Citrix Virtual Apps and Desktops

Smart card

January 23, 2026

Grazie al contributo di:

Le smart card e le tecnologie equivalenti sono supportate in base alle linee guida descritte in questo articolo. Per utilizzare le smart card con Citrix Virtual Apps o Citrix Virtual Desktops™:

Comprendere la politica di sicurezza dell’organizzazione relativa all’uso delle smart card. Queste politiche potrebbero, ad esempio, stabilire come vengono emesse le smart card e come gli utenti devono proteggerle. Alcuni aspetti di queste politiche potrebbero dover essere rivalutati in un ambiente Citrix Virtual Apps™ o Citrix Virtual Desktops.
Determinare quali tipi di dispositivi utente, sistemi operativi e applicazioni pubblicate devono essere utilizzati con le smart card.
Acquisire familiarità con la tecnologia delle smart card e con l’hardware e il software del fornitore di smart card selezionato.
Sapere come distribuire i certificati digitali in un ambiente distribuito.

Nota:

La registrazione delle smart card non è supportata con la fast smart card. La registrazione delle smart card potrebbe funzionare quando la fast smart card è disabilitata, ma dipende dal tipo di smart card e dal middleware. Contattare il fornitore della smart card e del middleware per informazioni sulla loro integrazione con Citrix Virtual Apps and Desktops e sul supporto per la registrazione delle smart card tramite sessioni virtuali.

Tipi di smart card

Le smart card aziendali e consumer hanno le stesse dimensioni, connettori elettrici e si adattano agli stessi lettori di smart card.

Le smart card per uso aziendale contengono certificati digitali. Queste smart card supportano l’accesso a Windows e possono essere utilizzate anche con applicazioni per la firma digitale e la crittografia di documenti ed e-mail. Citrix Virtual Apps and Desktops™ supporta questi utilizzi.

Le smart card per uso consumer non contengono certificati digitali; contengono un segreto condiviso. Queste smart card possono supportare i pagamenti (come una carta di credito con chip e firma o chip e PIN). Non supportano l’accesso a Windows o le tipiche applicazioni Windows. Per l’utilizzo con queste smart card sono necessarie applicazioni Windows specializzate e un’infrastruttura software adeguata (inclusa, ad esempio, una connessione a una rete di carte di pagamento). Contattare il rappresentante Citrix per informazioni sul supporto di queste applicazioni specializzate su Citrix Virtual Apps o Citrix Virtual Desktops.

Per le smart card aziendali, esistono equivalenti compatibili che possono essere utilizzati in modo simile.

Un token USB equivalente a una smart card si collega direttamente a una porta USB. Questi token USB hanno solitamente le dimensioni di un’unità flash USB, ma possono essere piccoli come una scheda SIM utilizzata in un telefono cellulare. Appaiono come la combinazione di una smart card e un lettore di smart card USB.
Una smart card virtuale che utilizza un Trusted Platform Module (TPM) di Windows appare come una smart card. Queste smart card virtuali sono supportate per Windows 8 e Windows 10, utilizzando Citrix Workspace app (versione minima Citrix Receiver 4.3).
- Le versioni di Citrix Virtual Apps and Desktops (precedentemente XenApp e XenDesktop) precedenti a XenApp e XenDesktop 7.6 FP3 non supportano le smart card virtuali.
- Per maggiori informazioni sulle smart card virtuali, consultare Virtual Smart Card Overview.
Nota: Il termine “smart card virtuale” viene utilizzato anche per descrivere un certificato digitale memorizzato sul computer dell’utente. Questi certificati digitali non sono strettamente equivalenti alle smart card.

Il supporto delle smart card di Citrix Virtual Apps and Desktops si basa sulle specifiche standard Microsoft Personal Computer/Smart Card (PC/SC). Un requisito minimo è che le smart card e i dispositivi smart card siano supportati dal sistema operativo Windows sottostante e siano approvati dai Microsoft Windows Hardware Quality Labs (WHQL) per essere utilizzati su computer che eseguono sistemi operativi Windows qualificati. Consultare la documentazione Microsoft per ulteriori informazioni sulla conformità hardware PC/SC. Altri tipi di dispositivi utente potrebbero essere conformi allo standard PS/SC. Per maggiori informazioni, fare riferimento al programma Citrix Ready.

