smartcards mit Elliptic Curve Cryptography (ECC) mit den folgenden Kurven unterstützt: P-256, P-384, P-521 Bit, sowohl für ECDSA als auch für ECDH.

Ab VDA-Version 2203 bietet die schnelle Smartcard die Möglichkeit, die Smartcard-PIN zwischen Anwendungen derselben Anmeldesitzung des Benutzers zwischenzuspeichern. Wenn beispielsweise die Sitzungs-PIN-Zwischenspeicherung aktiviert ist und der Endbenutzer seine Smartcard-PIN zuvor in Outlook eingegeben hat, verwendet Word beim Signieren eines Dokuments die bereits zwischengespeicherte Smartcard-PIN (die an Outlook übermittelt wurde). Die Sitzungs-PIN-Zwischenspeicherung verbessert die Benutzerfreundlichkeit, indem sie die Häufigkeit reduziert, mit der der Benutzer seine Smartcard-PIN eingeben muss. Wenn die Smartcard für die Anmeldung am VDA verwendet wird, kann die Windows-Smartcard-Anmelde-PIN optional im Sitzungs-PIN-Cache gespeichert werden. Dies kann die Benutzerfreundlichkeit weiter verbessern.

Die Sitzungs-PIN-Zwischenspeicherung ist standardmäßig deaktiviert. Sie kann mit den folgenden Registrierungseinstellungen auf dem VDA aktiviert und gesteuert werden:

Unter HKLM\SOFTWARE\Citrix\SmartCard:

  • EnablePinSessionCache als DWORD (ungleich Null zum Aktivieren)
  • EnableLogonPinSessionCache als DWORD (ungleich Null zum Aktivieren)
  • PinSessionCacheEntryStaleTimeout als DWORD (Anzahl der Sekunden, bevor ein Eintrag veraltet ist, Standard ist 1 Stunde)

Typen von Smartcard-Lesegeräten

Ein Smartcard-Lesegerät kann in das Benutzergerät integriert oder separat an das Benutzergerät angeschlossen sein (normalerweise über USB oder Bluetooth). Kontaktkartenleser, die der USB Chip/Smart Card Interface Devices (CCID)-Spezifikation entsprechen, werden unterstützt. Sie enthalten einen Steckplatz oder eine Führung, in die der Benutzer die Smartcard einführt. Der Standard der Deutschen Kreditwirtschaft (DK) definiert vier Klassen von Kontaktkartenlesern.

  • Smartcard-Lesegeräte der Klasse 1 sind am gebräuchlichsten und enthalten normalerweise einen Steckplatz. Smartcard-Lesegeräte der Klasse 1 werden unterstützt, üblicherweise mit einem Standard-CCID-Gerätetreiber, der mit dem Betriebssystem geliefert wird.
  • Smartcard-Lesegeräte der Klasse 2 enthalten auch eine sichere Tastatur, auf die das Benutzergerät nicht zugreifen kann. Smartcard-Lesegeräte der Klasse 2 können in eine Tastatur mit integrierter sicherer Tastatur eingebaut sein. Für Smartcard-Lesegeräte der Klasse 2 wenden Sie sich an Ihren Citrix-Vertreter; ein leserspezifischer Gerätetreiber kann erforderlich sein, um die sichere Tastaturfunktion zu aktivieren.
  • Smartcard-Lesegeräte der Klasse 3 enthalten auch ein sicheres Display. Smartcard-Lesegeräte der Klasse 3 werden nicht unterstützt.
  • Smartcard-Lesegeräte der Klasse 4 enthalten auch ein sicheres Transaktionsmodul. Smartcard-Lesegeräte der Klasse 4 werden nicht unterstützt.

Hinweis:

Die Smartcard-Lesegeräteklasse ist unabhängig von der USB-Geräteklasse.

Smartcard-Lesegeräte müssen mit einem entsprechenden Gerätetreiber auf dem Benutzergerät installiert werden.

Informationen zu unterstützten Smartcard-Lesegeräten finden Sie in der Dokumentation der von Ihnen verwendeten Citrix Workspace-App. In der Dokumentation der Citrix Workspace-App sind die unterstützten Versionen in einem Smartcard-Artikel oder im Artikel zu den Systemanforderungen aufgeführt.

