Tarjetas inteligentes
Las tarjetas inteligentes y las tecnologías equivalentes son compatibles con las directrices descritas en este artículo. Para usar tarjetas inteligentes con XenApp o XenDesktop®:
- Comprenda la política de seguridad de su organización con respecto al uso de tarjetas inteligentes. Estas políticas pueden, por ejemplo, establecer cómo se emiten las tarjetas inteligentes y cómo los usuarios deben protegerlas. Algunos aspectos de estas políticas podrían necesitar ser reevaluados en un entorno XenApp® o XenDesktop.
- Determine qué tipos de dispositivos de usuario, sistemas operativos y aplicaciones publicadas se utilizarán con tarjetas inteligentes.
- Familiarícese con la tecnología de tarjetas inteligentes y el hardware y software del proveedor de tarjetas inteligentes seleccionado.
- Sepa cómo implementar certificados digitales en un entorno distribuido.
Tipos de tarjetas inteligentes
Las tarjetas inteligentes empresariales y de consumo tienen las mismas dimensiones, conectores eléctricos y encajan en los mismos lectores de tarjetas inteligentes.
Las tarjetas inteligentes para uso empresarial contienen certificados digitales. Estas tarjetas inteligentes admiten el inicio de sesión de Windows y también se pueden usar con aplicaciones para la firma digital y el cifrado de documentos y correo electrónico. XenApp y XenDesktop admiten estos usos.
Las tarjetas inteligentes para uso de consumo no contienen certificados digitales; contienen un secreto compartido. Estas tarjetas inteligentes pueden admitir pagos (como una tarjeta de crédito con chip y firma o chip y PIN). No admiten el inicio de sesión de Windows ni las aplicaciones típicas de Windows. Se necesitan aplicaciones especializadas de Windows y una infraestructura de software adecuada (incluida, por ejemplo, una conexión a una red de tarjetas de pago) para su uso con estas tarjetas inteligentes. Póngase en contacto con su representante de Citrix® para obtener información sobre cómo admitir estas aplicaciones especializadas en XenApp o XenDesktop.
Para las tarjetas inteligentes empresariales, existen equivalentes compatibles que se pueden usar de manera similar.
- Un token USB equivalente a una tarjeta inteligente se conecta directamente a un puerto USB. Estos tokens USB suelen tener el tamaño de una unidad flash USB, pero pueden ser tan pequeños como una tarjeta SIM utilizada en un teléfono móvil. Aparecen como la combinación de una tarjeta inteligente más un lector de tarjetas inteligentes USB.
- Una tarjeta inteligente virtual que utiliza un Módulo de plataforma segura (TPM) de Windows aparece como una tarjeta inteligente. Estas tarjetas inteligentes virtuales son compatibles con Windows 8 y Windows 10, utilizando Citrix Receiver 4.3 como mínimo.
- Las versiones de XenApp y XenDesktop anteriores a la 7.6 FP3 no admiten tarjetas inteligentes virtuales.
- Para obtener más información sobre las tarjetas inteligentes virtuales, consulte Información general sobre las tarjetas inteligentes virtuales.
Nota: El término «tarjeta inteligente virtual» también se utiliza para describir un certificado digital simplemente almacenado en el equipo del usuario. Estos certificados digitales no son estrictamente equivalentes a las tarjetas inteligentes.
El soporte de tarjetas inteligentes de XenApp y XenDesktop se basa en las especificaciones estándar de Microsoft Personal Computer/Smart Card (PC/SC). Un requisito mínimo es que las tarjetas inteligentes y los dispositivos de tarjetas inteligentes deben ser compatibles con el sistema operativo Windows subyacente y deben estar aprobados por Microsoft Windows Hardware Quality Labs (WHQL) para su uso en equipos que ejecuten sistemas operativos Windows cualificados. Consulte la documentación de Microsoft para obtener información adicional sobre la conformidad del hardware con PC/SC. Otros tipos de dispositivos de usuario pueden cumplir con el estándar PS/SC. Para obtener más información, consulte el programa Citrix Ready en https://www.citrix.com/ready/.
