This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
智能卡
智能卡和等效技术在本文章所述的指导原则内受支持。要将智能卡与 XenApp 或 XenDesktop® 结合使用,请执行以下操作:
- 了解贵组织有关智能卡使用的安全策略。例如,这些策略可能会说明智能卡如何颁发以及用户应如何保护它们。这些策略的某些方面可能需要在 XenApp® 或 XenDesktop 环境中重新评估。
- 确定哪些用户设备类型、操作系统和已发布的应用程序将与智能卡结合使用。
- 了解并熟悉智能卡技术以及您选择的智能卡供应商的硬件和软件。
- 了解如何在分布式环境中部署数字证书。
智能卡类型
企业和消费者智能卡具有相同的尺寸、电气连接器,并且适用于相同的智能卡读卡器。
用于企业用途的智能卡包含数字证书。这些智能卡支持 Windows 登录,也可用于对文档和电子邮件进行数字签名和加密的应用程序。XenApp 和 XenDesktop 支持这些用途。
用于消费者用途的智能卡不包含数字证书;它们包含共享密钥。这些智能卡可以支持支付(例如芯片签名或芯片 PIN 信用卡)。它们不支持 Windows 登录或典型的 Windows 应用程序。需要专门的 Windows 应用程序和合适的软件基础结构(例如,连接到支付卡网络)才能使用这些智能卡。有关在 XenApp 或 XenDesktop 上支持这些专用应用程序的信息,请联系您的 Citrix® 代表。
对于企业智能卡,存在可以类似方式使用的兼容等效项。
- 智能卡等效 USB 令牌直接连接到 USB 端口。这些 USB 令牌通常与 USB 闪存驱动器大小相同,但也可以小到手机中使用的 SIM 卡。它们表现为智能卡加上 USB 智能卡读卡器的组合。
- 使用 Windows 可信平台模块 (TPM) 的虚拟智能卡表现为智能卡。这些虚拟智能卡支持 Windows 8 和 Windows 10,使用最低版本为 4.3 的 Citrix Receiver。
- 早于 7.6 FP3 版本的 XenApp 和 XenDesktop 不支持虚拟智能卡。
- 有关虚拟智能卡的更多信息,请参阅 虚拟智能卡概述。
注意:“虚拟智能卡”一词也用于描述简单存储在用户计算机上的数字证书。这些数字证书与智能卡并非严格等同。
XenApp 和 XenDesktop 智能卡支持基于 Microsoft 个人计算机/智能卡 (PC/SC) 标准规范。最低要求是智能卡和智能卡设备必须由底层 Windows 操作系统支持,并且必须通过 Microsoft Windows 硬件质量实验室 (WHQL) 认证,才能在运行合格 Windows 操作系统的计算机上使用。有关硬件 PC/SC 合规性的更多信息,请参阅 Microsoft 文档。其他类型的用户设备可能符合 PS/SC 标准。有关详细信息,请参阅 https://www.citrix.com/ready/ 上的 Citrix Ready 计划。
通常,每个供应商的智能卡或等效产品都需要单独的设备驱动程序。但是,如果智能卡符合 NIST 个人身份验证 (PIV) 标准等标准,则可能可以使用单个设备驱动程序来支持一系列智能卡。设备驱动程序必须安装在用户设备和虚拟投递代理 (VDA) 上。设备驱动程序通常作为 Citrix 合作伙伴提供的智能卡中间件软件包的一部分提供;智能卡中间件软件包将提供高级功能。设备驱动程序也可以描述为加密服务提供程序 (CSP)、密钥存储提供程序 (KSP) 或微型驱动程序。
Citrix 已测试以下适用于 Windows 系统的智能卡和中间件组合,作为其类型的代表性示例。但是,也可以使用其他智能卡和中间件。有关 Citrix 兼容智能卡和中间件的更多信息,请参阅 https://www.citrix.com/ready。
| 中间件 | 匹配卡 |
|---|---|
