配置智能卡认证
您可以配置Citrix Gateway使用加密智能卡对用户进行身份验证。
要配置智能卡,你需要做以下的工作:
- 创建证书认证策略。有关更多信息,请参见配置客户端证书认证.
- 将认证策略绑定到虚拟服务器。
将签发客户端证书的CA (certificate Authority)的根证书添加到Citrix Gateway中。有关更多信息,请参见在Citrix Gateway上安装根证书.
重要的:添加根证书到虚拟服务器进行智能卡认证时,必须选择选择CA证书列表。
![添加根证书]()
创建客户端证书之后,可以将称为flash的证书写入智能卡。完成该步骤后,就可以测试智能卡了。
配置Web接口为智能卡直通认证时,如果存在以下任一条件,则Web接口单点登录失败:
- 如果您在发布应用程序选项卡,
mydomaincom相反mydomain. - 如果没有配置域名发布应用程序TAB,如果您运行命令
wi-sso-split-upn设置值为1。在本例中,UserPrincipalName包含域名"mydomaincom”。
您可以使用智能卡身份验证来简化用户的登录过程,同时还可以增强用户访问基础设施的安全性。对公司内部网络的访问由使用公钥基础设施的基于证书的双因素身份验证保护。私钥由硬件控制来保护,并且永远不会离开智能卡。您的用户可以使用智能卡和个人识别码从一系列企业设备访问他们的桌面和应用程序。
您可以使用智能卡通过StoreFront对Citrix Virtual Apps和desktop提供的桌面和应用程序进行用户身份验证。智能卡用户登录StoreFront还可以访问Citrix Endpoint Management提供的应用程序。但是,用户必须再次验证才能访问使用客户端证书验证的端点管理web应用程序。
有关更多信息,请参见配置智能卡认证在StoreFront文档中。
使用安全ICA连接配置智能卡认证
使用在Citrix Gateway上配置的单点登录智能卡登录并建立安全ICA连接的用户可能会收到两次输入个人识别号码(PIN)的提示。
- 当登录和尝试启动已发布的资源时。如果web浏览器和Citrix工作区应用程序使用配置为使用客户端证书的同一个虚拟服务器,则会发生这种情况。
- Citrix Workspace应用程序不与web浏览器共享进程或SSL (Secure Sockets Layer)连接。因此,当ICA连接完成与Citrix Gateway的SSL握手时,需要第二次使用客户端证书。
为了防止用户收到第二个PIN提示,你必须更改两个设置:
- VPN Virtual Server上的客户端认证必须关闭。
- 必须启用SSL重协商。
配置虚拟服务器后,需要将一个或多个STA服务器绑定到虚拟服务器上配置Web界面的Citrix网关5.3.
您可能还想测试智能卡身份验证。
禁用客户端认证。
- 在配置实用程序中,在导航窗格中的configuration选项卡上,展开Citrix Gateway,然后单击Virtual Servers。
- 在主详细信息窗格中选择相关的虚拟服务器,然后单击Edit。
- 在“高级选项”窗格中,单击“SSL参数”。
- 清除“客户端身份验证”复选框。
- 单击Done。
启用SSL重协商。
- 使用配置实用程序,从configuration选项卡导航到Traffic Management,然后单击ssl。
- 在主面板中,单击Change advanced SSL settings。
- 在“拒绝SSL重协商”菜单中,选择“NO”。
测试智能卡的身份验证:
- 将智能卡连接到用户设备。
- 打开浏览器,登录Citrix Gateway。