Normalmente, se necesita un controlador de dispositivo independiente para la tarjeta inteligente o equivalente de cada proveedor. Sin embargo, si las tarjetas inteligentes cumplen con un estándar como el NIST Personal Identity Verification (PIV), es posible utilizar un único controlador de dispositivo para una gama de tarjetas inteligentes. El controlador de dispositivo debe instalarse tanto en el dispositivo de usuario como en el Virtual Delivery Agent (VDA). El controlador de dispositivo a menudo se suministra como parte de un paquete de middleware de tarjeta inteligente disponible de un socio de Citrix; el paquete de middleware de tarjeta inteligente ofrecerá funciones avanzadas. El controlador de dispositivo también puede describirse como un Cryptographic Service Provider (CSP), Key Storage Provider (KSP) o minidriver.
Citrix ha probado las siguientes combinaciones de tarjetas inteligentes y middleware para sistemas Windows como ejemplos representativos de su tipo. Sin embargo, también se pueden utilizar otras tarjetas inteligentes y middleware. Para obtener más información sobre las tarjetas inteligentes y el middleware compatibles con Citrix, consulte https://www.citrix.com/ready.
| Middleware | Tarjetas compatibles |
|---|---|
| ActivClient 7.0 (modo DoD habilitado) | Tarjeta CAC del DoD |
| ActivClient 7.0 en modo PIV | Tarjeta NIST PIV |
| Minidriver de Microsoft | Tarjeta NIST PIV |
| Minidriver de GemAlto para tarjeta .NET | GemAlto .NET v2+ |
| Controlador nativo de Microsoft | Tarjetas inteligentes virtuales (TPM) |
Para obtener información sobre el uso de tarjetas inteligentes con otros tipos de dispositivos, consulte la documentación de Citrix Receiver™ para ese dispositivo.
Para obtener información sobre el uso de tarjetas inteligentes con otros tipos de dispositivos, consulte la documentación de Citrix Receiver para ese dispositivo.
Acceso con PC remoto
Las tarjetas inteligentes solo son compatibles con el acceso remoto a equipos de oficina físicos que ejecuten Windows 10, Windows 8 o Windows 7; las tarjetas inteligentes no son compatibles con equipos de oficina que ejecuten Windows XP.
Las siguientes tarjetas inteligentes se probaron con Acceso con PC remoto:
| Middleware | Tarjetas compatibles |
|---|---|
| Minicontrolador Gemalto .NET | Gemalto .NET v2+ |
| ActivIdentity ActivClient 6.2 | NIST PIV |
| ActivIdentity ActivClient 6.2 | CAC |
| Minicontrolador de Microsoft | NIST PIV |
| Controlador nativo de Microsoft | Tarjetas inteligentes virtuales |
Tipos de lectores de tarjetas inteligentes
Un lector de tarjetas inteligentes puede estar integrado en el dispositivo de usuario o conectarse por separado a este (normalmente a través de USB o Bluetooth). Se admiten los lectores de tarjetas de contacto que cumplen con la especificación USB Chip/Smart Card Interface Devices (CCID). Contienen una ranura o un deslizador en el que el usuario inserta la tarjeta inteligente. El estándar Deutsche Kreditwirtschaft (DK) define cuatro clases de lectores de tarjetas de contacto.
- Los lectores de tarjetas inteligentes de Clase 1 son los más comunes y, por lo general, solo contienen una ranura. Los lectores de tarjetas inteligentes de Clase 1 son compatibles, normalmente con un controlador de dispositivo CCID estándar suministrado con el sistema operativo.
