Documentazione dei prodotti

Smart card

May 31, 2026
Grazie al contributo di: 
C

Le smart card e le tecnologie equivalenti sono supportate in base alle linee guida descritte in questo articolo. Per utilizzare le smart card con Citrix Virtual Apps o Citrix Virtual Desktops™:

  • Comprendere la politica di sicurezza dell’organizzazione relativa all’uso delle smart card. Queste politiche potrebbero, ad esempio, stabilire come vengono emesse le smart card e come gli utenti devono proteggerle. Alcuni aspetti di queste politiche potrebbero dover essere rivalutati in un ambiente Citrix Virtual Apps™ o Citrix Virtual Desktops.
  • Determinare quali tipi di dispositivi utente, sistemi operativi e applicazioni pubblicate devono essere utilizzati con le smart card.
  • Acquisire familiarità con la tecnologia delle smart card e con l’hardware e il software del fornitore di smart card selezionato.
  • Sapere come distribuire i certificati digitali in un ambiente distribuito.

Nota:

La registrazione delle smart card non è supportata con fast smart card. La registrazione delle smart card potrebbe funzionare quando la fast smart card è disabilitata, ma dipende dal tipo di smart card e dal middleware. Contattare il fornitore della smart card e del middleware per informazioni sulla loro integrazione con Citrix Virtual Apps and Desktops e sul supporto per la registrazione delle smart card tramite sessioni virtuali.

Tipi di smart card

Le smart card aziendali e quelle per i consumatori hanno le stesse dimensioni, connettori elettrici e si adattano agli stessi lettori di smart card.

Le smart card per uso aziendale contengono certificati digitali. Queste smart card supportano Windows Logon e possono essere utilizzate anche con applicazioni per la firma digitale e la crittografia di documenti ed e-mail. Citrix Virtual Apps and Desktops™ supporta questi usi.

Le smart card per uso consumer non contengono certificati digitali; contengono un segreto condiviso. Queste smart card possono supportare i pagamenti (come una carta di credito con chip e firma o chip e PIN). Non supportano Windows Logon o le tipiche applicazioni Windows. Per l’utilizzo con queste smart card sono necessarie applicazioni Windows specializzate e un’infrastruttura software adeguata (inclusa, ad esempio, una connessione a una rete di carte di pagamento). Contattare il rappresentante Citrix per informazioni sul supporto di queste applicazioni specializzate su Citrix Virtual Apps o Citrix Virtual Desktops.

Per le smart card aziendali, esistono equivalenti compatibili che possono essere utilizzati in modo simile.

  • Un token USB equivalente a una smart card si collega direttamente a una porta USB. Questi token USB sono solitamente delle dimensioni di un’unità flash USB, ma possono essere piccoli come una scheda SIM utilizzata in un telefono cellulare. Appaiono come la combinazione di una smart card più un lettore di smart card USB.
  • Una smart card virtuale che utilizza un Windows Trusted Platform Module (TPM) appare come una smart card. Queste smart card virtuali sono supportate per Windows 8 e Windows 10, utilizzando Citrix Workspace app (versione minima Citrix Receiver 4.3).
    • Le versioni di Citrix Virtual Apps and Desktops (precedentemente XenApp e XenDesktop) precedenti a XenApp e XenDesktop 7.6 FP3 non supportano le smart card virtuali.
    • Per maggiori informazioni sulle smart card virtuali, vedere Panoramica sulle smart card virtuali.

    Nota: Il termine “smart card virtuale” viene utilizzato anche per descrivere un certificato digitale memorizzato sul computer dell’utente. Questi certificati digitali non sono strettamente equivalenti alle smart card.

Il supporto delle smart card di Citrix Virtual Apps and Desktops si basa sulle specifiche standard Microsoft Personal Computer/Smart Card (PC/SC). Un requisito minimo è che le smart card e i dispositivi smart card devono essere supportati dal sistema operativo Windows sottostante e devono essere approvati dai Microsoft Windows Hardware Quality Labs (WHQL) per essere utilizzati su computer che eseguono sistemi operativi Windows qualificati. Consultare la documentazione Microsoft per ulteriori informazioni sulla conformità hardware PC/SC. Altri tipi di dispositivi utente potrebbero essere conformi allo standard PS/SC. Per maggiori informazioni, fare riferimento al programma Citrix Ready.

Di solito, è necessario un driver di dispositivo separato per la smart card o equivalente di ciascun fornitore. Tuttavia, se le smart card sono conformi a uno standard come lo standard NIST Personal Identity Verification (PIV), potrebbe essere possibile utilizzare un unico driver di dispositivo per una gamma di smart card. Il driver di dispositivo deve essere installato sia sul dispositivo utente che sul Virtual Delivery Agent (VDA). Il driver di dispositivo viene spesso fornito come parte di un pacchetto middleware per smart card disponibile da un partner Citrix; il pacchetto middleware per smart card offre funzionalità avanzate. Il driver di dispositivo potrebbe anche essere descritto come Cryptographic Service Provider (CSP), Key Storage Provider (KSP) o minidriver.