| ActivClient 7.0(已启用美国国防部模式) | 国防部 CAC 卡 |
| ActivClient 7.0 个人身份验证模式 | NIST 个人身份验证卡 |
| Microsoft 微型驱动程序 | NIST PIV 个人身份验证卡 |
| GemAlto .NET 卡微型驱动程序 | 金雅拓 .NET v2+ |
| Microsoft 本机驱动程序 | 虚拟智能卡 (TPM) |
有关智能卡与其他类型设备配合使用的信息,请参阅该设备的 Citrix Receiver™ 文档。
有关智能卡与其他类型设备配合使用的信息,请参阅该设备的 Citrix Receiver 文档。
远程电脑访问
智能卡仅支持远程访问运行 Windows 10、Windows 8 或 Windows 7 的物理办公电脑;不支持运行 Windows XP 的办公电脑使用智能卡。
以下智能卡已通过远程电脑访问测试:
| 中间件 | 匹配卡 |
|---|---|
| 金雅拓 .NET 微型驱动程序 | 金雅拓 .NET v2 及更高版本 |
| 艾克蒂身份 艾克蒂客户端 6.2 | NIST 个人身份验证 |
| 活动身份 活动客户端 6.2 | CAC |
| Microsoft 微型驱动程序 | 尼斯特 个人身份验证 |
| Microsoft 原生驱动程序 | 虚拟智能卡 |
智能卡读卡器类型
智能卡读卡器可以内置于用户设备中,也可以单独连接到用户设备(通常通过 USB 或蓝牙)。支持符合 USB 芯片/智能卡接口设备 (CCID) 规范的接触式读卡器。它们包含一个插槽或刷卡口,用户可将智能卡插入其中。德国信贷经济 (DK) 标准定义了四类接触式读卡器。
- 1 类智能卡读卡器最常见,通常只包含一个插槽。支持 1 类智能卡读卡器,通常使用操作系统提供的标准 CCID 设备驱动程序。
- 2 类智能卡读卡器还包含一个安全键盘,用户设备无法访问该键盘。2 类智能卡读卡器可以内置在带有集成安全键盘的键盘中。对于 2 类智能卡读卡器,请联系您的 Citrix 代表;可能需要读卡器特定的设备驱动程序才能启用安全键盘功能。
- 3 类智能卡读卡器还包含一个安全显示屏。不支持 3 类智能卡读卡器。
- 4 类智能卡读卡器还包含一个安全交易模块。不支持 4 类智能卡读卡器。
注意: 智能卡读卡器类别与 USB 设备类别无关。
智能卡读卡器必须在用户设备上安装相应的设备驱动程序。
有关支持的智能卡读卡器的信息,请参阅您正在使用的 Citrix Receiver 文档。在 Citrix Receiver 文档中,支持的版本通常列在智能卡文章或系统要求文章中。
用户体验
智能卡支持已集成到 XenApp 和 XenDesktop 中,使用默认启用的特定 ICA/HDX 智能卡虚拟通道。
重要提示:请勿对智能卡读卡器使用通用 USB 重定向。智能卡读卡器默认禁用此功能,如果启用则不受支持。
同一用户设备上可以使用多个智能卡和多个读卡器,但如果使用直通身份验证,则当用户启动虚拟桌面或应用程序时,只能插入一张智能卡。当智能卡在应用程序中使用时(例如,用于数字签名或加密功能),可能会有额外的提示要求插入智能卡或输入 PIN。如果同时插入了多张智能卡,则可能会发生这种情况。
- 如果智能卡已在读卡器中,但用户仍收到插入智能卡的提示,则应选择“取消”。
- 如果系统提示用户输入 PIN,则应再次输入 PIN。
如果您正在使用运行在 Windows Server 2008 或 2008 R2 上的托管应用程序,并且智能卡需要 Microsoft 基本智能卡加密服务提供程序,您可能会发现,如果一个用户运行智能卡事务,所有在登录过程中使用智能卡的其他用户都会被阻止。有关此问题的更多详细信息和修补程序,请参阅 https://support.microsoft.com/kb/949538。
您可以使用卡管理系统或供应商实用程序重置 PIN。