Di solito, è necessario un driver di dispositivo separato per la smart card o l’equivalente di ciascun fornitore. Tuttavia, se le smart card sono conformi a uno standard come il NIST Personal Identity Verification (PIV), potrebbe essere possibile utilizzare un unico driver di dispositivo per una gamma di smart card. Il driver di dispositivo deve essere installato sia sul dispositivo utente che sul Virtual Delivery Agent (VDA). Il driver di dispositivo viene spesso fornito come parte di un pacchetto middleware per smart card disponibile da un partner Citrix; il pacchetto middleware per smart card offre funzionalità avanzate. Il driver di dispositivo potrebbe anche essere descritto come Cryptographic Service Provider (CSP), Key Storage Provider (KSP) o minidriver.

Le seguenti combinazioni di smart card e middleware per sistemi Windows sono state testate da Citrix come esempi rappresentativi del loro tipo. Tuttavia, possono essere utilizzate anche altre smart card e middleware. Per maggiori informazioni sulle smart card e sul middleware compatibili con Citrix, consultare http://www.citrix.com/ready.

Middleware	Schede corrispondenti
Gemalto Mini Driver for .NET card	Gemalto .NET v2+

Per informazioni sull’utilizzo delle smart card con altri tipi di dispositivi, consultare la documentazione di Citrix Workspace™ app per quel dispositivo.

Accesso remoto al PC

Le smart card sono supportate solo per l’accesso remoto a PC fisici da ufficio che eseguono Windows 10, Windows 8 o Windows 7.

Le seguenti smart card sono state testate con l’Accesso remoto al PC:

Middleware	Schede corrispondenti
Gemalto .NET minidriver	Gemalto .NET v2+

Fast smart card

La fast smart card è un miglioramento rispetto alla reindirizzamento delle smart card basato su HDX PC/SC esistente. Migliora le prestazioni quando le smart card vengono utilizzate in situazioni WAN ad alta latenza. Quando la latenza è elevata, il miglioramento delle prestazioni può essere significativo (ad esempio, 15 secondi per un accesso Windows con fast smart card rispetto a più di 1 minuto con il reindirizzamento delle smart card basato su PC/SC).

La fast smart card è abilitata per impostazione predefinita sulle macchine host con VDA Windows attualmente supportati. Per disabilitare la fast smart card lato host, ad esempio a scopo diagnostico, impostare l’impostazione del registro ‘Disable Cryptographic Redirection’ su qualsiasi valore diverso da zero:

HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->

Lato client, per abilitare la fast smart card, includere il parametro ICA SmartCardCryptographicRedirection nel file default.ica del sito StoreFront associato:

[WFClient]
SmartCardCryptographicRedirection=On

Inoltre, lato client, la fast smart card può essere forzata ad essere abilitata o disabilitata (ad esempio, a scopo diagnostico) con le seguenti impostazioni del registro:

HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (come DWORD diverso da zero)

Oppure

HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (come DWORD diverso da zero)

L’hive del registro a 32 bit deve essere specificato (utilizzando WOW6432Node) se la macchina client è a 64 bit.

Limitazioni:

Solo Citrix Workspace app per Windows supporta la fast smart card. Se si configurano le fast smart card nel file default.ica, le app Citrix Workspace non per Windows utilizzano comunque il reindirizzamento PC/SC esistente.
Gli unici scenari “double-hop” supportati dalla fast smart card sono ICA® > ICA con fast smart card abilitata su entrambi i “hop”. Poiché la fast smart card non supporta gli scenari “double-hop” ICA > RDP, tali scenari non funzionano.
La fast smart card non supporta Cryptography Next Generation. Pertanto, la fast smart card non supporta le smart card Elliptic Curve Cryptography (ECC).
La fast smart card supporta solo operazioni di container di chiavi in sola lettura.
La fast smart card non supporta la modifica del PIN della smart card.

