Documentazione dei prodotti

Smart card

May 31, 2026
Grazie al contributo di: 
C

Le smart card e le tecnologie equivalenti sono supportate secondo le linee guida descritte in questo articolo. Per utilizzare le smart card con Citrix Virtual Apps o Citrix Virtual Desktops™:

  • Comprendere la politica di sicurezza dell’organizzazione relativa all’uso delle smart card. Queste politiche potrebbero, ad esempio, stabilire come vengono emesse le smart card e come gli utenti devono proteggerle. Alcuni aspetti di queste politiche potrebbero dover essere rivalutati in un ambiente Citrix Virtual Apps™ o Citrix Virtual Desktops.
  • Determinare quali tipi di dispositivi utente, sistemi operativi e applicazioni pubblicate devono essere utilizzati con le smart card.
  • Acquisire familiarità con la tecnologia delle smart card e con l’hardware e il software del fornitore di smart card selezionato.
  • Sapere come distribuire i certificati digitali in un ambiente distribuito.

Nota:

La registrazione delle smart card non è supportata con fast smart card. La registrazione delle smart card potrebbe funzionare quando la fast smart card è disabilitata, ma dipende dal tipo di smart card e dal middleware. Contattare il fornitore di smart card e middleware per informazioni sulla loro integrazione con Citrix Virtual Apps and Desktops e sul supporto per la registrazione delle smart card tramite sessioni virtuali.

Tipi di smart card

Le smart card aziendali e consumer hanno le stesse dimensioni, connettori elettrici e si adattano agli stessi lettori di smart card.

Le smart card per uso aziendale contengono certificati digitali. Queste smart card supportano l’accesso a Windows e possono essere utilizzate anche con applicazioni per la firma digitale e la crittografia di documenti ed e-mail. Citrix Virtual Apps and Desktops™ supporta questi utilizzi.

Le smart card per uso consumer non contengono certificati digitali; contengono un segreto condiviso. Queste smart card possono supportare i pagamenti (come una carta di credito con chip e firma o chip e PIN). Non supportano l’accesso a Windows o le tipiche applicazioni Windows. Per l’utilizzo con queste smart card sono necessarie applicazioni Windows specializzate e un’infrastruttura software adeguata (inclusa, ad esempio, una connessione a una rete di carte di pagamento). Contattare il rappresentante Citrix per informazioni sul supporto di queste applicazioni specializzate su Citrix Virtual Apps o Citrix Virtual Desktops.

Per le smart card aziendali, esistono equivalenti compatibili che possono essere utilizzati in modo simile.

  • Un token USB equivalente a una smart card si collega direttamente a una porta USB. Questi token USB sono solitamente delle dimensioni di un’unità flash USB, ma possono essere piccoli come una scheda SIM utilizzata in un telefono cellulare. Appaiono come la combinazione di una smart card e un lettore di smart card USB.
  • Una smart card virtuale che utilizza un Trusted Platform Module (TPM) di Windows appare come una smart card. Queste smart card virtuali sono supportate per Windows 8 e Windows 10, utilizzando l’app Citrix Workspace (versione minima Citrix Receiver 4.3).
    • Le versioni di Citrix Virtual Apps and Desktops (precedentemente XenApp e XenDesktop) precedenti a XenApp e XenDesktop 7.6 FP3 non supportano le smart card virtuali.
    • Per maggiori informazioni sulle smart card virtuali, vedere Panoramica sulle smart card virtuali.

    Nota: Il termine “smart card virtuale” è anche usato per descrivere un certificato digitale memorizzato sul computer dell’utente. Questi certificati digitali non sono strettamente equivalenti alle smart card.

Il supporto delle smart card di Citrix Virtual Apps and Desktops si basa sulle specifiche standard Microsoft Personal Computer/Smart Card (PC/SC). Un requisito minimo è che le smart card e i dispositivi smart card devono essere supportati dal sistema operativo Windows sottostante e devono essere approvati dai Microsoft Windows Hardware Quality Labs (WHQL) per essere utilizzati su computer che eseguono sistemi operativi Windows qualificati. Consultare la documentazione Microsoft per ulteriori informazioni sulla conformità hardware PC/SC. Altri tipi di dispositivi utente potrebbero essere conformi allo standard PS/SC. Per maggiori informazioni, fare riferimento al programma Citrix Ready.

Di solito, è necessario un driver di dispositivo separato per la smart card o equivalente di ciascun fornitore. Tuttavia, se le smart card sono conformi a uno standard come lo standard NIST Personal Identity Verification (PIV), potrebbe essere possibile utilizzare un singolo driver di dispositivo per una gamma di smart card. Il driver di dispositivo deve essere installato sia sul dispositivo utente che sul Virtual Delivery Agent (VDA). Il driver di dispositivo è spesso fornito come parte di un pacchetto middleware per smart card disponibile da un partner Citrix; il pacchetto middleware per smart card offre funzionalità avanzate. Il driver di dispositivo potrebbe anche essere descritto come Cryptographic Service Provider (CSP), Key Storage Provider (KSP) o minidriver.

