Documentazione dei prodotti
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Visualizza PDF

Schede smart

January 23, 2026
Grazie al contributo di: 
C

Le schede smart e le tecnologie equivalenti sono supportate in base alle linee guida descritte in questo articolo. Per utilizzare le schede smart con Citrix Virtual Apps o Citrix Virtual Desktops™:

  • Comprendere la politica di sicurezza dell’organizzazione relativa all’uso delle schede smart. Queste politiche potrebbero, ad esempio, stabilire come vengono emesse le schede smart e come gli utenti devono proteggerle. Alcuni aspetti di queste politiche potrebbero dover essere rivalutati in un ambiente Citrix Virtual Apps™ o Citrix Virtual Desktops.
  • Determinare quali tipi di dispositivi utente, sistemi operativi e applicazioni pubblicate devono essere utilizzati con le schede smart.
  • Acquisire familiarità con la tecnologia delle schede smart e con l’hardware e il software del fornitore di schede smart selezionato.
  • Sapere come distribuire i certificati digitali in un ambiente distribuito.

Nota:

La registrazione delle schede smart non è supportata con la scheda smart rapida. La registrazione delle schede smart potrebbe funzionare quando la scheda smart rapida è disabilitata, ma dipende dal tipo di scheda smart e dal middleware. Contattare il fornitore della scheda smart e del middleware per informazioni sulla loro integrazione con Citrix Virtual Apps and Desktops e sul supporto per la registrazione delle schede smart tramite sessioni virtuali.

Tipi di schede smart

Le schede smart aziendali e consumer hanno le stesse dimensioni, connettori elettrici e si adattano agli stessi lettori di schede smart.

Le schede smart per uso aziendale contengono certificati digitali. Queste schede smart supportano l’accesso a Windows e possono essere utilizzate anche con applicazioni per la firma digitale e la crittografia di documenti ed e-mail. Citrix Virtual Apps and Desktops™ supporta questi utilizzi.

Le schede smart per uso consumer non contengono certificati digitali; contengono un segreto condiviso. Queste schede smart possono supportare i pagamenti (come una carta di credito con chip e firma o chip e PIN). Non supportano l’accesso a Windows o le tipiche applicazioni Windows. Per l’utilizzo con queste schede smart sono necessarie applicazioni Windows specializzate e un’infrastruttura software adeguata (inclusa, ad esempio, una connessione a una rete di carte di pagamento). Contattare il rappresentante Citrix per informazioni sul supporto di queste applicazioni specializzate su Citrix Virtual Apps o Citrix Virtual Desktops.

Per le schede smart aziendali, esistono equivalenti compatibili che possono essere utilizzati in modo simile.

  • Un token USB equivalente a una scheda smart si collega direttamente a una porta USB. Questi token USB hanno solitamente le dimensioni di un’unità flash USB, ma possono essere piccoli come una scheda SIM utilizzata in un telefono cellulare. Appaiono come la combinazione di una scheda smart più un lettore di schede smart USB.
  • Una scheda smart virtuale che utilizza un Trusted Platform Module (TPM) di Windows appare come una scheda smart. Queste schede smart virtuali sono supportate per Windows 8 e Windows 10, utilizzando Citrix Workspace app (versione minima Citrix Receiver 4.3).
    • Le versioni di Citrix Virtual Apps and Desktops (precedentemente XenApp e XenDesktop) precedenti a XenApp e XenDesktop 7.6 FP3 non supportano le schede smart virtuali.
    • Per maggiori informazioni sulle schede smart virtuali, consultare Virtual Smart Card Overview.

    Nota: Il termine “scheda smart virtuale” viene utilizzato anche per descrivere un certificato digitale memorizzato sul computer dell’utente. Questi certificati digitali non sono strettamente equivalenti alle schede smart.

Il supporto delle schede smart di Citrix Virtual Apps and Desktops si basa sulle specifiche standard Microsoft Personal Computer/Smart Card (PC/SC). Un requisito minimo è che le schede smart e i dispositivi per schede smart devono essere supportati dal sistema operativo Windows sottostante e devono essere approvati da Microsoft Windows Hardware Quality Labs (WHQL) per essere utilizzati su computer che eseguono sistemi operativi Windows qualificati. Consultare la documentazione Microsoft per ulteriori informazioni sulla conformità hardware PC/SC. Altri tipi di dispositivi utente potrebbero essere conformi allo standard PS/SC. Per maggiori informazioni, fare riferimento al programma Citrix Ready.

