产品文档

为 Web Studio 设置智能卡身份验证

June 2, 2026
投稿者: 
C

本文概述了为 Web Studio 设置和启用智能卡身份验证所需的步骤:

步骤 1:安装智能卡驱动程序

步骤 2:为智能卡用户颁发证书

步骤 3:为智能卡用户注册证书

步骤 4:对 Web Studio 的 IIS 服务器进行配置

步骤 5(可选):为 Web Studio 配置身份验证委派

步骤 6:为 Web Studio 启用智能卡身份验证

注意:

智能卡身份验证仅支持与 Web Studio 服务器位于同一 Active Directory 域中的用户。

步骤 1:安装智能卡驱动程序

在以下计算机上安装智能卡驱动程序:

  • 已安装证书服务功能的域控制器。
  • Web Studio servers
  • 最终用户用于访问 Web Studio 的计算机
  • 用于为智能卡用户注册证书的计算机

智能卡驱动程序因供应商而异。例如,如果使用 ITS 提供的智能卡硬件,请从 https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers 下载 SaftNet 驱动程序。

步骤 2:为智能卡用户颁发证书

注意:

以下步骤仅作为示例,指导您完成整个过程。

在您的域控制器上,按照以下步骤完成任务:

  1. 访问您的域控制器并打开 证书颁发机构

    启动 CA

  2. 复制 注册代理 模板。详细步骤如下:

    1. 右键单击 证书模板 并选择 管理

      管理证书模板

    2. 右键单击 注册代理 并选择 复制模板

    3. 使用者名称 选项卡上,确保未选中 在使用者名称中包含电子邮件

      证书模板 > 使用者名称

    4. 加密 选项卡上,选择 Microsoft 基本智能卡加密服务提供程序,然后单击 确定。名为 注册代理副本 的模板将显示在 证书模板 列表中。

      证书模板>密码术

  3. 为智能卡用户颁发证书。详细步骤如下:
    1. 右键单击证书模板,然后选择新建 > 要颁发的模板
    2. 选择注册代理副本智能卡用户
    3. 单击确定

步骤 3:为智能卡用户注册证书

注意:

以下步骤作为示例提供,以指导您完成此过程。

在已加入域的物理 Windows 计算机上,请按照以下步骤为每张智能卡注册证书:

  1. 准备一台已加入域的物理 Windows 计算机用于注册:
    1. 确保智能卡驱动程序已安装。
    2. 将智能卡插入计算机。
    3. 使用您要分配给智能卡的用户帐户登录到计算机。
  2. 证书管理单元添加到您在步骤 1 中准备的计算机上。详细步骤如下:
    1. 打开mmc
    2. 点击“文件”,然后点击“添加/删除管理单元”。
    3. 在出现的“添加或删除管理单元”窗口中,选择“证书”,然后点击“添加 >”。
    4. 在出现的对话框中,选择“我的用户帐户”,然后点击“完成”。

    5. 点击“确定”。

      添加证书

  3. 为“证书”管理单元请求新证书。详细步骤如下:

    1. 转到“证书 - 当前用户 > 个人”,右键点击“证书”,然后选择“所有任务 > 请求新证书”。

      请求新证书

    2. 在出现的“请求证书”对话框中,选择“注册代理副本”和“智能卡用户”。

      管理证书模板

    3. 在上述对话框中,点击“智能卡用户”的“详细信息”,然后点击“属性”。此时将显示“证书属性”对话框。

      请求新证书 > 属性

    4. 在“私钥”选项卡上,展开“加密服务提供程序”,清除“Microsoft 增强型加密服务提供程序 (加密)”,仅选择“Microsoft 基本智能卡加密服务提供程序 (加密)”,然后点击“确定”。
    5. 点击“注册”。

    6. 在出现的“Windows 安全”对话框中,输入智能卡 PIN 码,然后点击“确定”。注册完成后,点击“完成”。

      注册证书

成功注册后,在证书 - 当前用户 -> 个人 -> 证书下显示两个证书,如以下屏幕截图所示。 管理证书模板

Step 4: Configure Web Studio IIS servers

在每台 Web Studio 服务器上,执行以下步骤以配置 IIS 进行智能卡身份验证:

  1. 为 Web Studio 计算机启用客户端证书映射身份验证

    <clientCertificateMappingAuthentication> 元素在 IIS 7 及更高版本的默认安装中不可用。有关安装和启用详细信息,请参阅这篇Microsoft 文章

  2. 在 Web Studio 计算机上启动IIS 管理器

  3. 为计算机启用Active Directory 客户端证书身份验证。详细步骤如下:

    1. 在左侧窗格中选择计算机,并双击身份验证

      IIS > 身份验证

    2. 启用Active Directory 客户端证书身份验证

      IIS > 启用 AC 客户端证书身份验证

  4. 配置 Web Studio 后端模块,以使用客户端证书身份验证的更安全的 HTTPS 协议:

    1. 转到站点 > 默认网站 > Studio > 后端 > 智能卡,然后双击IIS部分中的SSL 设置

      IIS 后端模块智能卡 SSL

    2. 对于客户端证书,选择要求

      IIS 服务器后端智能卡 SSL 所需(/zh-cn/citrix-virtual-apps-desktops/2411/media/iis-server-backend-smartcard-ssl-required.png)