Le seguenti combinazioni di smart card e middleware per sistemi Windows sono state testate da Citrix come esempi rappresentativi del loro tipo. Tuttavia, possono essere utilizzate anche altre smart card e middleware. Per maggiori informazioni sulle smart card e middleware compatibili con Citrix, vedere http://www.citrix.com/ready.

Middleware Schede corrispondenti
Mini Driver Gemalto per scheda .NET Gemalto .NET v2+

Per informazioni sull’utilizzo delle smart card con altri tipi di dispositivi, consultare la documentazione dell’app Citrix Workspace™ per quel dispositivo.

Accesso remoto al PC

Le smart card sono supportate solo per l’accesso remoto a PC fisici da ufficio che eseguono Windows 10, Windows 8 o Windows 7.

Le seguenti smart card sono state testate con l’Accesso remoto al PC:

Middleware Schede corrispondenti
Minidriver Gemalto .NET Gemalto .NET v2+

Smart card veloce

Fast smart card è un miglioramento rispetto al reindirizzamento di smart card basato su PC/SC HDX esistente. Migliora le prestazioni quando le smart card vengono utilizzate in situazioni WAN ad alta latenza. Quando la latenza è elevata, il miglioramento delle prestazioni può essere significativo (ad esempio, 15 secondi per un accesso con Fast smart card di Windows rispetto a più di 1 minuto con il reindirizzamento di smart card basato su PC/SC).

Fast smart card è abilitata per impostazione predefinita sulle macchine host con VDA Windows attualmente supportati. Per disabilitare Fast smart card lato host, ad esempio a scopo diagnostico, impostare l’impostazione del Registro di sistema ‘Disable Cryptographic Redirection’ su qualsiasi valore diverso da zero:

HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->

Lato client, per abilitare Fast smart card, includere il parametro ICA SmartCardCryptographicRedirection nel file default.ica del sito StoreFront associato:

[WFClient]
SmartCardCryptographicRedirection=On

Inoltre, lato client, Fast smart card può essere forzata ad abilitarsi o disabilitarsi (ad esempio, a scopo diagnostico) con le seguenti impostazioni del Registro di sistema:

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (come DWORD diverso da zero)

Oppure

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (come DWORD diverso da zero)

L’hive del Registro di sistema a 32 bit deve essere specificato (utilizzando WOW6432Node) se la macchina client è a 64 bit.

Limitazioni:

  • Solo Citrix Workspace app per Windows supporta Fast smart card. Se si configurano le Fast smart card nel file default.ica, le app Citrix Workspace che non sono per Windows utilizzano comunque il reindirizzamento PC/SC esistente.
  • Gli unici scenari a doppio hop supportati da Fast smart card sono ICA® > ICA con Fast smart card abilitata su entrambi gli hop. Poiché Fast smart card non supporta scenari a doppio hop ICA > RDP, tali scenari non funzionano.
  • La smart card veloce non supporta Cryptography Next Generation. Pertanto, la smart card veloce non supporta le smart card con crittografia a curva ellittica (ECC).
  • La smart card veloce supporta solo operazioni di contenitore di chiavi in sola lettura.
  • La smart card veloce non supporta la modifica del PIN della smart card.

A partire dalla versione 2203 di VDA e dalla versione 2202 (o successiva) di Citrix Workspace app per Windows, la smart card veloce è compatibile con Cryptography Next Generation (CNG). Inoltre, le smart card con crittografia a curva ellittica (ECC) sono supportate con le seguenti curve: P-256, P-384, P-521 bit, sia per ECDSA che per ECDH.

A partire dalla versione 2203 di VDA, la smart card veloce aggiunge la possibilità di memorizzare nella cache il PIN della smart card tra le applicazioni della stessa sessione di accesso dell’utente. Ad esempio, se Session PIN Caching è abilitata e l’utente finale ha precedentemente fornito il PIN della propria smart card a Outlook, quando Word viene quindi utilizzato per firmare un documento, Word utilizza il PIN della smart card già memorizzato nella cache (inviato a Outlook). Session PIN Caching migliora l’esperienza utente riducendo il numero di volte in cui l’utente deve inserire il PIN della propria smart card. Inoltre, se la smart card viene utilizzata per accedere al VDA, il PIN di accesso della smart card di Windows può essere facoltativamente salvato nella Session PIN Cache. Ciò può migliorare ulteriormente l’esperienza utente.

