Documentação de produtos
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
Ver PDF

Configurar a autenticação por cartão inteligente para o Web Studio

January 23, 2026
Contribuição de: 
C

Este artigo descreve as etapas necessárias para configurar e habilitar a autenticação por cartão inteligente para o Web Studio:

Etapa 1: Instalar o driver do cartão inteligente

Etapa 2: Emitir certificados para usuários de cartão inteligente

Etapa 3: Registrar certificados para usuários de cartão inteligente

Etapa 4: Configurar os servidores IIS do Web Studio

Etapa 5 (Opcional): Configurar delegações de autenticação para o Web Studio

Etapa 6: Habilitar a autenticação por cartão inteligente para o Web Studio

Nota:

A autenticação por cartão inteligente é suportada apenas para usuários do mesmo domínio do Active Directory com servidores Web Studio.

Etapa 1: Instalar o driver do cartão inteligente

Instale o driver do cartão inteligente nas seguintes máquinas:

  • Controladores de Domínio onde o Serviço de Certificados está instalado.
  • Servidores Web Studio
  • Máquinas que os usuários finais usam para acessar o Web Studio
  • Máquinas que você usa para registrar certificados para usuários de cartão inteligente

Os drivers de cartão inteligente variam de acordo com os fornecedores. Por exemplo, se estiver usando hardware de cartão inteligente fornecido pela ITS, baixe os drivers SaftNet em https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers.

Etapa 2: Emitir certificados para usuários de cartão inteligente

Nota:

As etapas a seguir são fornecidas como um exemplo para orientar você durante o processo.

No seu Controlador de Domínio, siga estas etapas para concluir a tarefa:

  1. Acesse seu Controlador de Domínio e abra a Autoridade de Certificação.

    Abrir Autoridade de Certificação

  2. Duplique o modelo Agente de Registro. As etapas detalhadas são as seguintes:

    1. Clique com o botão direito em Modelos de Certificado e selecione Gerenciar.

      Gerenciar modelos de certificado

    2. Clique com o botão direito em Agente de Registro e selecione Duplicar Modelo.

    3. Na guia Nome do Assunto, certifique-se de que Incluir e-mail no nome do assunto esteja desmarcado.

      Modelos de certificado > Nome do Assunto

    4. Na guia Criptografia, selecione Microsoft Base Smart Card Crypto Provider e clique em OK. Um modelo chamado Cópia de Agente de Registro aparece na lista Modelos de Certificado.

      modelos de certificado > criptografia

  3. Emita certificados para cartões inteligentes. As etapas detalhadas são as seguintes:
    1. Clique com o botão direito em Modelos de Certificado e selecione Novo > Modelo a Ser Emitido.
    2. Selecione Cópia de Agente de Registro e Usuário de Cartão Inteligente.
    3. Clique em OK.

Etapa 3: Registrar certificados para usuários de cartão inteligente

Nota:

As etapas a seguir são fornecidas como um exemplo para orientar você durante o processo.

Em uma máquina Windows física ingressada no domínio, siga estas etapas para registrar certificados para cada cartão inteligente:

  1. Prepare uma máquina Windows física ingressada no domínio para uso no registro:
    1. Certifique-se de que o driver do cartão inteligente esteja instalado.
    2. Insira um cartão inteligente na máquina.
    3. Faça logon na máquina usando a conta de usuário que você deseja atribuir ao cartão inteligente.
  2. Adicione o snap-in Certificados à máquina que você preparou na etapa 1. As etapas detalhadas são as seguintes:
    1. Abra o mmc.
    2. Clique em Arquivo e depois em Adicionar/Remover Snap-in.
    3. Na janela Adicionar ou Remover Snap-ins que aparece, selecione Certificados e clique em Adicionar >.
    4. Na caixa de diálogo que aparece, selecione Minha conta de usuário e clique em Concluir.