    3. 返回到 站点 > 默认网站 > Studio > 后端 > 智能卡,然后在 IIS 部分中双击配置编辑器

      IIS > 配置编辑器(/zh-cn/citrix-virtual-apps-desktops/2411/media/iis-server-backend-smartcard-config.png)

    4. Make sure /clientCertificateMappingAuthentication is enabled.

      启用客户端身份验证(/zh-cn/citrix-virtual-apps-desktops/2411/media/iis-server-backend-smartcard-config-enabled.png)

  5. (仅限 Windows 2022) 禁用通过 TCP 的 TLS 3.1。详细步骤如下:

    1. 转到 站点 > 默认网站
    2. 单击编辑站点 > 绑定

    3. 在出现的站点绑定对话框中,选择 https 记录,然后单击编辑

      仅限 Windows 2022 操作系统上的 HTTPS 编辑(/zh-cn/citrix-virtual-apps-desktops/2411/media/iis-server-default-site-https-edit.png)

    4. 在出现的编辑站点绑定对话框中,选择禁用通过 TCP 的 TLS 1.3,然后单击确定

      仅限 Windows 2022 https 的编辑功能已禁用(/zh-cn/citrix-virtual-apps-desktops/2411/media/iis-server-default-site-https-edit-disable.png)

须知:

Web Studio 后端是 Web Studio 中的一个模块,提供以下功能:

  • 智能卡身份验证。
  • 使用集成 Windows 身份验证从 Orchestration 服务检索 FMA 持有者令牌。

步骤 5(可选)为 Web Studio 配置身份验证委派

When Web Studio and Delivery Controllers are installed on different servers, you must configure delegations for each Web Studio server to the Delivery Controllers for HOST and HTTPS services.

请按照以下步骤为每个 Web Studio 服务器完成此任务:

  1. 导入交付控制器™ 编排 HTTPS 证书
  2. 为 Web Studio 服务器配置委派
  3. (可选)为 Web Studio IIS 服务器的服务帐户配置委派

导入交付控制器编排 HTTPS 证书

在 Web Studio 服务器上,将 交付控制器编排 HTTPS 证书导入到受信任的根证书颁发机构。详细步骤如下:

  1. 启动设置 > 管理计算机证书

  2. 右键单击受信任的根证书颁发机构 > 证书,然后选择所有任务 > 导入

    导入 DDC 证书

  3. 按照屏幕上的说明导入 交付控制器编排 HTTPS 证书。

为 Web Studio 服务器配置委派

在域控制器上,为 Web Studio 服务器配置到 Delivery Controller 的 HOST 和 HTTP 服务委派。请按照以下步骤完成此任务:

  1. 在域控制器上,启动 Active Directory 管理中心
  2. 找到要为其配置委派的 Web Studio 服务器的计算机帐户(例如,Dan002)。

  3. 右键单击该帐户,选择属性,然后完成以下步骤:

    为 Studio 服务器配置委派

    1. 转到委派选项卡。

      输入委派配置

    2. 选择仅信任此用户进行指定服务的委派 > 使用任何身份验证协议
    3. 单击添加以指定此计算机帐户可以委派给哪些服务。
    4. 在出现的添加服务对话框中,单击添加用户或计算机以找到 Delivery Controller 的计算机名称(例如,Dan001)。
    5. 选择 HOSTHTTP 服务,然后单击确定

配置结果显示在以下屏幕截图中。 管理证书模板

(可选)为 Web Studio IIS 服务器的服务帐户配置委派

如果您已为 Web Studio IIS 服务器配置了服务帐户,则还需要为该服务帐户配置到 Delivery Controller 的 HOST 和 HTTP 服务委派。建立此委派后,Web Studio 服务器可以使用其服务帐户模拟当前智能卡用户,以访问 Delivery Controller 的 HOST 和 HTTP 服务。请按照以下步骤完成配置:

  1. 在域控制器上,启动 Active Directory 管理中心
  2. 找到您要配置委派的 Web Studio IIS 服务器(服务帐户)的用户帐户(例如,svr-stud-002)。
  3. 右键单击该帐户,然后选择属性
  4. 按照配置 Web Studio 服务器的委派中步骤 3 中所述的步骤,将 Web Studio IIS 服务器的服务帐户委派给 Delivery Controller,以用于 HOST 和 HTTP 服务。

配置结果在以下屏幕截图中有所展示。

管理证书模板

步骤 6:为 Web Studio 启用智能卡身份验证

请按照以下步骤为 Web Studio 启用智能卡身份验证:

  1. 登录到 Web Studio 并在左侧窗格中选择设置
  2. 根据需要选择智能卡身份验证域凭据或智能卡身份验证

  3. 单击应用

    管理证书模板

为 Web Studio 设置智能卡身份验证
June 2, 2026
投稿者: 
C
June 2, 2026
投稿者: 
C

在本文中

站点反馈 | Your privacy choices footer link您的隐私选择 | 隐私和法律条款 | Cookie 首选项 | 同意设置 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.