A partire dalla versione VDA 2203 e dalla versione Citrix Workspace app 2202 per Windows (o successive), la fast smart card è compatibile con Cryptography Next Generation (CNG). Inoltre, le smart card Elliptic Curve Cryptography (ECC) sono supportate con le seguenti curve: P-256, P-384, P-521 bit, sia per ECDSA che per ECDH.

A partire dalla versione VDA 2203, la fast smart card aggiunge la capacità di memorizzare nella cache il PIN della smart card tra le applicazioni della stessa sessione di accesso dell’utente. Ad esempio, se Session PIN Caching è abilitato e l’utente finale ha precedentemente fornito il PIN della propria smart card a Outlook, quando Word viene quindi utilizzato per firmare un documento, Word utilizza il PIN della smart card già memorizzato nella cache (inviato a Outlook). Session PIN Caching migliora l’esperienza dell’utente riducendo il numero di volte in cui l’utente deve inserire il PIN della propria smart card. Inoltre, se la smart card viene utilizzata per accedere al VDA, il PIN di accesso della smart card di Windows può essere facoltativamente salvato nella Session PIN Cache. Ciò può migliorare ulteriormente l’esperienza dell’utente.

Session PIN Caching è disabilitato per impostazione predefinita. Può essere abilitato e controllato con le seguenti impostazioni del registro sul VDA:

In HKLM\SOFTWARE\Citrix\SmartCard:

EnablePinSessionCache come DWORD (diverso da zero per abilitare)
EnableLogonPinSessionCache come DWORD (diverso da zero per abilitare)
PinSessionCacheEntryStaleTimeout come DWORD (numero di secondi prima che una voce diventi obsoleta, il valore predefinito è 1 ora)

Tipi di lettori di smart card

Un lettore di smart card può essere integrato nel dispositivo utente o essere collegato separatamente al dispositivo utente (solitamente tramite USB o Bluetooth). Sono supportati i lettori di schede a contatto conformi alla specifica USB Chip/Smart Card Interface Devices (CCID). Contengono uno slot o una fessura in cui l’utente inserisce la smart card. Lo standard Deutsche Kreditwirtschaft (DK) definisce quattro classi di lettori di schede a contatto.

I lettori di smart card di Classe 1 sono i più comuni e di solito contengono uno slot. I lettori di smart card di Classe 1 sono supportati, solitamente con un driver di dispositivo CCID standard fornito con il sistema operativo.
I lettori di smart card di Classe 2 contengono anche una tastiera sicura a cui il dispositivo utente non può accedere. I lettori di smart card di Classe 2 potrebbero essere integrati in una tastiera con una tastiera sicura integrata. Per i lettori di smart card di Classe 2, contattare il rappresentante Citrix; potrebbe essere necessario un driver di dispositivo specifico per il lettore per abilitare la funzionalità della tastiera sicura.
I lettori di smart card di Classe 3 contengono anche un display sicuro. I lettori di smart card di Classe 3 non sono supportati.
I lettori di smart card di Classe 4 contengono anche un modulo di transazione sicuro. I lettori di smart card di Classe 4 non sono supportati.

Nota:

La classe del lettore di smart card non è correlata alla classe del dispositivo USB.

I lettori di smart card devono essere installati con un driver di dispositivo corrispondente sul dispositivo utente.

Per informazioni sui lettori di smart card supportati, consultare la documentazione di Citrix Workspace app in uso. Nella documentazione di Citrix Workspace app, le versioni supportate sono elencate in un articolo sulle smart card o nell’articolo sui requisiti di sistema.

Esperienza utente

Il supporto delle smart card è integrato in Citrix Virtual Apps and Desktops, utilizzando uno specifico canale virtuale smart card ICA/HDX abilitato per impostazione predefinita.