Benutzererfahrung

Die Smartcard-Unterstützung ist in Citrix Virtual Apps and Desktops integriert und verwendet einen spezifischen virtuellen ICA/HDX-Smartcard-Kanal, der standardmäßig aktiviert ist.

Wichtig: Verwenden Sie keine generische USB-Umleitung für Smartcard-Lesegeräte. Dies ist für Smartcard-Lesegeräte standardmäßig deaktiviert und wird bei Aktivierung nicht unterstützt.

Mehrere Smartcards und mehrere Lesegeräte können auf demselben Benutzergerät verwendet werden, aber wenn die Pass-Through-Authentifizierung verwendet wird, darf nur eine Smartcard eingesteckt sein, wenn der Benutzer einen virtuellen Desktop oder eine Anwendung startet. Wenn eine Smartcard innerhalb einer Anwendung verwendet wird (z. B. für digitale Signaturen oder Verschlüsselungsfunktionen), kann es weitere Aufforderungen geben, eine Smartcard einzustecken oder eine PIN einzugeben. Dies kann vorkommen, wenn mehr als eine Smartcard gleichzeitig eingesteckt wurde.

  • Wenn Benutzer aufgefordert werden, eine Smartcard einzustecken, obwohl die Smartcard bereits im Lesegerät steckt, müssen sie Abbrechen auswählen.
  • Wenn Benutzer zur Eingabe der PIN aufgefordert werden, müssen sie die PIN erneut eingeben.

Sie können PINs mit einem Kartenverwaltungssystem oder einem Dienstprogramm des Anbieters zurücksetzen.

Wichtig:

Innerhalb einer Citrix Virtual Apps- oder Citrix Virtual Desktops-Sitzung wird die Verwendung einer Smartcard mit der Microsoft Remotedesktopverbindungsanwendung nicht unterstützt. Dies wird manchmal als „Double-Hop“-Nutzung beschrieben.

Vor der Bereitstellung von Smartcards

  • Besorgen Sie sich einen Gerätetreiber für das Smartcard-Lesegerät und installieren Sie ihn auf dem Benutzergerät. Viele Smartcard-Lesegeräte können den von Microsoft bereitgestellten CCID-Gerätetreiber verwenden.
  • Besorgen Sie sich einen Gerätetreiber und eine CSP-Software (Cryptographic Service Provider) von Ihrem Smartcard-Anbieter und installieren Sie diese sowohl auf Benutzergeräten als auch auf virtuellen Desktops. Der Treiber und die CSP-Software müssen mit Citrix Virtual Apps and Desktops kompatibel sein; prüfen Sie die Anbieterdokumentation auf Kompatibilität. Für virtuelle Desktops, die Smartcards verwenden, die das Minidriver-Modell unterstützen und nutzen, werden Smartcard-Minidriver automatisch heruntergeladen, Sie können sie aber auch unter http://catalog.update.microsoft.com oder von Ihrem Anbieter beziehen. Falls PKCS#11-Middleware erforderlich ist, beziehen Sie diese ebenfalls vom Kartenanbieter.
  • Wichtig: Citrix empfiehlt, die Treiber und die CSP-Software auf einem physischen Computer zu installieren und zu testen, bevor Sie die Citrix-Software installieren.
  • Fügen Sie die URL von Citrix Receiver™ für Web zur Liste der vertrauenswürdigen Sites für Benutzer hinzu, die Smartcards in Internet Explorer mit Windows 10 verwenden. In Windows 10 wird Internet Explorer für vertrauenswürdige Sites standardmäßig nicht im geschützten Modus ausgeführt.
  • Stellen Sie sicher, dass Ihre Public Key Infrastructure (PKI) entsprechend konfiguriert ist. Dazu gehört, dass die Zertifikat-zu-Konto-Zuordnung für die Active Directory-Umgebung korrekt konfiguriert ist und die Benutzerzertifikatsvalidierung erfolgreich durchgeführt werden kann.
  • Stellen Sie sicher, dass Ihre Bereitstellung die Systemanforderungen der anderen mit Smartcards verwendeten Citrix-Komponenten erfüllt, einschließlich Citrix Workspace-App und StoreFront.
  • Stellen Sie den Zugriff auf die folgenden Server in Ihrer Site sicher:
    • Der Active Directory-Domänencontroller für das Benutzerkonto, das einem Anmeldezertifikat auf der Smartcard zugeordnet ist
    • Delivery Controller™
    • Citrix StoreFront
    • Citrix Gateway/Citrix Access Gateway 10.x
    • VDA
    • (Optional für Remote-PC-Zugriff): Microsoft Exchange Server

Smartcard-Nutzung aktivieren

Schritt 1. Geben Sie Smartcards gemäß Ihrer Kartenvergaberichtlinie an Benutzer aus.