重要
在 XenApp 或 XenDesktop 会话中,不支持将智能卡与 Microsoft 远程桌面连接应用程序配合使用。这有时被称为“双跳”使用。
部署智能卡之前
- 获取智能卡读卡器的设备驱动程序并将其安装在用户设备上。许多智能卡读卡器可以使用 Microsoft 提供的 CCID 设备驱动程序。
- 从智能卡供应商处获取设备驱动程序和加密服务提供程序 (CSP) 软件,并将其安装在用户设备和虚拟桌面上。驱动程序和 CSP 软件必须与 XenApp 和 XenDesktop 兼容;请查阅供应商文档以了解兼容性。对于使用支持并使用微型驱动程序模型的智能卡的虚拟桌面,智能卡微型驱动程序应自动下载,但您可以从 https://catalog.update.microsoft.com 或从您的供应商处获取它们。此外,如果需要 PKCS#11 中间件,请从卡供应商处获取。
- 重要提示:Citrix 建议您在安装 Citrix 软件之前,先在物理计算机上安装并测试驱动程序和 CSP 软件。
- 对于在 Windows 10 中使用 Internet Explorer 智能卡的用户,请将 Citrix Receiver for Web URL 添加到“受信任的站点”列表中。在 Windows 10 中,Internet Explorer 默认情况下不会在受信任的站点中以保护模式运行。
- 确保您的公钥基础结构 (PKI) 配置正确。这包括确保证书到帐户的映射在 Active Directory 环境中配置正确,并且用户证书验证可以成功执行。
- 确保您的部署满足与智能卡一起使用的其他 Citrix 组件(包括 Citrix Receiver 和 StoreFront)的系统要求。
- 确保您的站点可以访问以下服务器:
- 智能卡上与登录证书关联的用户帐户的 Active Directory 域控制器
- 交付控制器™
- 思杰 应用商店
- 思杰 NetScaler 网关/思杰 访问网关 版本 10.x
- VDA
- (远程电脑访问可选):微软 Exchange Server
启用智能卡使用
步骤 1. 根据您的卡片颁发策略向用户颁发智能卡。
步骤 2. (可选)设置智能卡以启用用户进行远程电脑访问。
步骤 3. 安装并配置 Delivery Controller 和 StoreFront(如果尚未安装),以用于智能卡远程处理。
步骤 4. 启用 StoreFront 以使用智能卡。有关详细信息,请参阅 StoreFront 文档中的“配置智能卡身份验证”。
步骤 5. 启用 NetScaler Gateway/Access Gateway 以使用智能卡。有关详细信息,请参阅 NetScaler 文档中的“配置身份验证和授权”以及“通过 Web 界面配置智能卡访问”。
步骤 6. 启用 VDA 以使用智能卡。
- 确保 VDA 具有所需的应用程序和更新。
- 安装中间件。
- 设置智能卡远程处理,以实现在用户设备上的 Citrix Receiver 与虚拟桌面会话之间进行智能卡数据通信。
步骤 7. 为用户设备(包括已加入域或未加入域的计算机)启用智能卡使用。有关详细信息,请参阅 StoreFront 文档中的《配置智能卡身份验证》。
- 将证书颁发机构根证书和颁发证书颁发机构证书导入到设备的密钥库中。
- 安装供应商的智能卡中间件。
- 安装并配置适用于 Windows 的 Citrix Receiver,务必使用组策略管理控制台导入 icaclient.adm 并启用智能卡身份验证。
步骤 8. 测试部署。通过使用测试用户的智能卡启动虚拟桌面,确保部署已正确配置。测试所有可能的访问机制(例如,通过 Internet Explorer 和 Citrix Receiver 访问桌面)。
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.