Remote von Key Storage Providers (KSP) (Preview)

Einführung

Bisher wurde das Remoting von kryptografischen Vorgängen von einem Windows VDA zum FAS-Server mit einem Paar von Kryptografiedienstanbietern (CSPs) realisiert, die auf dem VDA ausgeführt wurden:

  • CitrixLogonCsp.dll - für Single Sign-On (SSO) beim VDA
  • CitrixVirtualSmartcardCsp.dll - für In-session-Zertifikate

Mit diesem Feature kann das Remoting von kryptografischen Vorgängen auch mit einem KSP-Paar erreicht werden:

  • CitrixLogonKsp.dll - für SSO an den VDA
  • CitrixVirtualSmartcardKsp.dll - für In-session-Zertifikate

KSP ist die neueste Methode, kryptografische Operationen für Windows-Anwendungen verfügbar zu machen, die mehr Funktionen bietet. Beispiel:

  • Zertifikate mit ECC-Schlüsseln werden unterstützt
  • PSS-Padding (Probabilistic Signature Scheme) wird unterstützt

Hinweis:

Es gibt keine Möglichkeit, die ECC-Schlüssel auf FAS zu aktivieren.

KSP-Remoting aktivieren

KSP-Remoting wird aktiviert, indem der folgende Registrierungsschlüssel erstellt wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\RemoteKspFeature

Typ: string

Wert: on

  • Sowohl auf dem FAS-Server als auch auf der VDA-Software muss die CVAD 2407-Software ausgeführt werden.

  • KSP-Remoting wird aktiviert, indem ein Registrierungsschlüssel sowohl auf dem FAS-Server als auch auf dem VDA erstellt wird.

  • Starten Sie den FAS-Server und den VDA neu, damit die Änderung wirksam wird.

Wenn eine der oben genannten Bedingungen nicht erfüllt ist, greift der VDA auf CSP-Remoting zurück.

Überprüfen Sie, ob KSP-Remoting aktiviert ist

Auf dem FAS-Server können Sie mit Powershell überprüfen, ob KSP-Remoting aktiviert ist:

KSP-Remoting aktiviert

Um zu überprüfen, ob KSP-Remoting für VDA-SSO verwendet wurde, suchen Sie im Windows-Anwendungsprotokoll des FAS-Servers nach dem folgenden Ereignis:

VDA SSO

Operation SignHash2 weist auf die Verwendung von KSP-Remoting hin, wohingegen SignHash auf CSP-Remoting hinweist.

Wenn ein Sitzungszertifikat für Kryptografie verwendet wird, z. B. für die TLS-Client-Authentifizierung, suchen Sie ebenfalls nach dem folgenden Ereignis auf dem FAS-Server:

Kryptographie-Ereignis

Bekannte Einschränkungen

KSP-Remoting wird nur unterstützt, wenn FAS selbst für die Verwendung eines KSP konfiguriert ist. Dies ist die Standardkonfiguration. Wenn FAS für die Verwendung eines CSP konfiguriert ist, funktioniert KSP-Remoting nicht.

Die entsprechende Einstellung ist:

<add key="Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderLegacyCsp" value="false" /> in der Datei %programfiles%\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe.config

False zeigt hier an, dass FAS mit einem KSP konfiguriert ist und daher KSP-Remoting unterstützt wird.

Remote von Key Storage Providers (KSP) (Preview)