- Los lectores de tarjetas inteligentes de Clase 2 también contienen un teclado seguro al que el dispositivo de usuario no puede acceder. Los lectores de tarjetas inteligentes de Clase 2 pueden integrarse en un teclado con un teclado seguro integrado. Para los lectores de tarjetas inteligentes de Clase 2, póngase en contacto con su representante de Citrix; es posible que se requiera un controlador de dispositivo específico del lector para habilitar la función de teclado seguro.
- Los lectores de tarjetas inteligentes de Clase 3 también contienen una pantalla segura. Los lectores de tarjetas inteligentes de Clase 3 no son compatibles.
- Los lectores de tarjetas inteligentes de Clase 4 también contienen un módulo de transacción seguro. Los lectores de tarjetas inteligentes de Clase 4 no son compatibles.
Nota: La clase de lector de tarjetas inteligentes no está relacionada con la clase de dispositivo USB.
Los lectores de tarjetas inteligentes deben instalarse con un controlador de dispositivo correspondiente en el dispositivo de usuario.
Para obtener información sobre los lectores de tarjetas inteligentes compatibles, consulte la documentación del Citrix Receiver que esté utilizando. En la documentación de Citrix Receiver, las versiones compatibles suelen aparecer en un artículo sobre tarjetas inteligentes o en el artículo de requisitos del sistema.
Experiencia de usuario
La compatibilidad con tarjetas inteligentes está integrada en XenApp y XenDesktop, mediante un canal virtual de tarjetas inteligentes ICA/HDX específico que está habilitado de forma predeterminada.
Importante: No utilice la redirección USB genérica para lectores de tarjetas inteligentes. Esta función está inhabilitada de forma predeterminada para los lectores de tarjetas inteligentes y no es compatible si se habilita.
Se pueden usar varias tarjetas inteligentes y varios lectores en el mismo dispositivo de usuario, pero si se utiliza la autenticación de paso, solo se debe insertar una tarjeta inteligente cuando el usuario inicia un escritorio virtual o una aplicación. Cuando se utiliza una tarjeta inteligente dentro de una aplicación (por ejemplo, para funciones de firma digital o cifrado), es posible que aparezcan solicitudes adicionales para insertar una tarjeta inteligente o introducir un PIN. Esto puede ocurrir si se ha insertado más de una tarjeta inteligente al mismo tiempo.
- Si se solicita a los usuarios que inserten una tarjeta inteligente cuando esta ya está en el lector, deben seleccionar Cancelar.
- Si se solicita a los usuarios el PIN, deben introducir el PIN de nuevo.
Si utiliza aplicaciones alojadas que se ejecutan en Windows Server 2008 o 2008 R2 y con tarjetas inteligentes que requieren el Proveedor de servicios criptográficos de tarjeta inteligente base de Microsoft, es posible que, si un usuario ejecuta una transacción con tarjeta inteligente, todos los demás usuarios que utilizan una tarjeta inteligente en el proceso de inicio de sesión queden bloqueados. Para obtener más detalles y una revisión para este problema, consulte https://support.microsoft.com/kb/949538.
Puede restablecer los PIN mediante un sistema de administración de tarjetas o una utilidad del proveedor.
Importante
Dentro de una sesión de XenApp o XenDesktop, no se admite el uso de una tarjeta inteligente con la aplicación Conexión a Escritorio remoto de Microsoft. Esto a veces se describe como un uso de “doble salto”.
Antes de implementar tarjetas inteligentes
- Obtenga un controlador de dispositivo para el lector de tarjetas inteligentes e instálelo en el dispositivo de usuario. Muchos lectores de tarjetas inteligentes pueden utilizar el controlador de dispositivo CCID suministrado por Microsoft.