Le seguenti combinazioni di smart card e middleware per sistemi Windows sono state testate da Citrix come esempi rappresentativi del loro tipo. Tuttavia, possono essere utilizzate anche altre smart card e middleware. Per maggiori informazioni sulle smart card e middleware compatibili con Citrix, vedere http://www.citrix.com/ready.

Middleware Schede corrispondenti
Mini Driver Gemalto per scheda .NET Gemalto .NET v2+

Per informazioni sull’utilizzo delle smart card con altri tipi di dispositivi, consultare la documentazione dell’app Citrix Workspace™ per quel dispositivo.

Accesso remoto al PC

Le smart card sono supportate solo per l’accesso remoto a PC fisici da ufficio che eseguono Windows 10, Windows 8 o Windows 7.

Le seguenti smart card sono state testate con l’Accesso remoto al PC:

Middleware Schede compatibili
Minidriver Gemalto .NET Gemalto .NET v2+

Smart card veloce

La smart card veloce è un miglioramento rispetto al reindirizzamento smart card basato su PC/SC HDX esistente. Migliora le prestazioni quando le smart card vengono utilizzate in situazioni WAN ad alta latenza. Quando la latenza è elevata, il miglioramento delle prestazioni può essere significativo (ad esempio, 15 secondi per un accesso con smart card veloce di Windows rispetto a più di 1 minuto con il reindirizzamento smart card basato su PC/SC).

La smart card veloce è abilitata per impostazione predefinita sulle macchine host con VDA Windows attualmente supportati. Per disabilitare la smart card veloce lato host, ad esempio a scopo diagnostico, impostare l’impostazione del registro ‘Disable Cryptographic Redirection’ su qualsiasi valore diverso da zero:

HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->

Lato client, per abilitare la smart card veloce, includere il parametro ICA SmartCardCryptographicRedirection nel file default.ica del sito StoreFront associato:

[WFClient]
SmartCardCryptographicRedirection=On

Inoltre, lato client, la smart card veloce può essere forzata ad essere abilitata o disabilitata (ad esempio, a scopo diagnostico) con le seguenti impostazioni del registro:

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (come DWORD diverso da zero)

Oppure

  • HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (come DWORD diverso da zero)

L’hive del registro a 32 bit deve essere specificato (utilizzando WOW6432Node) se la macchina client è a 64 bit.

Limitazioni:

  • Solo l’app Citrix Workspace per Windows supporta la smart card veloce. Se si configurano smart card veloci nel file default.ica, le app Citrix Workspace che non sono per Windows utilizzano comunque il reindirizzamento PC/SC esistente.
  • Gli unici scenari a doppio hop supportati dalla smart card veloce sono ICA® > ICA con smart card veloce abilitata su entrambi gli hop. Poiché la smart card veloce non supporta scenari a doppio hop ICA > RDP, tali scenari non funzionano.
  • La smart card veloce non supporta Cryptography Next Generation. Pertanto, la smart card veloce non supporta le smart card Elliptic Curve Cryptography (ECC).
  • La smart card veloce supporta solo operazioni di contenitore di chiavi in sola lettura.
  • La smart card veloce non supporta la modifica del PIN della smart card.

A partire dalla versione 2203 di VDA e dalla versione 2202 (o successiva) di Citrix Workspace app per Windows, la smart card veloce è compatibile con Cryptography Next Generation (CNG). Inoltre, le smart card Elliptic Curve Cryptography (ECC) sono supportate con le seguenti curve: P-256, P-384, P-521 bit, sia per ECDSA che per ECDH.

A partire dalla versione 2203 di VDA, la smart card veloce aggiunge la possibilità di memorizzare nella cache il PIN della smart card tra le applicazioni della stessa sessione di accesso dell’utente. Ad esempio, se il caching del PIN di sessione è abilitato e l’utente finale ha precedentemente fornito il PIN della smart card a Outlook, quando Word viene quindi utilizzato per firmare un documento, Word utilizza il PIN della smart card già memorizzato nella cache (inviato a Outlook). Il caching del PIN di sessione migliora l’esperienza dell’utente riducendo il numero di volte in cui l’utente deve inserire il PIN della smart card. Inoltre, se la smart card viene utilizzata per accedere al VDA, il PIN di accesso della smart card di Windows può essere facoltativamente salvato nella cache del PIN di sessione. Ciò può migliorare ulteriormente l’esperienza dell’utente.