Di solito, è necessario un driver di dispositivo separato per la scheda smart o l’equivalente di ciascun fornitore. Tuttavia, se le schede smart sono conformi a uno standard come lo standard NIST Personal Identity Verification (PIV), potrebbe essere possibile utilizzare un singolo driver di dispositivo per una gamma di schede smart. Il driver di dispositivo deve essere installato sia sul dispositivo utente che sul Virtual Delivery Agent (VDA). Il driver di dispositivo è spesso fornito come parte di un pacchetto middleware per schede smart disponibile da un partner Citrix; il pacchetto middleware per schede smart offre funzionalità avanzate. Il driver di dispositivo potrebbe anche essere descritto come Cryptographic Service Provider (CSP), Key Storage Provider (KSP) o minidriver.

Le seguenti combinazioni di schede smart e middleware per sistemi Windows sono state testate da Citrix come esempi rappresentativi del loro tipo. Tuttavia, possono essere utilizzate anche altre schede smart e middleware. Per maggiori informazioni sulle schede smart e sul middleware compatibili con Citrix, consultare http://www.citrix.com/ready.

Middleware Schede corrispondenti
Gemalto Mini Driver for .NET card Gemalto .NET v2+

Per informazioni sull’utilizzo delle schede smart con altri tipi di dispositivi, consultare la documentazione di Citrix Workspace™ app per quel dispositivo.

Accesso remoto al PC

Le schede smart sono supportate solo per l’accesso remoto a PC fisici da ufficio che eseguono Windows 10, Windows 8 o Windows 7.

Le seguenti schede smart sono state testate con l’accesso remoto al PC:

Middleware Schede corrispondenti
Gemalto .NET minidriver Gemalto .NET v2+

Scheda smart rapida

La scheda smart rapida è un miglioramento rispetto alla reindirizzamento delle schede smart basato su HDX PC/SC esistente. Migliora le prestazioni quando le schede smart vengono utilizzate in situazioni WAN ad alta latenza. Quando la latenza è elevata, il miglioramento delle prestazioni può essere significativo (ad esempio, 15 secondi per un accesso rapido con scheda smart di Windows rispetto a più di 1 minuto con il reindirizzamento delle schede smart basato su PC/SC).

La scheda smart rapida è abilitata per impostazione predefinita sui computer host con VDA Windows attualmente supportati. Per disabilitare la scheda smart rapida lato host, ad esempio a scopo diagnostico, impostare l’impostazione del registro ‘Disable Cryptographic Redirection’ su qualsiasi valore diverso da zero:

HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->

Lato client, per abilitare la scheda smart rapida, includere il parametro ICA SmartCardCryptographicRedirection nel file default.ica del sito StoreFront associato:

[WFClient]
SmartCardCryptographicRedirection=On
<!--NeedCopy-->

Inoltre, lato client, la scheda smart rapida può essere forzata ad essere abilitata o disabilitata (ad esempio, a scopo diagnostico) con le seguenti impostazioni del registro:

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (come DWORD diverso da zero)
  • Oppure
  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (come DWORD diverso da zero)

L’hive del registro a 32 bit deve essere specificato (utilizzando WOW6432Node) se la macchina client è a 64 bit.

Limitazioni:

  • Solo Citrix Workspace app per Windows supporta la scheda smart rapida. Se si configurano le schede smart rapide nel file default.ica, le Citrix Workspace app non per Windows utilizzano comunque il reindirizzamento PC/SC esistente.
  • Gli unici scenari a doppio hop supportati dalla scheda smart rapida sono ICA® > ICA con scheda smart rapida abilitata su entrambi gli hop. Poiché la scheda smart rapida non supporta scenari a doppio hop ICA > RDP, tali scenari non funzionano.
  • La scheda smart rapida non supporta Cryptography Next Generation. Pertanto, la scheda smart rapida non supporta le schede smart Elliptic Curve Cryptography (ECC).
  • La scheda smart rapida supporta solo operazioni di container di chiavi in sola lettura.
  • La scheda smart rapida non supporta la modifica del PIN della scheda smart.

A partire dalla versione VDA 2203 e dalla versione Citrix Workspace app 2202 per Windows (o successive), la scheda smart rapida è compatibile con Cryptography Next Generation (CNG). Inoltre, le schede smart Elliptic Curve Cryptography (ECC) sono supportate con le seguenti curve: P-256, P-384, P-521 bit, sia per ECDSA che per ECDH.

A partire dalla versione VDA 2203, la scheda smart rapida aggiunge la possibilità di memorizzare nella cache il PIN della scheda smart tra le applicazioni della stessa sessione di accesso dell’utente. Ad esempio, se Session PIN Caching è abilitato e l’utente finale ha precedentemente fornito il PIN della propria scheda smart a Outlook, quando Word viene quindi utilizzato per firmare un documento, Word utilizza il PIN della scheda smart già memorizzato nella cache (inviato a Outlook). Session PIN Caching migliora l’esperienza dell’utente riducendo il numero di volte in cui l’utente deve inserire il PIN della propria scheda smart. Inoltre, se la scheda smart viene utilizzata per accedere al VDA, il PIN di accesso della scheda smart di Windows può essere facoltativamente salvato nella Session PIN Cache. Ciò può migliorare ulteriormente l’esperienza dell’utente.

