配置智能卡认证
可以将Citrix Gateway配置为使用加密智能卡对用户进行身份验证。
要配置智能卡与Citrix Gateway配合使用,您需要执行以下操作:
- 创建证书认证策略。有关更多信息,请参见配置客户端证书认证.
- 将认证策略绑定到虚拟服务器。
将颁发客户端证书的CA的根证书添加到Citrix Gateway。有关更多信息,请参见在Citrix Gateway上安装根证书.
重要的:将根证书添加到虚拟服务器进行智能卡认证时,需要在选择CA证书下拉框,如下图所示。图1。增加智能卡鉴权的根证书
创建客户端证书后,可以将该证书(称为flash)写入智能卡。完成该步骤后,就可以测试智能卡了。
如果配置了智能卡直通认证的Web Interface,如果存在以下任何一种情况,将导致单点登录Web Interface失败:
- 如果将“已发布应用程序”选项卡上的域设置为mydomain.com而不是mydomain。
- 如果在“Published Applications”页签中未设置域名,并且执行wi-sso-split-upn命令将该值设置为1。在本例中,UserPrincipalName包含域名“mydomain.com”。
您可以使用智能卡身份验证来简化用户的登录过程,同时还可以增强用户访问基础设施的安全性。通过使用公钥基础设施的基于证书的双因素身份验证来保护对公司内部网络的访问。私钥由硬件控制保护,永远不会离开智能卡。您的用户可以方便地使用智能卡和pin码从一系列公司设备访问他们的桌面和应用程序。
您可以使用智能卡通过StoreFront对Citrix Virtual Apps and台式机提供的桌面和应用程序进行用户身份验证。智能卡用户登录到StoreFront还可以访问思杰Endpoint Management提供的应用程序。但是,用户必须再次进行身份验证才能访问使用客户端证书身份验证的端点管理web应用程序。
有关更多信息,请参见配置智能卡身份验证在StoreFront文档中。
配置智能卡认证与安全ICA连接
使用在Citrix Gateway上配置的单点登录智能卡登录并建立安全ICA连接的用户可能会在两个不同的时间收到输入其个人识别号码(PIN)的提示:登录时和尝试启动已发布的资源时。如果web浏览器和Citrix Receiver正在使用配置为使用客户端证书的相同虚拟服务器,则会发生这种情况。Citrix Receiver不与web浏览器共享进程或安全套接字层(SSL)连接。因此,当ICA连接完成与Citrix Gateway的SSL握手时,需要第二次使用客户端证书。
为了防止用户收到第二次PIN提示,您必须更改两个设置:
- VPN Virtual Server上的客户端认证必须去使能。
- 必须启用SSL重协商。
配置虚拟服务器后,需要将一个或多个STA服务器绑定到虚拟服务器上,具体操作请参见在Web Interface 5.3中配置Citrix网关.
您可能还想测试智能卡身份验证。
禁用客户端认证。
- 在配置实用工具中,在导航窗格中的configuration选项卡上,展开Citrix Gateway,然后单击Virtual Servers。
- 在主详细信息窗格中选择相关的虚拟服务器,然后单击Edit。
- 在“高级选项”窗格中,单击“SSL参数”。
- 清除“客户端身份验证”复选框。
- 单击Done。
启用SSL重协商。
- 使用配置实用工具,从“配置”选项卡导航到“流量管理”,然后单击ssl。
- 在主面板中,单击“更改高级SSL设置”。
- 在“拒绝SSL重协商”菜单中选择“否”。
测试智能卡身份验证:
- 将智能卡连接到用户设备。
- 打开web浏览器并登录到Citrix Gateway。