Il caching del PIN di sessione è disabilitato per impostazione predefinita. Può essere abilitato e controllato con le seguenti impostazioni del Registro di sistema sul VDA:

In HKLM\SOFTWARE\Citrix\SmartCard:

  • EnablePinSessionCache come DWORD (diverso da zero per abilitare)
  • EnableLogonPinSessionCache come DWORD (diverso da zero per abilitare)
  • PinSessionCacheEntryStaleTimeout come DWORD (numero di secondi prima che una voce diventi obsoleta, il valore predefinito è 1 ora)

Tipi di lettori di smart card

Un lettore di smart card può essere integrato nel dispositivo utente o essere collegato separatamente al dispositivo utente (solitamente tramite USB o Bluetooth). Sono supportati i lettori di schede a contatto conformi alla specifica USB Chip/Smart Card Interface Devices (CCID). Contengono uno slot o una fessura in cui l’utente inserisce la smart card. Lo standard Deutsche Kreditwirtschaft (DK) definisce quattro classi di lettori di schede a contatto.

  • I lettori di smart card di Classe 1 sono i più comuni e di solito contengono uno slot. I lettori di smart card di Classe 1 sono supportati, di solito con un driver di dispositivo CCID standard fornito con il sistema operativo.
  • I lettori di smart card di Classe 2 contengono anche una tastiera sicura a cui il dispositivo utente non può accedere. I lettori di smart card di Classe 2 potrebbero essere integrati in una tastiera con una tastiera sicura integrata. Per i lettori di smart card di Classe 2, contatta il tuo rappresentante Citrix; potrebbe essere necessario un driver di dispositivo specifico per il lettore per abilitare la funzionalità della tastiera sicura.
  • I lettori di smart card di Classe 3 contengono anche un display sicuro. I lettori di smart card di Classe 3 non sono supportati.
  • I lettori di smart card di Classe 4 contengono anche un modulo di transazione sicuro. I lettori di smart card di Classe 4 non sono supportati.

Nota:

La classe del lettore di smart card non è correlata alla classe del dispositivo USB.

I lettori di smart card devono essere installati con un driver di dispositivo corrispondente sul dispositivo utente.

Per informazioni sui lettori di smart card supportati, consultare la documentazione dell’app Citrix Workspace in uso. Nella documentazione dell’app Citrix Workspace, le versioni supportate sono elencate in un articolo sulle smart card o nell’articolo sui requisiti di sistema.

Esperienza utente

Il supporto delle smart card è integrato in Citrix Virtual Apps and Desktops, utilizzando uno specifico canale virtuale ICA/HDX per smart card abilitato per impostazione predefinita.

Importante: non utilizzare il reindirizzamento USB generico per i lettori di smart card. Questa funzione è disabilitata per impostazione predefinita per i lettori di smart card e non è supportata se abilitata.

È possibile utilizzare più smart card e più lettori sullo stesso dispositivo utente, ma se è in uso l’autenticazione pass-through, deve essere inserita una sola smart card quando l’utente avvia un desktop virtuale o un’applicazione. Quando una smart card viene utilizzata all’interno di un’applicazione (ad esempio, per la firma digitale o le funzioni di crittografia), potrebbero esserci altri prompt per inserire una smart card o immettere un PIN. Ciò può verificarsi se più di una smart card è stata inserita contemporaneamente.

  • Se agli utenti viene richiesto di inserire una smart card quando la smart card è già nel lettore, devono selezionare Annulla.
  • Se agli utenti viene richiesto il PIN, devono inserirlo di nuovo.

È possibile reimpostare i PIN utilizzando un sistema di gestione delle schede o un’utilità del fornitore.

Importante:

All’interno di una sessione di Citrix Virtual Apps o Citrix Virtual Desktops, l’utilizzo di una smart card con l’applicazione Microsoft Remote Desktop Connection non è supportato. Questo è talvolta descritto come un utilizzo a “doppio salto”.

