Citrix Virtual Apps and Desktops

Smart card

January 23, 2026

Grazie al contributo di:

Le smart card e le tecnologie equivalenti sono supportate in base alle linee guida descritte in questo articolo. Per utilizzare le smart card con Citrix Virtual Apps o Citrix Virtual Desktops™:

Comprendere la politica di sicurezza dell’organizzazione relativa all’uso delle smart card. Queste politiche potrebbero, ad esempio, stabilire come vengono emesse le smart card e come gli utenti devono proteggerle. Alcuni aspetti di queste politiche potrebbero dover essere rivalutati in un ambiente Citrix Virtual Apps™ o Citrix Virtual Desktops.
Determinare quali tipi di dispositivi utente, sistemi operativi e applicazioni pubblicate devono essere utilizzati con le smart card.
Acquisire familiarità con la tecnologia delle smart card e con l’hardware e il software del fornitore di smart card selezionato.
Sapere come distribuire i certificati digitali in un ambiente distribuito.

Nota:

La registrazione delle smart card non è supportata con la smart card veloce. La registrazione delle smart card potrebbe funzionare quando la smart card veloce è disabilitata, ma dipende dal tipo di smart card e dal middleware. Contattare il fornitore della smart card e del middleware per informazioni sulla loro integrazione con Citrix Virtual Apps and Desktops e sul supporto per la registrazione delle smart card tramite sessioni virtuali.

Tipi di smart card

Le smart card aziendali e consumer hanno le stesse dimensioni, connettori elettrici e si adattano agli stessi lettori di smart card.

Le smart card per uso aziendale contengono certificati digitali. Queste smart card supportano l’accesso a Windows e possono essere utilizzate anche con applicazioni per la firma digitale e la crittografia di documenti ed e-mail. Citrix Virtual Apps and Desktops™ supporta questi usi.

Le smart card per uso consumer non contengono certificati digitali; contengono un segreto condiviso. Queste smart card possono supportare i pagamenti (come una carta di credito con chip e firma o chip e PIN). Non supportano l’accesso a Windows o le tipiche applicazioni Windows. Per l’uso con queste smart card sono necessarie applicazioni Windows specializzate e un’infrastruttura software adeguata (inclusa, ad esempio, una connessione a una rete di carte di pagamento). Contattare il rappresentante Citrix per informazioni sul supporto di queste applicazioni specializzate su Citrix Virtual Apps o Citrix Virtual Desktops.

Per le smart card aziendali, esistono equivalenti compatibili che possono essere utilizzati in modo simile.

Un token USB equivalente a una smart card si collega direttamente a una porta USB. Questi token USB sono solitamente delle dimensioni di un’unità flash USB, ma possono essere piccoli come una scheda SIM utilizzata in un telefono cellulare. Appaiono come la combinazione di una smart card più un lettore di smart card USB.
Una smart card virtuale che utilizza un Trusted Platform Module (TPM) di Windows appare come una smart card. Queste smart card virtuali sono supportate per Windows 8 e Windows 10, utilizzando l’app Citrix Workspace (versione minima Citrix Receiver 4.3).
- Le versioni di Citrix Virtual Apps and Desktops (precedentemente XenApp e XenDesktop) precedenti a XenApp e XenDesktop 7.6 FP3 non supportano le smart card virtuali.
- Per ulteriori informazioni sulle smart card virtuali, vedere Virtual Smart Card Overview.
Nota: Il termine “smart card virtuale” viene utilizzato anche per descrivere un certificato digitale memorizzato sul computer dell’utente. Questi certificati digitali non sono strettamente equivalenti alle smart card.

Il supporto delle smart card di Citrix Virtual Apps and Desktops si basa sulle specifiche standard Microsoft Personal Computer/Smart Card (PC/SC). Un requisito minimo è che le smart card e i dispositivi smart card devono essere supportati dal sistema operativo Windows sottostante e devono essere approvati da Microsoft Windows Hardware Quality Labs (WHQL) per essere utilizzati su computer che eseguono sistemi operativi Windows qualificati. Consultare la documentazione Microsoft per ulteriori informazioni sulla conformità hardware PC/SC. Altri tipi di dispositivi utente potrebbero essere conformi allo standard PS/SC. Per ulteriori informazioni, fare riferimento al programma Citrix Ready.