- Obtenga un controlador de dispositivo y el software del proveedor de servicios criptográficos (CSP) de su proveedor de tarjetas inteligentes, e instálelos tanto en los dispositivos de usuario como en los escritorios virtuales. El controlador y el software CSP deben ser compatibles con XenApp y XenDesktop; consulte la documentación del proveedor para verificar la compatibilidad. Para los escritorios virtuales que utilizan tarjetas inteligentes que admiten y usan el modelo de minicontrolador, los minicontroladores de tarjetas inteligentes deberían descargarse automáticamente, pero puede obtenerlos en https://catalog.update.microsoft.com o de su proveedor. Además, si se requiere middleware PKCS#11, obténgalo del proveedor de la tarjeta.
- Importante: Citrix recomienda que instale y pruebe los controladores y el software CSP en un equipo físico antes de instalar el software de Citrix.
- Agregue la URL de Citrix Receiver para Web a la lista de Sitios de confianza para los usuarios que trabajan con tarjetas inteligentes en Internet Explorer con Windows 10. En Windows 10, Internet Explorer no se ejecuta en modo protegido de forma predeterminada para los sitios de confianza.
- Asegúrese de que su infraestructura de clave pública (PKI) esté configurada correctamente. Esto incluye asegurarse de que la asignación de certificados a cuentas esté configurada correctamente para el entorno de Active Directory y de que la validación de certificados de usuario se pueda realizar con éxito.
- Asegúrese de que su implementación cumpla con los requisitos del sistema de los demás componentes de Citrix utilizados con tarjetas inteligentes, incluidos Citrix Receiver y StoreFront.
- Asegúrese de tener acceso a los siguientes servidores en su sitio:
- El controlador de dominio de Active Directory para la cuenta de usuario asociada a un certificado de inicio de sesión en la tarjeta inteligente
- Delivery Controller™
- Citrix StoreFront
- Citrix NetScaler Gateway/Citrix Access Gateway 10.x
- VDA
- (Opcional para Remote PC Access): Microsoft Exchange Server
Habilitar el uso de tarjetas inteligentes
Paso 1. Emita tarjetas inteligentes a los usuarios según su política de emisión de tarjetas.
Paso 2. (Opcional) Configure las tarjetas inteligentes para habilitar a los usuarios para Remote PC Access.
Paso 3. Instale y configure Delivery Controller y StoreFront (si aún no están instalados) para la conexión remota con tarjetas inteligentes.
Paso 4. Habilite StoreFront para el uso de tarjetas inteligentes. Para obtener más información, consulte Configure smart card authentication en la documentación de StoreFront.
Paso 5. Habilite NetScaler Gateway/Access Gateway para el uso de tarjetas inteligentes. Para obtener más información, consulte Configuring Authentication and Authorization y Configuring Smart Card Access with the Web Interface en la documentación de NetScaler.
Paso 6. Habilite los VDA para el uso de tarjetas inteligentes.
- Asegúrese de que el VDA tenga las aplicaciones y actualizaciones necesarias.
- Instale el middleware.
- Configure la redirección de tarjetas inteligentes, lo que permite la comunicación de datos de tarjetas inteligentes entre Citrix Receiver en un dispositivo de usuario y una sesión de escritorio virtual.
Paso 7. Habilite los dispositivos de usuario (incluidas las máquinas unidas a un dominio o no unidas a un dominio) para el uso de tarjetas inteligentes. Consulte Configurar la autenticación con tarjeta inteligente en la documentación de StoreFront para obtener más información.
- Importe el certificado raíz de la entidad de certificación y el certificado de la entidad de certificación emisora en el almacén de claves del dispositivo.
- Instale el middleware de tarjeta inteligente de su proveedor.
- Instale y configure Citrix Receiver para Windows, asegurándose de importar icaclient.adm mediante la Consola de administración de directivas de grupo y habilitar la autenticación con tarjeta inteligente.
Paso 8. Pruebe la implementación. Asegúrese de que la implementación esté configurada correctamente iniciando un escritorio virtual con la tarjeta inteligente de un usuario de prueba. Pruebe todos los mecanismos de acceso posibles (por ejemplo, acceder al escritorio a través de Internet Explorer y Citrix Receiver).