Produktdokumentation
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
PDF anzeigen

Remote von Key Storage Providers (KSP) (Preview)

September 11, 2024
Beitrag von: 
C

Einführung

Bisher wurde das Remoting von kryptografischen Vorgängen von einem Windows VDA zum FAS-Server mit einem Paar von Kryptografiedienstanbietern (CSPs) realisiert, die auf dem VDA ausgeführt wurden:

  • CitrixLogonCsp.dll - für Single Sign-On (SSO) beim VDA
  • CitrixVirtualSmartcardCsp.dll - für In-session-Zertifikate

Mit diesem Feature kann das Remoting von kryptografischen Vorgängen auch mit einem KSP-Paar erreicht werden:

  • CitrixLogonKsp.dll - für SSO an den VDA
  • CitrixVirtualSmartcardKsp.dll - für In-session-Zertifikate

KSP ist die neueste Methode, kryptografische Operationen für Windows-Anwendungen verfügbar zu machen, die mehr Funktionen bietet. Beispiel:

  • Zertifikate mit ECC-Schlüsseln werden unterstützt
  • PSS-Padding (Probabilistic Signature Scheme) wird unterstützt

Hinweis:

Es gibt keine Möglichkeit, die ECC-Schlüssel auf FAS zu aktivieren.

KSP-Remoting aktivieren

KSP-Remoting wird aktiviert, indem der folgende Registrierungsschlüssel erstellt wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\RemoteKspFeature

Typ: string

Wert: on

  • Sowohl auf dem FAS-Server als auch auf der VDA-Software muss die CVAD 2407-Software ausgeführt werden.

  • KSP-Remoting wird aktiviert, indem ein Registrierungsschlüssel sowohl auf dem FAS-Server als auch auf dem VDA erstellt wird.

  • Starten Sie den FAS-Server und den VDA neu, damit die Änderung wirksam wird.

Wenn eine der oben genannten Bedingungen nicht erfüllt ist, greift der VDA auf CSP-Remoting zurück.

Überprüfen Sie, ob KSP-Remoting aktiviert ist

Auf dem FAS-Server können Sie mit Powershell überprüfen, ob KSP-Remoting aktiviert ist:

KSP-Remoting aktiviert

Um zu überprüfen, ob KSP-Remoting für VDA-SSO verwendet wurde, suchen Sie im Windows-Anwendungsprotokoll des FAS-Servers nach dem folgenden Ereignis:

VDA SSO

Operation SignHash2 weist auf die Verwendung von KSP-Remoting hin, wohingegen SignHash auf CSP-Remoting hinweist.

Wenn ein Sitzungszertifikat für Kryptografie verwendet wird, z. B. für die TLS-Client-Authentifizierung, suchen Sie ebenfalls nach dem folgenden Ereignis auf dem FAS-Server:

Kryptographie-Ereignis

Bekannte Einschränkungen

KSP-Remoting wird nur unterstützt, wenn FAS selbst für die Verwendung eines KSP konfiguriert ist. Dies ist die Standardkonfiguration. Wenn FAS für die Verwendung eines CSP konfiguriert ist, funktioniert KSP-Remoting nicht.

Die entsprechende Einstellung ist:

<add key="Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderLegacyCsp" value="false" /> in der Datei %programfiles%\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe.config

False zeigt hier an, dass FAS mit einem KSP konfiguriert ist und daher KSP-Remoting unterstützt wird.

Remote von Key Storage Providers (KSP) (Preview)
September 11, 2024
Beitrag von: 
C
September 11, 2024
Beitrag von: 
C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.