Produktdokumentation
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
PDF anzeigen

Smartcardauthentifizierung für Web Studio einrichten

August 17, 2024
Beitrag von: 
C

In diesem Artikel werden die Schritte beschrieben, die zum Einrichten und Aktivieren der Smartcardauthentifizierung für Web Studio erforderlich sind:

Schritt 1: Smartcardtreiber installieren

Schritt 2: Zertifikate für Smartcardbenutzer ausstellen

Schritt 3: Zertifikate für Smartcardbenutzer registrieren

Schritt 4: Web Studio IIS-Server konfigurieren

Schritt 5 (optional) Authentifizierungsdelegationen für Web Studio konfigurieren

Schritt 6: Smartcardauthentifizierung für Web Studio aktivieren

Hinweis:

Die Smartcardauthentifizierung wird nur für Benutzer aus derselben Active Directory-Domäne mit Web Studio-Servern unterstützt.

Schritt 1: Smartcardtreiber installieren

Installieren Sie den Smartcardtreiber auf den folgenden Maschinen:

  • Domänencontroller, auf denen der Zertifikatsdienst installiert ist.
  • Web Studio-Server
  • Maschinen, mit denen Endbenutzer auf Web Studio zugreifen
  • Maschinen, die Sie zum Registrieren von Zertifikaten für Smartcardbenutzer verwenden

Der Treiber steht unter https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers zum Download bereit.

Schritt 2: Zertifikate für Smartcardbenutzer ausstellen

Gehen Sie auf Ihrem Domänencontroller wie folgt vor, um die Aufgabe abzuschließen:

  1. Greifen Sie auf Ihren Domänencontroller zu und öffnen Sie Zertifizierungsstelle.

    ZS starten

  2. Duplizieren Sie die Enrollment Agent-Vorlage. Verfahren:

    1. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie Verwalten aus.

      Zertifikatvorlagen verwalten

    2. Klicken Sie mit der rechten Maustaste auf Enrollment Agent und wählen Sie Vorlage duplizieren aus.

    3. Vergewissern Sie sich, dass auf der Registerkarte Betreffname die Option E-Mail in Antragstellername einbeziehen deaktiviert ist.

      Zertifikatvorlagen > Antragstellername

    4. Wählen Sie auf der Registerkarte Kryptografie die Option Microsoft Base Smart Card Crypto Provider aus und klicken Sie dann auf OK. Eine Vorlage mit dem Namen Kopie von Enrollment Agent wird in der Liste der Zertifikatvorlagen angezeigt.

      Zertifikatvorlagen > Krytograph

  3. Überprüfen Sie die Berechtigungen der Smartcardbenutzervorlage. Verfahren:
    1. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie Verwalten aus.
    2. Klicken Sie mit der rechten Maustaste auf Smartcardbenutzer und wählen Sie Eigenschaften aus.

    3. Vergewissern Sie sich, dass für Domänenadministratoren auf der Registerkarte Sicherheit die folgenden Berechtigungen ausgewählt sind, wie unten dargestellt:

      Zertifikatvorlagen > Sicherheit

  4. Stellen Sie Zertifikate für Smartcards aus. Verfahren:
    1. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie dann Neu > Auszustellende Vorlage aus.
    2. Wählen Sie Kopie von Enrollment Agent und Smartcardbenutzer aus.
    3. Klicken Sie auf OK.

Schritt 3: Zertifikate für Smartcardbenutzer registrieren

Gehen Sie auf einem physischen Windows-Computer, der einer Domäne beigetreten ist, wie folgt vor, um Zertifikate für jede Smartcard zu registrieren:

  1. Bereiten Sie einen in die Domäne eingebundenen physischen Windows-Computer für die Registrierung vor:
    1. Stellen Sie sicher, dass der Smartcardtreiber installiert ist.
    2. Legen Sie eine Smartcard in das Gerät ein.
    3. Melden Sie sich mit dem Benutzerkonto, das Sie der Smartcard zuweisen möchten, an der Maschine an.
  2. Fügen Sie das Zertifikat-Snap-In auf der Maschine hinzu, den Sie in Schritt 1 vorbereitet haben. Verfahren:
    1. Öffnen Sie mmc.
    2. Klicken Sie auf Datei und dann auf Snap-In hinzufügen/entfernen.
    3. Wählen Sie im daraufhin angezeigten Fenster Snap-Ins hinzufügen oder entfernen die Option Zertifikate aus und klicken Sie dann auf Hinzufügen >.
    4. Wählen Sie im daraufhin angezeigten Dialogfeld Mein Benutzerkonto aus und klicken Sie auf Fertigstellen.