Session PIN Caching è disabilitata per impostazione predefinita. Può essere abilitata e controllata con le seguenti impostazioni del Registro di sistema sul VDA:

In HKLM\SOFTWARE\Citrix\SmartCard:

  • EnablePinSessionCache come DWORD (diverso da zero per abilitare)
  • EnableLogonPinSessionCache come DWORD (diverso da zero per abilitare)
  • PinSessionCacheEntryStaleTimeout come DWORD (numero di secondi prima che una voce diventi obsoleta, il valore predefinito è 1 ora)

Tipi di lettori di smart card

Un lettore di smart card può essere integrato nel dispositivo utente o essere collegato separatamente al dispositivo utente (solitamente tramite USB o Bluetooth). Sono supportati i lettori di schede a contatto conformi alla specifica USB Chip/Smart Card Interface Devices (CCID). Contengono uno slot o una fessura in cui l’utente inserisce la smart card. Lo standard Deutsche Kreditwirtschaft (DK) definisce quattro classi di lettori di schede a contatto.

  • I lettori di smart card di Classe 1 sono i più comuni e di solito contengono uno slot. I lettori di smart card di Classe 1 sono supportati, di solito con un driver di dispositivo CCID standard fornito con il sistema operativo.
  • I lettori di smart card di Classe 2 contengono anche una tastiera sicura a cui il dispositivo utente non può accedere. I lettori di smart card di Classe 2 potrebbero essere integrati in una tastiera con una tastiera sicura integrata. Per i lettori di smart card di Classe 2, contattare il proprio rappresentante Citrix; potrebbe essere necessario un driver di dispositivo specifico per il lettore per abilitare la funzionalità della tastiera sicura.
  • I lettori di smart card di Classe 3 contengono anche un display sicuro. I lettori di smart card di Classe 3 non sono supportati.
  • I lettori di smart card di Classe 4 contengono anche un modulo di transazione sicuro. I lettori di smart card di Classe 4 non sono supportati.

Nota:

La classe del lettore di smart card non è correlata alla classe del dispositivo USB.

I lettori di smart card devono essere installati con un driver di dispositivo corrispondente sul dispositivo utente.

Per informazioni sui lettori di smart card supportati, consultare la documentazione dell’app Citrix Workspace in uso. Nella documentazione dell’app Citrix Workspace, le versioni supportate sono elencate in un articolo sulle smart card o nell’articolo sui requisiti di sistema.

Esperienza utente

Il supporto per smart card è integrato in Citrix Virtual Apps and Desktops, utilizzando un canale virtuale smart card ICA/HDX specifico che è abilitato per impostazione predefinita.

Importante: Non utilizzare il reindirizzamento USB generico per i lettori di smart card. Questo è disabilitato per impostazione predefinita per i lettori di smart card e non è supportato se abilitato.

È possibile utilizzare più smart card e più lettori sullo stesso dispositivo utente, ma se è in uso l’autenticazione pass-through, deve essere inserita una sola smart card quando l’utente avvia un desktop virtuale o un’applicazione. Quando una smart card viene utilizzata all’interno di un’applicazione (ad esempio, per funzioni di firma digitale o crittografia), potrebbero esserci altre richieste di inserimento di una smart card o di immissione di un PIN. Ciò può verificarsi se è stata inserita più di una smart card contemporaneamente.

  • Se agli utenti viene richiesto di inserire una smart card quando la smart card è già nel lettore, devono selezionare Annulla.
  • Se agli utenti viene richiesto il PIN, devono inserire nuovamente il PIN.

È possibile reimpostare i PIN utilizzando un sistema di gestione delle carte o un’utilità del fornitore.

Importante:

All’interno di una sessione di Citrix Virtual Apps o Citrix Virtual Desktops, l’utilizzo di una smart card con l’applicazione Microsoft Remote Desktop Connection non è supportato. Questo è talvolta descritto come un utilizzo a “doppio salto”.