    5. Clique em OK.

      Adicionar certificado

  3. Solicite novos certificados para o snap-in Certificados. As etapas detalhadas são as seguintes:

    1. Vá para Certificados - Usuário Atual > Pessoal, clique com o botão direito em Certificados e selecione Todas as Tarefas > Solicitar Novo Certificado.

      solicitar novo certificado

    2. Na caixa de diálogo Solicitar Certificados que aparece, selecione Cópia de Agente de Registro e Usuário de Cartão Inteligente.

      gerenciar modelos de certificado

    3. Na caixa de diálogo acima, clique em Detalhes para Usuário de Cartão Inteligente e depois clique em Propriedades. A caixa de diálogo Propriedades do Certificado aparece.

      solicitar novo certificado > propriedades

    4. Na guia Chave Privada, expanda Provedor de Serviços Criptográficos, desmarque Microsoft Strong Cryptographic Provider (Criptografia), selecione apenas Microsoft Base Smart Card Crypto Provider (Criptografia) e clique em OK.
    5. Clique em Registrar.

    6. Na caixa de diálogo Segurança do Windows que aparece, insira o código PIN do cartão inteligente e clique em OK. Quando o registro for concluído, clique em Concluir.

      registrar certificado

Após o registro bem-sucedido, dois certificados aparecem em Certificados - Usuário Atual -> Pessoal -> Certificados, conforme mostrado na captura de tela a seguir. gerenciar modelos de certificado

Etapa 4: Configurar os servidores IIS do Web Studio

Em cada servidor Web Studio, siga estas etapas para configurar o IIS para autenticação por cartão inteligente:

  1. Habilite a Autenticação de Mapeamento de Certificado do Cliente para a máquina Web Studio.

    O elemento <clientCertificateMappingAuthentication> não está disponível na instalação padrão do IIS 7 e posterior. Para obter mais informações sobre instalação e habilitação, consulte este artigo da Microsoft.

  2. Inicie o Gerenciador do IIS na máquina Web Studio.

  3. Habilite a Autenticação de Certificado de Cliente do Active Directory para a máquina. As etapas detalhadas são as seguintes:

    1. Selecione a máquina no painel esquerdo e clique duas vezes em Autenticação.

      IIS > Autenticação

    2. Habilite a Autenticação de Certificado de Cliente do Active Directory.

      IIS > habilitar Autenticação de Certificado de Cliente do AD

  4. Configure o módulo de back-end do Web Studio para um protocolo HTTPS mais seguro com autenticação de certificado do cliente:

    1. Vá para Sites > Default Web Site > Studio > Backend > Smartcard e clique duas vezes em Configurações SSL na seção IIS.

      IIS módulo de back-end smartcard SSL

    2. Selecione Exigir para Certificados de cliente.

      IIS servidor de back-end smartcard ssl exigido

    3. Retorne a Sites > Default Web Site > Studio > Backend > Smartcard e clique duas vezes em Editor de Configuração na seção IIS.

      IIS > Editor de Configuração

    4. Certifique-se de que /clientCertificateMappingAuthentication esteja habilitado.

      habilitar autenticação de cliente

  5. (Somente Windows 2022) Desabilite o TLS 3.1 sobre TCP. As etapas detalhadas são as seguintes:

    1. Vá para Sites > Default Web Site.
    2. Clique em Editar Site > Associações.

    3. Na caixa de diálogo Associações de Site que aparece, selecione o registro https e clique em Editar.

      Somente Windows 2022 https editar

    4. Na caixa de diálogo Editar Associação de Site que aparece, selecione Desabilitar TLS 1.3 sobre TCP e clique em OK.

      Somente Windows 2022 https editar desabilitado

É bom saber:

O back-end do Web Studio é um módulo no Web Studio que fornece as seguintes funções:

  • Autenticação por cartão inteligente.
  • Recuperação de tokens de portador FMA do serviço de Orquestração usando autenticação integrada do Windows.

Etapa 5 (Opcional): Configurar delegações de autenticação para o Web Studio

Quando o Web Studio e os Delivery Controllers são instalados em servidores diferentes, você deve configurar delegações para cada servidor Web Studio para os Delivery Controllers para os serviços HOST e HTTPS.