Importante: non utilizzare il reindirizzamento USB generico per i lettori di smart card. Questo è disabilitato per impostazione predefinita per i lettori di smart card e non è supportato se abilitato.

È possibile utilizzare più smart card e più lettori sullo stesso dispositivo utente, ma se è in uso l’autenticazione pass-through, deve essere inserita una sola smart card quando l’utente avvia un desktop virtuale o un’applicazione. Quando una smart card viene utilizzata all’interno di un’applicazione (ad esempio, per funzioni di firma digitale o crittografia), potrebbero esserci altre richieste di inserimento di una smart card o di immissione di un PIN. Ciò può verificarsi se più di una smart card è stata inserita contemporaneamente.

Se agli utenti viene richiesto di inserire una smart card quando la smart card è già nel lettore, devono selezionare Annulla.
Se agli utenti viene richiesto il PIN, devono inserire nuovamente il PIN.

È possibile reimpostare i PIN utilizzando un sistema di gestione delle carte o un’utilità del fornitore.

Importante:

All’interno di una sessione Citrix Virtual Apps o Citrix Virtual Desktops, l’utilizzo di una smart card con l’applicazione Microsoft Remote Desktop Connection non è supportato. Questo viene talvolta descritto come un utilizzo “double hop”.

Prima di distribuire le smart card

Ottenere un driver di dispositivo per il lettore di smart card e installarlo sul dispositivo utente. Molti lettori di smart card possono utilizzare il driver di dispositivo CCID fornito da Microsoft.
Ottenere un driver di dispositivo e il software Cryptographic Service Provider (CSP) dal fornitore della smart card e installarli sia sui dispositivi utente che sui desktop virtuali. Il driver e il software CSP devono essere compatibili con Citrix Virtual Apps and Desktops; verificare la documentazione del fornitore per la compatibilità. Per i desktop virtuali che utilizzano smart card che supportano e utilizzano il modello minidriver, i minidriver delle smart card vengono scaricati automaticamente, ma è anche possibile ottenerli da http://catalog.update.microsoft.com o dal proprio fornitore. Inoltre, se è richiesto il middleware PKCS#11, ottenerlo dal fornitore della carta.
Importante: Citrix consiglia di installare e testare i driver e il software CSP su un computer fisico prima di installare il software Citrix.
Aggiungere l’URL di Citrix Receiver™ for Web all’elenco Siti attendibili per gli utenti che utilizzano smart card in Internet Explorer con Windows 10. In Windows 10, Internet Explorer non viene eseguito in modalità protetta per impostazione predefinita per i siti attendibili.
Assicurarsi che l’infrastruttura a chiave pubblica (PKI) sia configurata in modo appropriato. Ciò include la garanzia che la mappatura certificato-account sia configurata correttamente per l’ambiente Active Directory e che la convalida del certificato utente possa essere eseguita con successo.
Assicurarsi che la distribuzione soddisfi i requisiti di sistema degli altri componenti Citrix utilizzati con le smart card, inclusi Citrix Workspace app e StoreFront.
Assicurarsi l’accesso ai seguenti server nel proprio Sito:
- Il controller di dominio Active Directory per l’account utente associato a un certificato di accesso sulla smart card
- Delivery Controller™
- Citrix StoreFront
- Citrix Gateway/Citrix Access Gateway 10.x
- VDA
- (Opzionale per l’Accesso remoto al PC): Microsoft Exchange Server

Abilitare l’uso delle smart card

Fase 1. Emettere smart card agli utenti in base alla politica di emissione delle carte.

Fase 2. (Opzionale) Configurare le smart card per abilitare gli utenti all’Accesso remoto al PC.

Fase 3. Installare e configurare il Delivery Controller e StoreFront (se non già installati) per il remoting delle smart card.

Fase 4. Abilitare StoreFront per l’uso delle smart card. Per i dettagli, consultare Configurare l’autenticazione smart card nella documentazione di StoreFront.