Session PIN Caching è disabilitato per impostazione predefinita. Può essere abilitato e controllato con le seguenti impostazioni del registro sul VDA:

In HKLM\SOFTWARE\Citrix\SmartCard:

  • EnablePinSessionCache come DWORD (diverso da zero per abilitare)
  • EnableLogonPinSessionCache come DWORD (diverso da zero per abilitare)
  • PinSessionCacheEntryStaleTimeout come DWORD (numero di secondi prima che una voce diventi obsoleta, il valore predefinito è 1 ora)

Tipi di lettori di schede smart

Un lettore di schede smart può essere integrato nel dispositivo utente o essere collegato separatamente al dispositivo utente (solitamente tramite USB o Bluetooth). Sono supportati i lettori di schede a contatto conformi alla specifica USB Chip/Smart Card Interface Devices (CCID). Contengono uno slot o una fessura in cui l’utente inserisce la scheda smart. Lo standard Deutsche Kreditwirtschaft (DK) definisce quattro classi di lettori di schede a contatto.

  • I lettori di schede smart di Classe 1 sono i più comuni e di solito contengono uno slot. I lettori di schede smart di Classe 1 sono supportati, solitamente con un driver di dispositivo CCID standard fornito con il sistema operativo.
  • I lettori di schede smart di Classe 2 contengono anche una tastiera sicura a cui il dispositivo utente non può accedere. I lettori di schede smart di Classe 2 potrebbero essere integrati in una tastiera con una tastiera sicura integrata. Per i lettori di schede smart di Classe 2, contattare il rappresentante Citrix; potrebbe essere necessario un driver di dispositivo specifico per il lettore per abilitare la funzionalità della tastiera sicura.
  • I lettori di schede smart di Classe 3 contengono anche un display sicuro. I lettori di schede smart di Classe 3 non sono supportati.
  • I lettori di schede smart di Classe 4 contengono anche un modulo di transazione sicuro. I lettori di schede smart di Classe 4 non sono supportati.

Nota:

La classe del lettore di schede smart non è correlata alla classe del dispositivo USB.

I lettori di schede smart devono essere installati con un driver di dispositivo corrispondente sul dispositivo utente.

Per informazioni sui lettori di schede smart supportati, consultare la documentazione di Citrix Workspace app in uso. Nella documentazione di Citrix Workspace app, le versioni supportate sono elencate in un articolo sulle schede smart o nell’articolo sui requisiti di sistema.

Esperienza utente

Il supporto delle schede smart è integrato in Citrix Virtual Apps and Desktops, utilizzando uno specifico canale virtuale per schede smart ICA/HDX abilitato per impostazione predefinita.

Importante: non utilizzare il reindirizzamento USB generico per i lettori di schede smart. Questo è disabilitato per impostazione predefinita per i lettori di schede smart e non è supportato se abilitato.

È possibile utilizzare più schede smart e più lettori sullo stesso dispositivo utente, ma se è in uso l’autenticazione pass-through, deve essere inserita una sola scheda smart quando l’utente avvia un desktop virtuale o un’applicazione. Quando una scheda smart viene utilizzata all’interno di un’applicazione (ad esempio, per funzioni di firma digitale o crittografia), potrebbero esserci altre richieste di inserimento di una scheda smart o di immissione di un PIN. Ciò può verificarsi se più di una scheda smart è stata inserita contemporaneamente.

  • Se agli utenti viene richiesto di inserire una scheda smart quando la scheda smart è già nel lettore, devono selezionare Annulla.
  • Se agli utenti viene richiesto il PIN, devono inserire nuovamente il PIN.

È possibile reimpostare i PIN utilizzando un sistema di gestione delle carte o un’utilità del fornitore.

Importante:

All’interno di una sessione Citrix Virtual Apps o Citrix Virtual Desktops, l’utilizzo di una scheda smart con l’applicazione Microsoft Remote Desktop Connection non è supportato. Questo viene talvolta descritto come un utilizzo “double hop”.