Schritt 2. (Optional) Richten Sie die Smartcards ein, um Benutzer für den Remote-PC-Zugriff zu aktivieren.

Schritt 3. Installieren und konfigurieren Sie den Delivery Controller und StoreFront (falls noch nicht installiert) für das Smartcard-Remoting.

Schritt 4. Aktivieren Sie StoreFront für die Smartcard-Nutzung. Weitere Informationen finden Sie unter Smartcard-Authentifizierung konfigurieren in der StoreFront-Dokumentation.

Schritt 5. Aktivieren Sie Citrix Gateway/Access Gateway für die Smartcard-Nutzung. Weitere Informationen finden Sie unter Authentifizierung und Autorisierung konfigurieren und Smartcard-Zugriff mit der Webinterface konfigurieren in der NetScaler-Dokumentation.

Schritt 6. Aktivieren Sie VDAs für die Smartcard-Nutzung.

  • Stellen Sie sicher, dass der VDA über die erforderlichen Anwendungen und Updates verfügt.
  • Installieren Sie die Middleware.
  • Richten Sie das Smartcard-Remoting ein, das die Kommunikation von Smartcard-Daten zwischen der Citrix Workspace-App auf einem Benutzergerät und einer virtuellen Desktopsitzung ermöglicht.

Schritt 7. Aktivieren Sie Benutzergeräte (einschließlich in die Domäne eingebundener oder nicht in die Domäne eingebundener Maschinen) für die Smartcard-Nutzung. Weitere Informationen finden Sie unter Smartcard-Authentifizierung konfigurieren in der StoreFront-Dokumentation.

  • Importieren Sie das Stammzertifikat der Zertifizierungsstelle und das Zertifikat der ausstellenden Zertifizierungsstelle in den Keystore des Geräts.
  • Installieren Sie die Smartcard-Middleware Ihres Anbieters.
  • Installieren und konfigurieren Sie die Citrix Workspace-App für Windows, wobei Sie sicherstellen müssen, dass Sie icaclient.adm über die Gruppenrichtlinien-Verwaltungskonsole importieren und die Smartcard-Authentifizierung aktivieren.

Schritt 8. Testen Sie die Bereitstellung. Stellen Sie sicher, dass die Bereitstellung korrekt konfiguriert ist, indem Sie einen virtuellen Desktop mit der Smartcard eines Testbenutzers starten. Testen Sie alle möglichen Zugriffsmechanismen (z. B. den Zugriff auf den Desktop über Internet Explorer und die Citrix Workspace-App).

Anzahl der Smartcard-Leser-Einsteckvorgänge verfolgen

Mit Smartcard-Remoting können Sie die Häufigkeit verfolgen, mit der eine Smartcard in einen Leser eingeführt oder aus diesem entfernt wurde, indem Sie die Funktion SCardGetStatusChange verwenden. Die Funktion aktualisiert ein Array von SCARD_READERSTATE-Datenstrukturen – eine für jeden Leser, den Sie überwachen. Das High Word (16 Bit) des Felds dwEventState jeder SCARD_READERSTATE enthält die Leseranzahl. Weitere Informationen finden Sie in den Microsoft-Artikeln SCardGetStatusChangeA function und SCARD_READERSTATEA structure.

Die Einstellung Reader Insert Count Reporting ist standardmäßig deaktiviert. Um die Nachverfolgung zu aktivieren, fügen Sie den folgenden Registrierungsschlüssel hinzu:

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard

Name: EnableReaderInsertCountReporting

Typ: DWORD

Wert: Jeder Wert ungleich Null

Wenn die Sitzung getrennt wird, wird der Zähler auf Null zurückgesetzt.

Reader Insert Count Reporting ist kompatibel mit Smartcard-Middleware von Drittanbietern.

Smartcards
June 5, 2026
Beitrag von: 
C
June 5, 2026
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.