Cartões inteligentes
Cartões inteligentes e tecnologias equivalentes são compatíveis com as diretrizes descritas neste artigo. Para usar cartões inteligentes com o Citrix Virtual Apps ou o Citrix Virtual Desktops™:
- Entenda a política de segurança da sua organização em relação ao uso de cartões inteligentes. Essas políticas podem, por exemplo, indicar como os cartões inteligentes são emitidos e como as pessoas usuárias devem protegê-los. Alguns aspectos dessas políticas podem precisar ser reavaliados em um ambiente Citrix Virtual Apps™ ou Citrix Virtual Desktops.
- Determine quais tipos de dispositivos de usuário, sistemas operacionais e aplicativos publicados serão usados com cartões inteligentes.
- Familiarize-se com a tecnologia de cartão inteligente e com o hardware e software do fornecedor de cartão inteligente selecionado.
- Saiba como implantar certificados digitais em um ambiente distribuído.
Nota:
O registro de cartão inteligente não é compatível com o cartão inteligente rápido. O registro de cartão inteligente pode funcionar quando o cartão inteligente rápido está desabilitado, mas depende do tipo de cartão inteligente e do middleware. Entre em contato com o fornecedor do seu cartão inteligente e middleware para obter informações sobre a integração deles com o Citrix Virtual Apps and Desktops e o suporte para registro de cartão inteligente em sessões virtuais.
Tipos de cartões inteligentes
Cartões inteligentes empresariais e de consumo têm as mesmas dimensões, conectores elétricos e se encaixam nos mesmos leitores de cartão inteligente.
Cartões inteligentes para uso empresarial contêm certificados digitais. Esses cartões inteligentes oferecem suporte ao Logon do Windows e também podem ser usados com aplicativos para assinatura digital e criptografia de documentos e e-mails. O Citrix Virtual Apps and Desktops™ oferece suporte a esses usos.
Cartões inteligentes para uso do consumidor não contêm certificados digitais; eles contêm um segredo compartilhado. Esses cartões inteligentes podem oferecer suporte a pagamentos (como um cartão de crédito com chip e assinatura ou chip e PIN). Eles não oferecem suporte ao Logon do Windows ou a aplicativos típicos do Windows. Aplicativos especializados do Windows e uma infraestrutura de software adequada (incluindo, por exemplo, uma conexão a uma rede de cartões de pagamento) são necessários para usar esses cartões inteligentes. Entre em contato com seu representante Citrix para obter informações sobre como oferecer suporte a esses aplicativos especializados no Citrix Virtual Apps ou no Citrix Virtual Desktops.
Para cartões inteligentes empresariais, existem equivalentes compatíveis que podem ser usados de forma semelhante.
- Um token USB equivalente a um cartão inteligente se conecta diretamente a uma porta USB. Esses tokens USB geralmente têm o tamanho de um pen drive, mas podem ser tão pequenos quanto um cartão SIM usado em um telefone celular. Eles aparecem como a combinação de um cartão inteligente mais um leitor de cartão inteligente USB.
- Um cartão inteligente virtual usando um Trusted Platform Module (TPM) do Windows aparece como um cartão inteligente. Esses cartões inteligentes virtuais são compatíveis com Windows 8 e Windows 10, usando o aplicativo Citrix Workspace (versão mínima Citrix Receiver 4.3).
- Versões do Citrix Virtual Apps and Desktops (anteriormente XenApp e XenDesktop) anteriores ao XenApp e XenDesktop 7.6 FP3 não oferecem suporte a cartões inteligentes virtuais.
- Para obter mais informações sobre cartões inteligentes virtuais, consulte Visão geral do cartão inteligente virtual.
Nota: O termo “cartão inteligente virtual” também é usado para descrever um certificado digital armazenado no computador do usuário. Esses certificados digitais não são estritamente equivalentes a cartões inteligentes.