Di solito, è necessario un driver di dispositivo separato per la smart card o l’equivalente di ciascun fornitore. Tuttavia, se le smart card sono conformi a uno standard come lo standard NIST Personal Identity Verification (PIV), potrebbe essere possibile utilizzare un singolo driver di dispositivo per una gamma di smart card. Il driver di dispositivo deve essere installato sia sul dispositivo utente che sul Virtual Delivery Agent (VDA). Il driver di dispositivo è spesso fornito come parte di un pacchetto middleware per smart card disponibile da un partner Citrix; il pacchetto middleware per smart card offre funzionalità avanzate. Il driver di dispositivo potrebbe anche essere descritto come Cryptographic Service Provider (CSP), Key Storage Provider (KSP) o minidriver.

Le seguenti combinazioni di smart card e middleware per sistemi Windows sono state testate da Citrix come esempi rappresentativi del loro tipo. Tuttavia, possono essere utilizzate anche altre smart card e middleware. Per ulteriori informazioni sulle smart card e sul middleware compatibili con Citrix, vedere http://www.citrix.com/ready.

Middleware	Schede corrispondenti
Gemalto Mini Driver for .NET card	Gemalto .NET v2+

Per informazioni sull’utilizzo delle smart card con altri tipi di dispositivi, consultare la documentazione dell’app Citrix Workspace™ per quel dispositivo.

Accesso remoto al PC

Le smart card sono supportate solo per l’accesso remoto a PC fisici da ufficio che eseguono Windows 10, Windows 8 o Windows 7.

Le seguenti smart card sono state testate con Remote PC Access:

Middleware	Schede corrispondenti
Gemalto .NET minidriver	Gemalto .NET v2+

Smart card veloce

La smart card veloce è un miglioramento rispetto alla reindirizzamento della smart card basato su HDX PC/SC esistente. Migliora le prestazioni quando le smart card vengono utilizzate in situazioni WAN con latenza elevata. Quando la latenza è elevata, il miglioramento delle prestazioni può essere significativo (ad esempio, 15 secondi per un accesso con smart card veloce di Windows rispetto a più di 1 minuto con il reindirizzamento della smart card basato su PC/SC).

La smart card veloce è abilitata per impostazione predefinita sulle macchine host con VDA Windows attualmente supportati. Per disabilitare la smart card veloce lato host, ad esempio per scopi diagnostici, impostare l’impostazione del registro ‘Disable Cryptographic Redirection’ su qualsiasi valore diverso da zero:

HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->

Lato client, per abilitare la smart card veloce, includere il parametro ICA SmartCardCryptographicRedirection nel file default.ica del sito StoreFront associato:

[WFClient]
SmartCardCryptographicRedirection=On

Inoltre, lato client, la smart card veloce può essere forzata abilitata o forzata disabilitata (ad esempio, per scopi diagnostici) con le seguenti impostazioni del registro:

HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (come DWORD diverso da zero)

Oppure

HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (come DWORD diverso da zero)

L’hive del registro a 32 bit deve essere specificato (utilizzando WOW6432Node) se la macchina client è a 64 bit.

Limitazioni:

Solo l’app Citrix Workspace per Windows supporta la smart card veloce. Se si configurano le smart card veloci nel file default.ica, le app Citrix Workspace non per Windows utilizzano comunque il reindirizzamento PC/SC esistente.
Gli unici scenari a doppio hop supportati dalla smart card veloce sono ICA® > ICA con smart card veloce abilitata su entrambi gli hop. Poiché la smart card veloce non supporta scenari a doppio hop ICA > RDP, tali scenari non funzionano.
La smart card veloce non supporta Cryptography Next Generation. Pertanto, la smart card veloce non supporta le smart card Elliptic Curve Cryptography (ECC).
La smart card veloce supporta solo operazioni di contenitore di chiavi in sola lettura.
La smart card veloce non supporta la modifica del PIN della smart card.