Fase 5. Abilitare Citrix Gateway/Access Gateway per l’uso delle smart card. Per i dettagli, consultare Configuring Authentication and Authorization e Configuring Smart Card Access with the Web Interface nella documentazione di NetScaler.

Fase 6. Abilitare i VDA per l’uso delle smart card.

Assicurarsi che il VDA disponga delle applicazioni e degli aggiornamenti richiesti.
Installare il middleware.
Configurare il remoting delle smart card, abilitando la comunicazione dei dati delle smart card tra Citrix Workspace app su un dispositivo utente e una sessione desktop virtuale.

Fase 7. Abilitare i dispositivi utente (incluse le macchine unite a un dominio o non unite a un dominio) per l’uso delle smart card. Consultare Configurare l’autenticazione smart card nella documentazione di StoreFront per i dettagli.

Importare il certificato radice dell’autorità di certificazione e il certificato dell’autorità di certificazione emittente nel keystore del dispositivo.
Installare il middleware della smart card del proprio fornitore.
Installare e configurare Citrix Workspace app per Windows, assicurandosi di importare icaclient.adm utilizzando la Group Policy Management Console e di abilitare l’autenticazione smart card.

Fase 8. Testare la distribuzione. Assicurarsi che la distribuzione sia configurata correttamente avviando un desktop virtuale con la smart card di un utente di test. Testare tutti i possibili meccanismi di accesso (ad esempio, l’accesso al desktop tramite Internet Explorer e Citrix Workspace app).

Tracciare il conteggio degli inserimenti del lettore di smart card

Con il remoting delle smart card, è possibile tracciare il numero di volte in cui una smart card è stata inserita o rimossa da un lettore utilizzando la funzione SCardGetStatusChange. La funzione aggiorna un array di strutture di dati SCARD_READERSTATE, una per ogni lettore monitorato. La parola alta (16 bit) del campo dwEventState di ogni SCARD_READERSTATE contiene il conteggio del lettore. Per maggiori informazioni, consultare gli articoli Microsoft SCardGetStatusChangeA function e SCARD_READERSTATEA structure.

L’impostazione Reader Insert Count Reporting è disabilitata per impostazione predefinita. Per abilitare il tracciamento, aggiungere la seguente chiave di registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard

Nome: EnableReaderInsertCountReporting

Tipo: DWORD

Valore: Qualsiasi valore diverso da zero

Quando la sessione si disconnette, il conteggio si azzera.

Reader Insert Count Reporting è compatibile con middleware di smart card di terze parti.

La versione ufficiale di questo contenuto è in inglese. Per alcuni dei contenuti della documentazione Cloud Software Group è stata impiegata la traduzione automatica solo per comodità. Cloud Software Group non ha alcun controllo sui contenuti tradotti in modo automatico, che possono contenere errori, imprecisioni o linguaggio inadatto. Non viene offerta alcuna garanzia di alcun tipo, espressa o implicita, circa l'accuratezza, l'affidabilità, l'idoneità o la correttezza di qualsiasi traduzione dall'originale inglese in qualsiasi altra lingua, o che il prodotto o servizio Cloud Software Group sia conforme a qualsiasi contenuto in traduzione automatica, e qualsiasi garanzia fornita ai sensi del contratto di licenza per l'utente finale applicabile o i termini di servizio, o qualsiasi altro accordo con Cloud Software Group che il prodotto o il servizio sia conforme a qualsiasi documentazione non si applicheranno nella misura in cui tale documentazione sia in traduzione automatica. Cloud Software Group non sarà ritenuta responsabile per eventuali danni o problemi che potrebbero derivare dall'utilizzo di contenuti per cui si è impiegata la traduzione automatica.

È stato utile?

Smart card

January 23, 2026

Grazie al contributo di:

January 23, 2026

Grazie al contributo di:

In questo articolo

Tipi di smart card
Accesso remoto al PC
Fast smart card
Tipi di lettori di smart card
Esperienza utente
Prima di distribuire le smart card
Abilitare l’uso delle smart card
Tracciare il conteggio degli inserimenti del lettore di smart card

È stato utile?