Siga estas etapas para concluir a tarefa para cada servidor Web Studio:

  1. Importar o Certificado HTTPS de Orquestração do Delivery Controller™
  2. Configurar delegação para o servidor Web Studio
  3. (Opcional) Configurar delegação para a conta de serviço do servidor IIS do Web Studio

Importar o Certificado HTTPS de Orquestração do Delivery Controller

No servidor Web Studio, importe o certificado HTTPS de Orquestração do Delivery Controller para Autoridades de Certificação Raiz Confiáveis. As etapas detalhadas são as seguintes:

  1. Inicie Configurações > Gerenciar certificados do computador.

  2. Clique com o botão direito em Autoridades de Certificação Raiz Confiáveis > Certificados e selecione Todas as Tarefas > Importar.

    Importar certificado DDC

  3. Siga as instruções na tela para importar o certificado HTTPS de Orquestração do Delivery Controller.

Configurar delegação para o servidor Web Studio

No controlador de domínio, configure a delegação para o servidor Web Studio para o Delivery Controller para os serviços HOST e HTTP. Siga estas etapas para concluir a tarefa:

  1. No controlador de domínio, inicie o Centro Administrativo do Active Directory.
  2. Localize a conta de computador do servidor Web Studio para a qual você deseja configurar a delegação (por exemplo, Dan002).

  3. Clique com o botão direito na conta, selecione Propriedades e conclua as seguintes etapas:

    configurar delegação para o servidor studio

    1. Vá para a guia Delegação.

      inserir configuração de delegação

    2. Selecione Confiar neste usuário para delegação apenas para serviços especificados > Usar qualquer protocolo de autenticação.
    3. Clique em Adicionar para especificar a quais serviços esta conta de computador pode ser delegada.
    4. Na caixa de diálogo Adicionar Serviço que aparece, clique em Adicionar Usuários ou Computadores para localizar o nome do computador do Delivery Controller (por exemplo, Dan001).
    5. Selecione os serviços HOST e HTTP e clique em OK.

Os resultados da configuração são mostrados na captura de tela a seguir. gerenciar modelos de certificado

(Opcional) Configurar delegação para a conta de serviço do servidor IIS do Web Studio

Se você configurou uma conta de serviço para o servidor IIS do Web Studio, também precisa configurar a delegação para esta conta de serviço para o Delivery Controller para os serviços HOST e HTTP. Com esta delegação estabelecida, o servidor Web Studio pode usar sua conta de serviço para representar o usuário atual do cartão inteligente para acessar o Delivery Controller para os serviços HOST e HTTP. Siga estas etapas para concluir a configuração:

  1. No controlador de domínio, inicie o Centro Administrativo do Active Directory.
  2. Localize a conta de usuário do servidor IIS do Web Studio (conta de serviço) para a qual você deseja configurar a delegação (por exemplo, svr-stud-002).
  3. Clique com o botão direito na conta e selecione Propriedades.
  4. Siga o procedimento descrito na etapa 3 de Configurar delegação para o servidor Web Studio para delegar a conta de serviço do servidor IIS do Web Studio ao Delivery Controller para os serviços HOST e HTTP.

Os resultados da configuração são mostrados na captura de tela a seguir.

gerenciar modelos de certificado

Etapa 6: Habilitar a autenticação por cartão inteligente para o Web Studio

Siga estas etapas para habilitar a autenticação por cartão inteligente para o Web Studio:

  1. Faça login no Web Studio e selecione Configurações no painel esquerdo.
  2. Selecione Autenticação por cartão inteligente ou Credenciais de domínio ou autenticação por cartão inteligente, conforme necessário.

  3. Clique em Aplicar.

    gerenciar modelos de certificado

Configurar a autenticação por cartão inteligente para o Web Studio
January 23, 2026
Contribuição de: 
C
January 23, 2026
Contribuição de: 
C

Neste artigo

Feedback do site | Your privacy choices footer linkSuas escolhas de privacidade | Privacidade e termos legais | Preferências de cookies | Configurações de consentimento | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.