O suporte a cartões inteligentes do Citrix Virtual Apps and Desktops é baseado nas especificações padrão Microsoft Personal Computer/Smart Card (PC/SC). Um requisito mínimo é que os cartões inteligentes e os dispositivos de cartão inteligente devem ser compatíveis com o sistema operacional Windows subjacente e devem ser aprovados pelo Microsoft Windows Hardware Quality Labs (WHQL) para serem usados em computadores que executam sistemas operacionais Windows qualificados. Consulte a documentação da Microsoft para obter informações adicionais sobre a conformidade de hardware PC/SC. Outros tipos de dispositivos de usuário podem estar em conformidade com o padrão PS/SC. Para obter mais informações, consulte o programa Citrix Ready.
Normalmente, um driver de dispositivo separado é necessário para o cartão inteligente ou equivalente de cada fornecedor. No entanto, se os cartões inteligentes estiverem em conformidade com um padrão como o NIST Personal Identity Verification (PIV), pode ser possível usar um único driver de dispositivo para uma variedade de cartões inteligentes. O driver de dispositivo deve ser instalado tanto no dispositivo do usuário quanto no Virtual Delivery Agent (VDA). O driver de dispositivo é frequentemente fornecido como parte de um pacote de middleware de cartão inteligente disponível em um parceiro Citrix; o pacote de middleware de cartão inteligente oferece recursos avançados. O driver de dispositivo também pode ser descrito como um Cryptographic Service Provider (CSP), Key Storage Provider (KSP) ou minidriver.
As seguintes combinações de cartão inteligente e middleware para sistemas Windows foram testadas pela Citrix como exemplos representativos de seu tipo. No entanto, outros cartões inteligentes e middleware também podem ser usados. Para obter mais informações sobre cartões inteligentes e middleware compatíveis com Citrix, consulte http://www.citrix.com/ready.
| Middleware | Cartões correspondentes |
|---|---|
| Gemalto Mini Driver for .NET card | Gemalto .NET v2+ |
Para obter informações sobre o uso de cartões inteligentes com outros tipos de dispositivos, consulte a documentação do aplicativo Citrix Workspace™ para esse dispositivo.
Acesso Remoto a PC
Cartões inteligentes são compatíveis apenas para acesso remoto a PCs físicos de escritório que executam Windows 10, Windows 8 ou Windows 7.
Os seguintes cartões inteligentes foram testados com o Acesso Remoto a PC:
| Middleware | Cartões correspondentes |
|---|---|
| Gemalto .NET minidriver | Gemalto .NET v2+ |
Cartão inteligente rápido
O cartão inteligente rápido é um aprimoramento em relação ao redirecionamento de cartão inteligente baseado em HDX PC/SC existente. Ele melhora o desempenho quando os cartões inteligentes são usados em situações de WAN com alta latência. Quando a latência é alta, a melhoria de desempenho pode ser significativa (por exemplo, 15 segundos para um logon de cartão inteligente rápido do Windows versus mais de 1 minuto com o redirecionamento de cartão inteligente baseado em PC/SC).
O cartão inteligente rápido é habilitado por padrão em máquinas host com VDAs Windows atualmente compatíveis. Para desabilitar o Cartão Inteligente Rápido no lado do host — por exemplo, para fins de diagnóstico — defina a configuração de registro ‘Disable Cryptographic Redirection’ para qualquer valor diferente de zero:
HKLM\SOFTWARE\Citrix\SmartCard
CryptographicRedirectionDisable (DWORD)
<!--NeedCopy-->
No lado do cliente, para habilitar o cartão inteligente rápido, inclua o parâmetro ICA SmartCardCryptographicRedirection no arquivo default.ica do site StoreFront associado:
[WFClient]
SmartCardCryptographicRedirection=On
Além disso, no lado do cliente, o cartão inteligente rápido pode ser habilitado ou desabilitado à força (por exemplo, para fins de diagnóstico) com as seguintes configurações de registro:
- HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceEnableCryptographicRedirection (como um DWORD diferente de zero)
Ou
- HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA Client\SmartCard\ForceDisableCryptographicRedirection (como um DWORD diferente de zero)
O hive de registro de 32 bits deve ser especificado (usando WOW6432Node) se a máquina cliente for de 64 bits.