A partire dalla versione VDA 2203 e dall’app Citrix Workspace versione 2202 per Windows (o successive), la smart card veloce è compatibile con Cryptography Next Generation (CNG). Inoltre, le smart card Elliptic Curve Cryptography (ECC) sono supportate con le seguenti curve: P-256, P-384, P-521 bit, sia per ECDSA che per ECDH.

A partire dalla versione VDA 2203, la smart card veloce aggiunge la possibilità di memorizzare nella cache il PIN della smart card tra le applicazioni della stessa sessione di accesso dell’utente. Ad esempio, se Session PIN Caching è abilitato e l’utente finale ha precedentemente fornito il PIN della smart card a Outlook, quando Word viene quindi utilizzato per firmare un documento, Word utilizza il PIN della smart card già memorizzato nella cache (inviato a Outlook). Session PIN Caching migliora l’esperienza dell’utente riducendo il numero di volte in cui l’utente deve inserire il PIN della smart card. Inoltre, se la smart card viene utilizzata per accedere al VDA, il PIN di accesso della smart card di Windows può essere facoltativamente salvato nella Session PIN Cache. Ciò può migliorare ulteriormente l’esperienza dell’utente.

Session PIN Caching è disabilitato per impostazione predefinita. Può essere abilitato e controllato con le seguenti impostazioni del registro sul VDA:

In HKLM\SOFTWARE\Citrix\SmartCard:

EnablePinSessionCache come DWORD (diverso da zero per abilitare)
EnableLogonPinSessionCache come DWORD (diverso da zero per abilitare)
PinSessionCacheEntryStaleTimeout come DWORD (numero di secondi prima che una voce diventi obsoleta, il valore predefinito è 1 ora)

Tipi di lettori di smart card

Un lettore di smart card può essere integrato nel dispositivo utente o essere collegato separatamente al dispositivo utente (solitamente tramite USB o Bluetooth). Sono supportati i lettori di schede a contatto conformi alla specifica USB Chip/Smart Card Interface Devices (CCID). Contengono uno slot o una fessura in cui l’utente inserisce la smart card. Lo standard Deutsche Kreditwirtschaft (DK) definisce quattro classi di lettori di schede a contatto.

I lettori di smart card di Classe 1 sono i più comuni e di solito contengono uno slot. I lettori di smart card di Classe 1 sono supportati, solitamente con un driver di dispositivo CCID standard fornito con il sistema operativo.
I lettori di smart card di Classe 2 contengono anche una tastiera sicura a cui il dispositivo utente non può accedere. I lettori di smart card di Classe 2 potrebbero essere integrati in una tastiera con una tastiera sicura integrata. Per i lettori di smart card di Classe 2, contattare il rappresentante Citrix; potrebbe essere necessario un driver di dispositivo specifico per il lettore per abilitare la funzionalità della tastiera sicura.
I lettori di smart card di Classe 3 contengono anche un display sicuro. I lettori di smart card di Classe 3 non sono supportati.
I lettori di smart card di Classe 4 contengono anche un modulo di transazione sicuro. I lettori di smart card di Classe 4 non sono supportati.

Nota:

La classe del lettore di smart card non è correlata alla classe del dispositivo USB.

I lettori di smart card devono essere installati con un driver di dispositivo corrispondente sul dispositivo utente.

Per informazioni sui lettori di smart card supportati, consultare la documentazione dell’app Citrix Workspace in uso. Nella documentazione dell’app Citrix Workspace, le versioni supportate sono elencate in un articolo sulle smart card o nell’articolo sui requisiti di sistema.

Esperienza utente

Il supporto delle smart card è integrato in Citrix Virtual Apps and Desktops, utilizzando uno specifico canale virtuale per smart card ICA/HDX abilitato per impostazione predefinita.