    5. Klicken Sie auf OK.

      Add certificate

  3. Fordern Sie neue Zertifikate für das Zertifikat-Snap-In an. Verfahren:

    1. Gehen Sie zu Zertifikate — Aktueller Benutzer > Persönlich, klicken Sie mit der rechten Maustaste auf Zertifikate und wählen Sie dann Alle Aufgaben > Neues Zertifikat anfordern aus.

      Neues Zertifikat anfordern

    2. Wählen Sie im daraufhin angezeigten Dialogfeld Zertifikate anfordern die Option Kopie von Enrollment Agent und Smartcardbenutzer aus.

      Zertifikatvorlagen verwalten

    3. Klicken Sie im obigen Dialogfeld auf Details für Smartcardbenutzer und dann auf Eigenschaften. Das Dialogfeld Zertifikateigenschaften wird angezeigt.

      Neues Zertifikat anfordern > Eigenschaften

    4. Erweitern Sie auf der Registerkarte Privater Schlüssel den Eintrag Kryptografieanbietet, deaktivieren Sie Microsoft Strong Cryptographic Provider (Encryption), wählen Sie nur Microsoft Base Smart Card Crypto Provider (Encryption) aus, und klicken Sie dann auf OK.
    5. Klicken Sie auf Registrierung.

    6. Geben Sie im daraufhin angezeigten Windows-Sicherheitsdialogfeld den Smartcard-PIN-Code ein und klicken Sie auf OK. Wenn die Registrierung abgeschlossen ist, klicken Sie auf Fertigstellen.

      Zertifikat registrieren

Nach erfolgreicher Registrierung werden zwei Zertifikate unter Zertifikate — Aktueller Benutzer -> Persönlich -> Zertifikate angezeigt, wie im folgenden Screenshot gezeigt. Zertifikatvorlagen verwalten

Schritt 4: Web Studio IIS-Server konfigurieren

Gehen Sie auf jedem Web Studio-Server wie folgt vor, um IIS für die Smartcardauthentifizierung zu konfigurieren:

  1. Aktivieren Sie die Client-Zertifikatszuordnungsauthentifizierung für die Web Studio-Maschine**.

    Das Element <clientCertificateMappingAuthentication> ist in der Standardinstallation von IIS 7 und höher nicht verfügbar. Weitere Informationen zur Installation und Aktivierung finden Sie in diesem Microsoft-Artikel.

  2. Starten Sie IIS Manager auf der Web Studio-Maschine.

  3. Aktivieren Sie die Active Directory-Client-Zertifikatsauthentifizierung für die Maschine. Verfahren:

    1. Wählen Sie das Gerät im linken Bereich aus und doppelklicken Sie auf Authentifizierung.

      IIS > Auth

    2. Stellen Sie sicher, dass für Active Directory-Clientzertifikatauthentifizierung der Status Aktiviert angezeigt wird.

      IIS > ACC Client Certificate Authen aktivieren

  4. Konfigurieren Sie das Web Studio-Backend-Modul für ein sichereres HTTPS-Protokoll mit Client-Zertifikatsauthentifizierung:

    1. Gehen Sie zu Websites > Standardwebsite > Studio > Backend > Smartcard und doppelklicken Sie dann im Abschnitt IIS auf SSL-Einstellungen.

      IIS-Backend-Modul Smartcard SSL

    2. Wählen Sie für Clientzertifikate erforderlich aus.

      IIS-Server-Backend-Smartcard SSL erforderlich

    3. Kehren Sie zu Sites > Standardwebsite > Studio > Backend > Smartcard zurück und doppelklicken Sie dann im Abschnitt IIS auf Konfigurationseditor.

      IIS > Konfigurationseditor

    4. Stellen Sie sicher, dass /clientCertificateMappingAuthentication aktiviert ist.

      Clientauthentifizierung aktivieren

  5. (Nur Windows 2022) Deaktivieren Sie TLS 3.1 über TCP. Verfahren:

    1. Gehen Sie zu Sites > Standardwebsite.
    2. Klicken Sie auf Site bearbeiten > Bindung.

    3. Wählen Sie im daraufhin angezeigten Dialogfeld Site-Bindungen den https-Datensatz aus, und klicken Sie dann auf Bearbeiten.

      Nur Windows 2022 - https bearbeiten

    4. Wählen Sie im daraufhin angezeigten Dialogfeld Site-Bindung bearbeiten die Option TLS 1.3 über TCP deaktivieren aus und klicken Sie dann auf OK.

      Nur Windows 2022 - https-Bearbeitung deaktiviert

Nützliche Info:

Web Studio Backend ist ein Modul in Web Studio, das die folgenden Funktionen bietet:

  • Smartcardauthentifizierung
  • Abrufen von FMA-Bearer-Token aus dem Orchestrierungsdienst Service mit der integrierten Windows-Authentifizierung.

Schritt 5 (optional) Authentifizierungsdelegationen für Web Studio konfigurieren

Wenn Web Studio und Delivery Controller auf verschiedenen Servern installiert sind, müssen Sie Delegationen für jeden Web Studio-Server an die Delivery Controller für HOST- und HTTPS-Dienste konfigurieren.