Limitações:
- Somente o aplicativo Citrix Workspace para Windows oferece suporte a cartão inteligente rápido. Se você configurar cartões inteligentes rápidos no arquivo default.ica, os aplicativos Citrix Workspace que não são para Windows ainda usarão o redirecionamento PC/SC existente.
- Os únicos cenários de salto duplo que o cartão inteligente rápido suporta são ICA® > ICA com cartão inteligente rápido habilitado em ambos os saltos. Como o cartão inteligente rápido não suporta cenários de salto duplo ICA > RDP, esses cenários não funcionam.
- O cartão inteligente rápido não suporta Cryptography Next Generation. Assim, o cartão inteligente rápido não suporta cartões inteligentes Elliptic Curve Cryptography (ECC).
- O cartão inteligente rápido suporta apenas operações de contêiner de chave somente leitura.
- O cartão inteligente rápido não suporta a alteração do PIN do cartão inteligente.
A partir da versão 2203 do VDA e da versão 2202 do aplicativo Citrix Workspace para Windows (ou posterior), o cartão inteligente rápido é compatível com o Cryptography Next Generation (CNG). Além disso, os cartões inteligentes Elliptic Curve Cryptography (ECC) são compatíveis com as seguintes curvas: P-256, P-384, P-521 bits, para ECDSA e ECDH.
A partir da versão 2203 do VDA, o cartão inteligente rápido adiciona a capacidade de armazenar em cache o PIN do cartão inteligente entre os aplicativos da mesma sessão de logon do usuário. Por exemplo, se o Cache de PIN da Sessão estiver habilitado e o usuário final tiver fornecido anteriormente seu PIN de cartão inteligente ao Outlook, quando o Word for usado para assinar um documento, o Word usará o PIN de cartão inteligente já armazenado em cache (enviado ao Outlook). O Cache de PIN da Sessão melhora a experiência do usuário, reduzindo o número de vezes que o usuário precisa inserir seu PIN de cartão inteligente. Além disso, se o cartão inteligente for usado para fazer logon no VDA, o PIN de logon do cartão inteligente do Windows pode ser opcionalmente salvo no Cache de PIN da Sessão. Isso pode melhorar ainda mais a experiência do usuário.
O Cache de PIN da Sessão é desabilitado por padrão. Ele pode ser habilitado e controlado com as seguintes configurações de registro no VDA:
Em HKLM\SOFTWARE\Citrix\SmartCard:
-
EnablePinSessionCachecomo um DWORD (diferente de zero para habilitar) -
EnableLogonPinSessionCachecomo um DWORD (diferente de zero para habilitar) -
PinSessionCacheEntryStaleTimeoutcomo um DWORD (número de segundos antes que uma entrada se torne obsoleta, o padrão é 1 hora)
Tipos de leitores de cartão inteligente
Um leitor de cartão inteligente pode ser integrado ao dispositivo do usuário ou conectado separadamente ao dispositivo do usuário (geralmente via USB ou Bluetooth). Leitores de cartão de contato que estão em conformidade com a especificação USB Chip/Smart Card Interface Devices (CCID) são compatíveis. Eles contêm um slot ou um local para deslizar onde o usuário insere o cartão inteligente. O padrão Deutsche Kreditwirtschaft (DK) define quatro classes de leitores de cartão de contato.
- Leitores de cartão inteligente Classe 1 são os mais comuns e geralmente contêm um slot. Leitores de cartão inteligente Classe 1 são compatíveis, geralmente com um driver de dispositivo CCID padrão fornecido com o sistema operacional.
- Leitores de cartão inteligente Classe 2 também contêm um teclado seguro que não pode ser acessado pelo dispositivo do usuário. Leitores de cartão inteligente Classe 2 podem ser integrados a um teclado com um teclado seguro. Para leitores de cartão inteligente Classe 2, entre em contato com seu representante Citrix; um driver de dispositivo específico do leitor pode ser necessário para habilitar o recurso de teclado seguro.