Importante: Non utilizzare il reindirizzamento USB generico per i lettori di smart card. Questo è disabilitato per impostazione predefinita per i lettori di smart card e non è supportato se abilitato.

È possibile utilizzare più smart card e più lettori sullo stesso dispositivo utente, ma se è in uso l’autenticazione pass-through, deve essere inserita una sola smart card quando l’utente avvia un desktop virtuale o un’applicazione. Quando una smart card viene utilizzata all’interno di un’applicazione (ad esempio, per funzioni di firma digitale o crittografia), potrebbero esserci altri prompt per inserire una smart card o inserire un PIN. Ciò può verificarsi se più di una smart card è stata inserita contemporaneamente.

Se agli utenti viene richiesto di inserire una smart card quando la smart card è già nel lettore, devono selezionare Annulla.
Se agli utenti viene richiesto il PIN, devono inserire nuovamente il PIN.

È possibile reimpostare i PIN utilizzando un sistema di gestione delle carte o un’utilità del fornitore.

Importante:

All’interno di una sessione Citrix Virtual Apps o Citrix Virtual Desktops, l’utilizzo di una smart card con l’applicazione Microsoft Remote Desktop Connection non è supportato. Questo è talvolta descritto come un utilizzo “double hop”.

Prima di distribuire le smart card

Ottenere un driver di dispositivo per il lettore di smart card e installarlo sul dispositivo utente. Molti lettori di smart card possono utilizzare il driver di dispositivo CCID fornito da Microsoft.
Ottenere un driver di dispositivo e il software del provider di servizi crittografici (CSP) dal fornitore della smart card e installarli sia sui dispositivi utente che sui desktop virtuali. Il driver e il software CSP devono essere compatibili con Citrix Virtual Apps and Desktops; verificare la documentazione del fornitore per la compatibilità. Per i desktop virtuali che utilizzano smart card che supportano e utilizzano il modello minidriver, i minidriver delle smart card vengono scaricati automaticamente, ma è possibile ottenerli anche da http://catalog.update.microsoft.com o dal proprio fornitore. Inoltre, se è richiesto il middleware PKCS#11, ottenerlo dal fornitore della carta.
Importante: Citrix consiglia di installare e testare i driver e il software CSP su un computer fisico prima di installare il software Citrix.
Aggiungere l’URL di Citrix Receiver™ per Web all’elenco Siti attendibili per gli utenti che utilizzano smart card in Internet Explorer con Windows 10. In Windows 10, Internet Explorer non viene eseguito in modalità protetta per impostazione predefinita per i siti attendibili.
Assicurarsi che l’infrastruttura a chiave pubblica (PKI) sia configurata in modo appropriato. Ciò include la garanzia che la mappatura certificato-account sia configurata correttamente per l’ambiente Active Directory e che la convalida del certificato utente possa essere eseguita con successo.
Assicurarsi che la distribuzione soddisfi i requisiti di sistema degli altri componenti Citrix utilizzati con le smart card, inclusi l’app Citrix Workspace e StoreFront.
Assicurarsi l’accesso ai seguenti server nel proprio sito:
- Il controller di dominio Active Directory per l’account utente associato a un certificato di accesso sulla smart card
- Delivery Controller™
- Citrix StoreFront
- Citrix Gateway/Citrix Access Gateway 10.x
- VDA
- (Opzionale per Remote PC Access): Microsoft Exchange Server

Abilitare l’uso delle smart card

Fase 1. Emettere smart card agli utenti in base alla politica di emissione delle carte.

Fase 2. (Facoltativo) Configurare le smart card per abilitare gli utenti all’accesso remoto al PC.

Fase 3. Installare e configurare il Delivery Controller e StoreFront (se non già installati) per il remoting delle smart card.

Fase 4. Abilitare StoreFront per l’uso delle smart card. Per i dettagli, vedere Configurare l’autenticazione con smart card nella documentazione di StoreFront.

Fase 5. Abilitare Citrix Gateway/Access Gateway per l’uso delle smart card. Per i dettagli, vedere Configuring Authentication and Authorization e Configuring Smart Card Access with the Web Interface nella documentazione di NetScaler.

