Remote von Key Storage Providers (KSP) (Preview)
Einführung
Bisher wurde das Remoting von kryptografischen Vorgängen von einem Windows VDA zum FAS-Server mit einem Paar von Kryptografiedienstanbietern (CSPs) realisiert, die auf dem VDA ausgeführt wurden:
-
CitrixLogonCsp.dll
- für Single Sign-On (SSO) beim VDA -
CitrixVirtualSmartcardCsp.dll
- für In-session-Zertifikate
Mit diesem Feature kann das Remoting von kryptografischen Vorgängen auch mit einem KSP-Paar erreicht werden:
-
CitrixLogonKsp.dll
- für SSO an den VDA -
CitrixVirtualSmartcardKsp.dll
- für In-session-Zertifikate
KSP ist die neueste Methode, kryptografische Operationen für Windows-Anwendungen verfügbar zu machen, die mehr Funktionen bietet. Beispiel:
- Zertifikate mit ECC-Schlüsseln werden unterstützt
- PSS-Padding (Probabilistic Signature Scheme) wird unterstützt
Hinweis:
Es gibt keine Möglichkeit, die ECC-Schlüssel auf FAS zu aktivieren.
KSP-Remoting aktivieren
KSP-Remoting wird aktiviert, indem der folgende Registrierungsschlüssel erstellt wird:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\RemoteKspFeature
Typ: string
Wert: on
-
Sowohl auf dem FAS-Server als auch auf der VDA-Software muss die CVAD 2407-Software ausgeführt werden.
-
KSP-Remoting wird aktiviert, indem ein Registrierungsschlüssel sowohl auf dem FAS-Server als auch auf dem VDA erstellt wird.
-
Starten Sie den FAS-Server und den VDA neu, damit die Änderung wirksam wird.
Wenn eine der oben genannten Bedingungen nicht erfüllt ist, greift der VDA auf CSP-Remoting zurück.
Überprüfen Sie, ob KSP-Remoting aktiviert ist
Auf dem FAS-Server können Sie mit Powershell überprüfen, ob KSP-Remoting aktiviert ist:
Um zu überprüfen, ob KSP-Remoting für VDA-SSO verwendet wurde, suchen Sie im Windows-Anwendungsprotokoll des FAS-Servers nach dem folgenden Ereignis:
Operation SignHash2
weist auf die Verwendung von KSP-Remoting hin, wohingegen SignHash
auf CSP-Remoting hinweist.
Wenn ein Sitzungszertifikat für Kryptografie verwendet wird, z. B. für die TLS-Client-Authentifizierung, suchen Sie ebenfalls nach dem folgenden Ereignis auf dem FAS-Server:
Bekannte Einschränkungen
KSP-Remoting wird nur unterstützt, wenn FAS selbst für die Verwendung eines KSP konfiguriert ist. Dies ist die Standardkonfiguration. Wenn FAS für die Verwendung eines CSP konfiguriert ist, funktioniert KSP-Remoting nicht.
Die entsprechende Einstellung ist:
<add key="Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderLegacyCsp" value="false" />
in der Datei %programfiles%\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe.config
False
zeigt hier an, dass FAS mit einem KSP konfiguriert ist und daher KSP-Remoting unterstützt wird.