Prima di distribuire le smart card

  • Ottenere un driver di dispositivo per il lettore di smart card e installarlo sul dispositivo utente. Molti lettori di smart card possono utilizzare il driver di dispositivo CCID fornito da Microsoft.
  • Ottenere un driver di dispositivo e il software del provider di servizi crittografici (CSP) dal fornitore della smart card e installarli sia sui dispositivi utente che sui desktop virtuali. Il driver e il software CSP devono essere compatibili con Citrix Virtual Apps and Desktops; controllare la documentazione del fornitore per la compatibilità. Per i desktop virtuali che utilizzano smart card che supportano e utilizzano il modello minidriver, i minidriver delle smart card vengono scaricati automaticamente, ma è possibile ottenerli anche da http://catalog.update.microsoft.com o dal proprio fornitore. Inoltre, se è richiesto il middleware PKCS#11, ottenerlo dal fornitore della carta.
  • Importante: Citrix consiglia di installare e testare i driver e il software CSP su un computer fisico prima di installare il software Citrix.
  • Aggiungere l’URL di Citrix Receiver™ for Web all’elenco Siti attendibili per gli utenti che utilizzano smart card in Internet Explorer con Windows 10. In Windows 10, Internet Explorer non viene eseguito in modalità protetta per impostazione predefinita per i siti attendibili.
  • Assicurarsi che l’infrastruttura a chiave pubblica (PKI) sia configurata in modo appropriato. Ciò include la garanzia che la mappatura certificato-account sia configurata correttamente per l’ambiente Active Directory e che la convalida del certificato utente possa essere eseguita con successo.
  • Assicurarsi che la distribuzione soddisfi i requisiti di sistema degli altri componenti Citrix utilizzati con le smart card, inclusi Citrix Workspace app e StoreFront.
  • Assicurarsi l’accesso ai seguenti server nel proprio Sito:
    • Il controller di dominio Active Directory per l’account utente associato a un certificato di accesso sulla smart card
    • Delivery Controller™
    • Citrix StoreFront
    • Citrix Gateway/Citrix Access Gateway 10.x
    • VDA
    • (Opzionale per l’accesso remoto al PC): Microsoft Exchange Server

Abilitare l’uso delle smart card

Passaggio 1. Rilasciare smart card agli utenti in base alla propria politica di emissione delle carte.

Passaggio 2. (Facoltativo) Configurare le smart card per abilitare gli utenti all’accesso remoto al PC.

Passaggio 3. Installare e configurare il Delivery Controller e StoreFront (se non già installati) per il remoting delle smart card.

Passaggio 4. Abilitare StoreFront per l’uso delle smart card. Per i dettagli, vedere Configurare l’autenticazione con smart card nella documentazione di StoreFront.

Passaggio 5. Abilitare Citrix Gateway/Access Gateway per l’uso delle smart card. Per i dettagli, vedere Configurazione dell’autenticazione e dell’autorizzazione e Configurazione dell’accesso con smart card con l’interfaccia Web nella documentazione di NetScaler.

Passaggio 6. Abilitare i VDA per l’uso delle smart card.

  • Assicurarsi che il VDA disponga delle applicazioni e degli aggiornamenti richiesti.
  • Installare il middleware.
  • Configurare il remoting delle smart card, abilitando la comunicazione dei dati delle smart card tra l’app Citrix Workspace su un dispositivo utente e una sessione desktop virtuale.

Passaggio 7. Abilitare i dispositivi utente (incluse le macchine aggiunte a un dominio o non aggiunte a un dominio) per l’uso delle smart card. Per i dettagli, vedere Configurare l’autenticazione con smart card nella documentazione di StoreFront.

  • Importare il certificato radice dell’autorità di certificazione e il certificato dell’autorità di certificazione emittente nel keystore del dispositivo.
  • Installare il middleware per smart card del proprio fornitore.
  • Installare e configurare l’app Citrix Workspace per Windows, assicurandosi di importare icaclient.adm utilizzando la Console Gestione Criteri di gruppo e di abilitare l’autenticazione con smart card.

Passaggio 8. Testare la distribuzione. Assicurarsi che la distribuzione sia configurata correttamente avviando un desktop virtuale con la smart card di un utente di prova. Testare tutti i possibili meccanismi di accesso (ad esempio, l’accesso al desktop tramite Internet Explorer e l’app Citrix Workspace).

Tracciare il conteggio degli inserimenti del lettore di smart card

Con il remoting delle smart card, è possibile tenere traccia del numero di volte in cui una smart card è stata inserita o rimossa da un lettore utilizzando la funzione SCardGetStatusChange. La funzione aggiorna un array di strutture di dati SCARD_READERSTATE, una per ogni lettore monitorato. La parola alta (16 bit) del campo dwEventState di ogni SCARD_READERSTATE contiene il conteggio del lettore. Per ulteriori informazioni, consultare gli articoli Microsoft funzione SCardGetStatusChangeA e struttura SCARD_READERSTATEA.

L’impostazione Reader Insert Count Reporting è disabilitata per impostazione predefinita. Per abilitare il tracciamento, aggiungere la seguente chiave di registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard

Nome: EnableReaderInsertCountReporting

Tipo: DWORD

Valore: Qualsiasi valore diverso da zero

Quando la sessione si disconnette, il conteggio si azzera.

Reader Insert Count Reporting è compatibile con il middleware di smart card di terze parti.

Smart card
May 31, 2026
Grazie al contributo di: 
C
May 31, 2026
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.