Prima di distribuire le smart card

  • Ottenere un driver di dispositivo per il lettore di smart card e installarlo sul dispositivo utente. Molti lettori di smart card possono utilizzare il driver di dispositivo CCID fornito da Microsoft.
  • Ottenere un driver di dispositivo e il software del provider di servizi crittografici (CSP) dal fornitore della smart card e installarli sia sui dispositivi utente che sui desktop virtuali. Il driver e il software CSP devono essere compatibili con Citrix Virtual Apps and Desktops; controllare la documentazione del fornitore per la compatibilità. Per i desktop virtuali che utilizzano smart card che supportano e utilizzano il modello minidriver, i minidriver delle smart card vengono scaricati automaticamente, ma è anche possibile ottenerli da http://catalog.update.microsoft.com o dal proprio fornitore. Inoltre, se è richiesto il middleware PKCS#11, ottenerlo dal fornitore della scheda.
  • Importante: Citrix consiglia di installare e testare i driver e il software CSP su un computer fisico prima di installare il software Citrix.
  • Aggiungere l’URL di Citrix Receiver™ for Web all’elenco Siti attendibili per gli utenti che utilizzano smart card in Internet Explorer con Windows 10. In Windows 10, Internet Explorer non viene eseguito in modalità protetta per impostazione predefinita per i siti attendibili.
  • Assicurarsi che l’infrastruttura a chiave pubblica (PKI) sia configurata in modo appropriato. Ciò include la garanzia che la mappatura certificato-account sia configurata correttamente per l’ambiente Active Directory e che la convalida del certificato utente possa essere eseguita con successo.
  • Assicurarsi che la distribuzione soddisfi i requisiti di sistema degli altri componenti Citrix utilizzati con le smart card, inclusi Citrix Workspace app e StoreFront.
  • Assicurarsi l’accesso ai seguenti server nel proprio Site:
    • Il controller di dominio Active Directory per l’account utente associato a un certificato di accesso sulla smart card
    • Delivery Controller™
    • Citrix StoreFront
    • Citrix Gateway/Citrix Access Gateway 10.x
    • VDA
    • (Opzionale per Remote PC Access): Microsoft Exchange Server

Abilitare l’uso delle smart card

Passaggio 1. Rilasciare le smart card agli utenti in base alla propria politica di emissione delle schede.

Passaggio 2. (Facoltativo) Configurare le smart card per abilitare gli utenti all’accesso remoto al PC.

Passaggio 3. Installare e configurare Delivery Controller e StoreFront (se non già installati) per il remoting delle smart card.

Passaggio 4. Abilitare StoreFront per l’uso delle smart card. Per i dettagli, consultare Configurare l’autenticazione con smart card nella documentazione di StoreFront.

Passaggio 5. Abilitare Citrix Gateway/Access Gateway per l’uso delle smart card. Per i dettagli, consultare Configurazione dell’autenticazione e dell’autorizzazione e Configurazione dell’accesso con smart card con l’interfaccia Web nella documentazione di NetScaler.

Passaggio 6. Abilitare i VDA per l’uso delle smart card.

  • Assicurarsi che il VDA disponga delle applicazioni e degli aggiornamenti richiesti.
  • Installare il middleware.
  • Configurare il remoting delle smart card, abilitando la comunicazione dei dati delle smart card tra l’app Citrix Workspace su un dispositivo utente e una sessione desktop virtuale.

Passaggio 7. Abilitare i dispositivi utente (incluse le macchine unite a un dominio o non unite a un dominio) per l’uso delle smart card. Per i dettagli, consultare Configurare l’autenticazione con smart card nella documentazione di StoreFront.

  • Importare il certificato radice dell’autorità di certificazione e il certificato dell’autorità di certificazione emittente nel keystore del dispositivo.
  • Installare il middleware per smart card del proprio fornitore.
  • Installare e configurare l’app Citrix Workspace per Windows, assicurandosi di importare icaclient.adm utilizzando la Console Gestione Criteri di gruppo e di abilitare l’autenticazione con smart card.

Passaggio 8. Testare la distribuzione. Assicurarsi che la distribuzione sia configurata correttamente avviando un desktop virtuale con la smart card di un utente di prova. Testare tutti i possibili meccanismi di accesso (ad esempio, l’accesso al desktop tramite Internet Explorer e l’app Citrix Workspace).

Tracciare il conteggio degli inserimenti del lettore di smart card

Con il remoting delle smart card, è possibile tenere traccia del numero di volte in cui una smart card è stata inserita o rimossa da un lettore utilizzando la funzione SCardGetStatusChange. La funzione aggiorna un array di strutture di dati SCARD_READERSTATE, una per ogni lettore monitorato. La parola alta (16 bit) del campo dwEventState di ogni SCARD_READERSTATE contiene il conteggio del lettore. Per ulteriori informazioni, consultare gli articoli Microsoft SCardGetStatusChangeA function e SCARD_READERSTATEA structure.

L’impostazione Reader Insert Count Reporting è disabilitata per impostazione predefinita. Per abilitare il tracciamento, aggiungere la seguente chiave di registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard

Nome: EnableReaderInsertCountReporting

Tipo: DWORD

Valore: Qualsiasi valore diverso da zero

Quando la sessione si disconnette, il conteggio viene reimpostato a zero.

Reader Insert Count Reporting è compatibile con il middleware di smart card di terze parti.

Smart card
May 31, 2026
Grazie al contributo di: 
C
May 31, 2026
Grazie al contributo di: 
C

In questo articolo

Feedback sito | Your privacy choices footer linkScelte di privacy | Privacy e condizioni legali | Preferenze cookie | Impostazioni di consenso | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.