Fase 6. Abilitare i VDA per l’uso delle smart card.

Assicurarsi che il VDA disponga delle applicazioni e degli aggiornamenti richiesti.
Installare il middleware.
Configurare il remoting delle smart card, abilitando la comunicazione dei dati delle smart card tra l’app Citrix Workspace su un dispositivo utente e una sessione desktop virtuale.

Fase 7. Abilitare i dispositivi utente (incluse le macchine unite a un dominio o non unite a un dominio) per l’uso delle smart card. Vedere Configurare l’autenticazione con smart card nella documentazione di StoreFront per i dettagli.

Importare il certificato radice dell’autorità di certificazione e il certificato dell’autorità di certificazione emittente nell’archivio chiavi del dispositivo.
Installare il middleware per smart card del proprio fornitore.
Installare e configurare l’app Citrix Workspace per Windows, assicurandosi di importare icaclient.adm utilizzando la Group Policy Management Console e di abilitare l’autenticazione con smart card.

Fase 8. Testare la distribuzione. Assicurarsi che la distribuzione sia configurata correttamente avviando un desktop virtuale con la smart card di un utente di test. Testare tutti i possibili meccanismi di accesso (ad esempio, l’accesso al desktop tramite Internet Explorer e l’app Citrix Workspace).

Tracciare il conteggio degli inserimenti del lettore di smart card

Con il remoting delle smart card, è possibile tracciare il numero di volte in cui una smart card è stata inserita o rimossa da un lettore utilizzando la funzione SCardGetStatusChange. La funzione aggiorna un array di strutture di dati SCARD_READERSTATE, una per ogni lettore monitorato. La parola alta (16 bit) del campo dwEventState di ogni SCARD_READERSTATE contiene il conteggio del lettore. Per ulteriori informazioni, vedere gli articoli Microsoft SCardGetStatusChangeA function e SCARD_READERSTATEA structure.

L’impostazione Reader Insert Count Reporting è disabilitata per impostazione predefinita. Per abilitare il tracciamento, aggiungere la seguente chiave di registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard

Nome: EnableReaderInsertCountReporting

Tipo: DWORD

Valore: Qualsiasi valore diverso da zero

Quando la sessione si disconnette, il conteggio si azzera.

Reader Insert Count Reporting è compatibile con middleware di smart card di terze parti.

La versione ufficiale di questo contenuto è in inglese. Per alcuni dei contenuti della documentazione Cloud Software Group è stata impiegata la traduzione automatica solo per comodità. Cloud Software Group non ha alcun controllo sui contenuti tradotti in modo automatico, che possono contenere errori, imprecisioni o linguaggio inadatto. Non viene offerta alcuna garanzia di alcun tipo, espressa o implicita, circa l'accuratezza, l'affidabilità, l'idoneità o la correttezza di qualsiasi traduzione dall'originale inglese in qualsiasi altra lingua, o che il prodotto o servizio Cloud Software Group sia conforme a qualsiasi contenuto in traduzione automatica, e qualsiasi garanzia fornita ai sensi del contratto di licenza per l'utente finale applicabile o i termini di servizio, o qualsiasi altro accordo con Cloud Software Group che il prodotto o il servizio sia conforme a qualsiasi documentazione non si applicheranno nella misura in cui tale documentazione sia in traduzione automatica. Cloud Software Group non sarà ritenuta responsabile per eventuali danni o problemi che potrebbero derivare dall'utilizzo di contenuti per cui si è impiegata la traduzione automatica.

È stato utile?

Smart card

January 23, 2026

Grazie al contributo di:

January 23, 2026

Grazie al contributo di:

In questo articolo

Tipi di smart card
Accesso remoto al PC
Smart card veloce
Tipi di lettori di smart card
Esperienza utente
Prima di distribuire le smart card
Abilitare l’uso delle smart card
Tracciare il conteggio degli inserimenti del lettore di smart card

È stato utile?