Gehen Sie wie folgt vor, um die Aufgabe für jeden Web Studio-Server abzuschließen:

  1. Delivery Controller Orchestration HTTPS-Zertifikat importieren
  2. Delegierung für den Web Studio-Server konfigurieren
  3. (Optional) Delegierung für das Dienstkonto des Web Studio IIS-Servers konfigurieren

Delivery Controller Orchestration HTTPS-Zertifikat importieren

Importieren Sie auf dem Web Studio-Server das Delivery Controller Orchestration HTTPS-Zertifikat in Vertrauenswürdige Stammzertifizierungsstellen. Verfahren:

  1. Starten Sie Einstellungen > Computerzertifikate verwalten.

  2. Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate und wählen Sie Alle Aufgaben > Importieren aus.

    DDC-Zertifikat importieren

  3. Folgen Sie den Anweisungen auf dem Bildschirm, um das Delivery Controller Orchestration HTTPS-Zertifikat zu importieren.

Delegierung für den Web Studio-Server konfigurieren

Konfigurieren Sie auf dem Domänencontroller die Delegierung des Web Studio-Servers an den Delivery Controller für HOST- und HTTP-Dienste. Gehen Sie wie folgt vor, um die Aufgabe abzuschließen:

  1. Starten Sie auf dem Domänencontroller das Active Directory-Verwaltungscenter.
  2. Suchen Sie das Computerkonto des Web Studio Servers, für den Sie die Delegierung konfigurieren möchten (z. B. Dan002).

  3. Klicken Sie mit der rechten Maustaste auf das Konto, wählen Sie Eigenschaften aus und führen Sie dann die folgenden Schritte aus:

    Delegierung für den Studio-Server konfigurieren

    1. Gehen Sie zur Registerkarte Delegierung.

      Delegierungskonfiguration eingeben

    2. Wählen Sie Benutzer bei Delegierungen angegebener Dienste vertrauen > Beliebiges Authentifizierungsprotokoll verwenden.
    3. Klicken Sie auf Hinzufügen, um anzugeben, an welche Dienste dieses Computerkonto delegiert werden kann.
    4. Klicken Sie im daraufhin angezeigten Dialogfeld Dienst hinzufügen auf Benutzer oder Computer hinzufügen, um den Computernamen des Delivery Controllers zu ermitteln (z. B. Dan001).
    5. Wählen Sie die Dienste HOST und HTTP aus und klicken Sie dann auf OK.

Die Konfigurationsergebnisse sind im folgenden Screenshot dargestellt. Zertifikatvorlagen verwalten

(Optional) Delegierung für das Dienstkonto des Web Studio IIS-Servers konfigurieren

Wenn Sie ein Dienstkonto für den Web Studio IIS-Server konfiguriert haben, müssen Sie auch die Delegierung für dieses Dienstkonto an den Delivery Controller für die HOST- und HTTP-Dienste konfigurieren. Wenn diese Delegierung eingerichtet ist, kann der Web Studio-Server sein Dienstkonto verwenden, um die Identität des aktuellen Smartcardbenutzers anzunehmen, um auf den Delivery Controller für die HOST- und HTTP-Dienste zuzugreifen. Gehen Sie wie folgt vor, um die Konfiguration abzuschließen:

  1. Starten Sie auf dem Domänencontroller das Active Directory-Verwaltungscenter.
  2. Suchen Sie das Benutzerkonto des Web Studio IIS-Servers (Dienstkonto), für den Sie die Delegierung konfigurieren möchten (z. B. svr-stud-002).
  3. Klicken Sie mit der rechten Maustaste auf das Konto und wählen Sie Eigenschaften.
  4. Gehen Sie wie in Schritt 3 unter Delegierung für den Web Studio-Server konfigurieren beschrieben vor, um das Dienstkonto des Web Studio-IIS-Servers an den Delivery Controller für die HOST- und HTTP-Dienste zu delegieren.

Die Konfigurationsergebnisse sind im folgenden Screenshot dargestellt.

Zertifikatvorlagen verwalten

Schritt 6: Smartcardauthentifizierung für Web Studio aktivieren

Gehen Sie wie folgt vor, um die Smartcardauthentifizierung für Web Studio zu aktivieren:

  1. Melden Sie sich bei Web Studio an und wählen Sie im linken Bereich Einstellungen.
  2. Wählen Sie je nach Bedarf Smartcardauthentifizierung oder Domänenanmeldedaten oder Smartcardauthentifizierung aus.

  3. Klicken Sie auf Anwenden.

    Zertifikatvorlagen verwalten

Smartcardauthentifizierung für Web Studio einrichten
August 17, 2024
Beitrag von: 
C
August 17, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.