- Leitores de cartão inteligente Classe 3 também contêm uma tela segura. Leitores de cartão inteligente Classe 3 não são compatíveis.
- Leitores de cartão inteligente Classe 4 também contêm um módulo de transação segura. Leitores de cartão inteligente Classe 4 não são compatíveis.
Nota:
A classe do leitor de cartão inteligente não está relacionada à classe de dispositivo USB.
Os leitores de cartão inteligente devem ser instalados com um driver de dispositivo correspondente no dispositivo do usuário.
Para obter informações sobre leitores de cartão inteligente compatíveis, consulte a documentação do aplicativo Citrix Workspace que você está usando. Na documentação do aplicativo Citrix Workspace, as versões compatíveis são listadas em um artigo sobre cartão inteligente ou no artigo de requisitos do sistema.
Experiência do usuário
O suporte a cartões inteligentes é integrado ao Citrix Virtual Apps and Desktops, usando um canal virtual de cartão inteligente ICA/HDX específico que é habilitado por padrão.
Importante: Não use o redirecionamento USB genérico para leitores de cartão inteligente. Isso é desabilitado por padrão para leitores de cartão inteligente e não é compatível se habilitado.
Vários cartões inteligentes e vários leitores podem ser usados no mesmo dispositivo do usuário, mas se a autenticação pass-through estiver em uso, apenas um cartão inteligente deve ser inserido quando o usuário inicia um desktop virtual ou aplicativo. Quando um cartão inteligente é usado dentro de um aplicativo (por exemplo, para funções de assinatura digital ou criptografia), pode haver outros avisos para inserir um cartão inteligente ou digitar um PIN. Isso pode ocorrer se mais de um cartão inteligente tiver sido inserido ao mesmo tempo.
- Se as pessoas usuárias forem solicitadas a inserir um cartão inteligente quando o cartão inteligente já estiver no leitor, elas devem selecionar “Cancelar”.
- Se as pessoas usuárias forem solicitadas a inserir o PIN, elas devem inseri-lo novamente.
Você pode redefinir PINs usando um sistema de gerenciamento de cartão ou utilitário do fornecedor.
Importante:
Dentro de uma sessão do Citrix Virtual Apps ou Citrix Virtual Desktops, o uso de um cartão inteligente com o aplicativo Microsoft Remote Desktop Connection não é compatível. Isso às vezes é descrito como um uso de “salto duplo”.
Antes de implantar cartões inteligentes
- Obtenha um driver de dispositivo para o leitor de cartão inteligente e instale-o no dispositivo do usuário. Muitos leitores de cartão inteligente podem usar o driver de dispositivo CCID fornecido pela Microsoft.
- Obtenha um driver de dispositivo e software de provedor de serviços criptográficos (CSP) do seu fornecedor de cartão inteligente e instale-os nos dispositivos do usuário e nos desktops virtuais. O driver e o software CSP devem ser compatíveis com o Citrix Virtual Apps and Desktops; verifique a documentação do fornecedor para compatibilidade. Para desktops virtuais que usam cartões inteligentes que suportam e usam o modelo minidriver, os minidrivers de cartão inteligente são baixados automaticamente, mas você também pode obtê-los em http://catalog.update.microsoft.com ou de seu fornecedor. Além disso, se o middleware PKCS#11 for necessário, obtenha-o do fornecedor do cartão.
- Importante: A Citrix recomenda que você instale e teste os drivers e o software CSP em um computador físico antes de instalar o software Citrix.
- Adicione a URL do Citrix Receiver™ para Web à lista de Sites Confiáveis para usuários que usam cartões inteligentes no Internet Explorer com Windows 10. No Windows 10, o Internet Explorer não é executado no modo protegido por padrão para sites confiáveis.