Prima di distribuire le schede smart

  • Ottenere un driver di dispositivo per il lettore di schede smart e installarlo sul dispositivo utente. Molti lettori di schede smart possono utilizzare il driver di dispositivo CCID fornito da Microsoft.
  • Ottenere un driver di dispositivo e il software del provider di servizi crittografici (CSP) dal fornitore della scheda smart e installarli sia sui dispositivi utente che sui desktop virtuali. Il driver e il software CSP devono essere compatibili con Citrix Virtual Apps and Desktops; controllare la documentazione del fornitore per la compatibilità. Per i desktop virtuali che utilizzano schede smart che supportano e utilizzano il modello minidriver, i minidriver delle schede smart vengono scaricati automaticamente, ma è possibile ottenerli anche da http://catalog.update.microsoft.com o dal proprio fornitore. Inoltre, se è richiesto il middleware PKCS#11, ottenerlo dal fornitore della carta.
  • Importante: Citrix consiglia di installare e testare i driver e il software CSP su un computer fisico prima di installare il software Citrix.
  • Aggiungere l’URL di Citrix Receiver™ for Web all’elenco Siti attendibili per gli utenti che utilizzano schede smart in Internet Explorer con Windows 10. In Windows 10, Internet Explorer non viene eseguito in modalità protetta per impostazione predefinita per i siti attendibili.
  • Assicurarsi che l’infrastruttura a chiave pubblica (PKI) sia configurata in modo appropriato. Ciò include la garanzia che la mappatura certificato-account sia configurata correttamente per l’ambiente Active Directory e che la convalida del certificato utente possa essere eseguita con successo.
  • Assicurarsi che la distribuzione soddisfi i requisiti di sistema degli altri componenti Citrix utilizzati con le schede smart, inclusi Citrix Workspace app e StoreFront.
  • Garantire l’accesso ai seguenti server nel proprio sito:
    • Il controller di dominio Active Directory per l’account utente associato a un certificato di accesso sulla scheda smart
    • Delivery Controller™
    • Citrix StoreFront
    • Citrix Gateway/Citrix Access Gateway 10.x
    • VDA
    • (Opzionale per l’accesso remoto al PC): Microsoft Exchange Server

Abilitare l’uso delle schede smart

  1. Passaggio 1. Emettere schede smart agli utenti in base alla politica di emissione delle carte.
  2. Passaggio 2. (Facoltativo) Configurare le schede smart per abilitare gli utenti all’accesso remoto al PC.
  3. Passaggio 3. Installare e configurare Delivery Controller e StoreFront (se non già installati) per il remoting delle schede smart.
  4. Passaggio 4. Abilitare StoreFront per l’uso delle schede smart. Per i dettagli, consultare Configurare l’autenticazione con scheda smart nella documentazione di StoreFront.
  5. Passaggio 5. Abilitare Citrix Gateway/Access Gateway per l’uso delle schede smart. Per i dettagli, consultare Configuring Authentication and Authorization e Configuring Smart Card Access with the Web Interface nella documentazione di NetScaler.
  6. Passaggio 6. Abilitare i VDA per l’uso delle schede smart.
    • Assicurarsi che il VDA disponga delle applicazioni e degli aggiornamenti richiesti.
    • Installare il middleware.
    • Configurare il remoting delle schede smart, abilitando la comunicazione dei dati delle schede smart tra Citrix Workspace app su un dispositivo utente e una sessione desktop virtuale.
  7. Passaggio 7. Abilitare i dispositivi utente (incluse le macchine aggiunte a un dominio o non aggiunte a un dominio) per l’uso delle schede smart. Per i dettagli, consultare Configurare l’autenticazione con scheda smart nella documentazione di StoreFront.
    • Importare il certificato radice dell’autorità di certificazione e il certificato dell’autorità di certificazione emittente nell’archivio chiavi del dispositivo.
    • Installare il middleware della scheda smart del proprio fornitore.
    • Installare e configurare Citrix Workspace app per Windows, assicurandosi di importare icaclient.adm utilizzando la Group Policy Management Console e di abilitare l’autenticazione con scheda smart.
  8. Passaggio 8. Testare la distribuzione. Assicurarsi che la distribuzione sia configurata correttamente avviando un desktop virtuale con la scheda smart di un utente di test. Testare tutti i possibili meccanismi di accesso (ad esempio, l’accesso al desktop tramite Internet Explorer e Citrix Workspace app).

Tracciare il conteggio degli inserimenti del lettore di schede smart

Con il remoting delle schede smart, è possibile tenere traccia del numero di volte in cui una scheda smart è stata inserita o rimossa da un lettore utilizzando la funzione SCardGetStatusChange. La funzione aggiorna un array di strutture di dati SCARD_READERSTATE, una per ogni lettore monitorato. La parola alta (16 bit) del campo dwEventState di ogni SCARD_READERSTATE contiene il conteggio del lettore. Per maggiori informazioni, consultare gli articoli Microsoft SCardGetStatusChangeA function e SCARD_READERSTATEA structure.

L’impostazione Reader Insert Count Reporting è disabilitata per impostazione predefinita. Per abilitare il tracciamento, aggiungere la seguente chiave di registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard

Name: EnableReaderInsertCountReporting

Type: DWORD

Value: Any non-zero value
<!--NeedCopy-->

Quando la sessione si disconnette, il conteggio si azzera.

Reader Insert Count Reporting è compatibile con il middleware di schede smart di terze parti.

Schede smart
January 23, 2026
Grazie al contributo di: 
C
January 23, 2026
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.