- Certifique-se de que sua infraestrutura de chave pública (PKI) esteja configurada adequadamente. Isso inclui garantir que o mapeamento de certificado para conta esteja configurado corretamente para o ambiente do Active Directory e que a validação do certificado do usuário possa ser realizada com sucesso.
- Certifique-se de que sua implantação atenda aos requisitos de sistema dos outros componentes Citrix usados com cartões inteligentes, incluindo o aplicativo Citrix Workspace e o StoreFront.
- Garanta o acesso aos seguintes servidores em seu Site:
- O controlador de domínio do Active Directory para a conta de usuário associada a um certificado de logon no cartão inteligente
- Delivery Controller™
- Citrix StoreFront
- Citrix Gateway/Citrix Access Gateway 10.x
- VDA
- (Opcional para Acesso Remoto a PC): Microsoft Exchange Server
Habilitar o uso de cartão inteligente
Etapa 1. Emita cartões inteligentes para as pessoas usuárias de acordo com sua política de emissão de cartões.
Etapa 2. (Opcional) Configure os cartões inteligentes para habilitar as pessoas usuárias para o Acesso Remoto a PC.
Etapa 3. Instale e configure o Delivery Controller e o StoreFront (se ainda não estiverem instalados) para o acesso remoto de cartão inteligente.
Etapa 4. Habilite o StoreFront para uso de cartão inteligente. Para obter detalhes, consulte Configurar autenticação de cartão inteligente na documentação do StoreFront.
Etapa 5. Habilite o Citrix Gateway/Access Gateway para uso de cartão inteligente. Para obter detalhes, consulte Configurando Autenticação e Autorização e Configurando Acesso a Cartão Inteligente com a Interface Web na documentação do NetScaler.
Etapa 6. Habilite VDAs para uso de cartão inteligente.
- Certifique-se de que o VDA tenha os aplicativos e atualizações necessários.
- Instale o middleware.
- Configure o acesso remoto de cartão inteligente, habilitando a comunicação de dados do cartão inteligente entre o aplicativo Citrix Workspace em um dispositivo do usuário e uma sessão de desktop virtual.
Etapa 7. Habilite os dispositivos do usuário (incluindo máquinas ingressadas no domínio ou não ingressadas no domínio) para uso de cartão inteligente. Consulte Configurar autenticação de cartão inteligente na documentação do StoreFront para obter detalhes.
- Importe o certificado raiz da autoridade de certificação e o certificado da autoridade de certificação emissora para o keystore do dispositivo.
- Instale o middleware de cartão inteligente do seu fornecedor.
- Instale e configure o aplicativo Citrix Workspace para Windows, certificando-se de importar icaclient.adm usando o Console de Gerenciamento de Política de Grupo e habilitar a autenticação de cartão inteligente.
Etapa 8. Teste a implantação. Certifique-se de que a implantação esteja configurada corretamente iniciando um desktop virtual com o cartão inteligente de um usuário de teste. Teste todos os mecanismos de acesso possíveis (por exemplo, acessando o desktop via Internet Explorer e aplicativo Citrix Workspace).
Rastrear contagem de inserção do leitor de cartão inteligente
Com o acesso remoto de cartão inteligente, você pode rastrear o número de vezes que um cartão inteligente foi inserido ou removido de um leitor usando a função SCardGetStatusChange. A função atualiza um array de estruturas de dados SCARD_READERSTATE — uma para cada leitor que você monitora. A palavra alta (16 bits) do campo dwEventState de cada SCARD_READERSTATE contém a contagem do leitor. Para obter mais informações, consulte os artigos da Microsoft função SCardGetStatusChangeA e estrutura SCARD_READERSTATEA.
A configuração Relatório de Contagem de Inserção do Leitor é desabilitada por padrão. Para habilitar o rastreamento, adicione a seguinte chave de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\SmartCard
Name: EnableReaderInsertCountReporting
Type: DWORD
Value: Any non-zero value
Quando a sessão é desconectada, a contagem é redefinida para zero.
O Relatório de Contagem de Inserção do Leitor é compatível com middleware de cartão inteligente de terceiros.