智能卡

本文所述的指南支持智能卡和等效技术。要将智能卡与Citrix虚拟应用程序或Citrix虚拟桌面一起使用，请执行以下操作：

• 了解贵公司有关使用智能卡的保安政策。例如，这些政策可能会说明智能卡是如何发放的，以及用户应该如何保护它们。在Citrix虚拟应用程序或Citrix虚拟桌面环境中，这些策略的某些方面可能需要重新评估。
• 确定将与智能卡一起使用的用户设备类型、操作系统和已发布的应用程序。
• 熟悉智能卡技术和所选智能卡供应商的硬件和软件。
• 了解如何在分布式环境中部署数字证书。

注:

不支持智能卡登记快速智能卡．当快速智能卡被禁用时，智能卡注册可以工作，但取决于智能卡的类型和中间件。请联系您的智能卡和中间件供应商，了解他们与Citrix虚拟应用程序和桌面的集成以及对智能卡虚拟会话注册的支持。

智能卡的种类

企业和消费者智能卡具有相同的尺寸、电连接器，并适合相同的智能卡读卡器。

企业使用的智能卡包含数字证书。这些智能卡支持Windows登录，也可用于文档和电子邮件的数字签名和加密应用程序。Citrix虚拟应用程序和台式机支持这些用途。

供消费者使用的智能卡不含数码证书;它们包含一个共享的秘密。这些智能卡可以支持支付(例如芯片和签名或芯片和密码信用卡)。它们不支持Windows Logon或典型的Windows应用程序。使用这些智能卡需要专门的Windows应用程序和适当的软件基础设施(例如，包括与支付卡网络的连接)。有关在Citrix虚拟应用程序或Citrix虚拟桌面上支持这些专门应用程序的信息，请与您的Citrix代表联系。

对于企业智能卡，有可以类似方式使用的兼容对等物。

• 与智能卡等效的USB令牌直接连接到USB端口。这些USB代币通常与USB闪存驱动器大小相同，但可以与手机中使用的SIM卡一样小。它们是智能卡和USB智能卡读卡器的组合。
• 使用Windows可信平台模块(TPM)的虚拟智能卡作为智能卡出现。这些虚拟智能卡支持Windows 8和Windows 10，使用Citrix Workspace应用程序(最低版本Citrix Receiver 4.3)。
  • 在XenApp和XenDesktop 7.6 FP3之前的Citrix虚拟应用和桌面(原XenApp和XenDesktop)版本不支持虚拟智能卡。
  • 有关虚拟智能卡的更多信息，请参见虚拟智能卡概述．

  注:“虚拟智能卡”一词也用来描述存储在用户计算机上的数字证书。这些数字证书并不完全等同于智能卡。

Citrix虚拟应用程序和桌面智能卡支持基于Microsoft个人电脑/智能卡(PC/SC)标准规范。最低要求是智能卡和智能卡设备必须得到底层Windows操作系统的支持，并且必须得到微软Windows硬件质量实验室(WHQL)的批准，才能在运行合格Windows操作系统的计算机上使用。有关硬件PC/SC遵从性的附加信息，请参阅Microsoft文档。其他类型的用户设备可能符合PS/SC标准。有关更多信息，请参阅Citrix就绪程序．

通常，每个供应商的智能卡或同等设备都需要一个单独的设备驱动程序。然而，如果智能卡符合一个标准，如NIST个人身份验证(PIV)标准，就有可能为一系列智能卡使用一个设备驱动程序。设备驱动程序必须同时安装在用户设备和VDA上。设备驱动程序通常作为智能卡中间件包的一部分提供给Citrix合作伙伴;智能卡中间件包将提供先进的功能。设备驱动程序也可以被描述为加密服务提供者(CSP)、密钥存储提供者(KSP)或迷你驱动程序。

以下用于Windows系统的智能卡和中间件组合已由Citrix作为其类型的代表性示例进行了测试。但是，也可以使用其他智能卡和中间件。有关Citrix兼容智能卡和中间件的更多信息，请参阅//m.giftsix.com/ready．

有关其他类型设备使用智能卡的信息，请参阅该设备的Citrix Workspace应用程序文档。

远程PC访问

智能卡仅支持远程访问运行Windows 10、Windows 8或Windows 7的办公pc。

使用远程PC访问对以下智能卡进行了测试：

快速智能卡

快速智能卡是对现有的基于HDX PC/ sc的智能卡重定向的改进。在高延迟WAN情况下使用智能卡可以提高性能。

在当前支持Windows VDAs的主机上默认启用快速智能卡。若要在主机端禁用快速智能卡(例如用于诊断)，请将“禁用加密重定向”注册表设置为任何非零值:

HKLM\SOFTWARE\Citrix\SmartCard Cryptographics RedirectionDisable（DWORD）<--需要复制-->

在客户端，要启用快速智能卡，请在default.ica关联店面站点的文件：

[WFClient] SmartCardCryptographicRedirection =

限制：

• 只有Citrix Receiver for Windows支持快速智能卡。如果在default.ica文件中配置快速智能卡，则不适用于Windows的Citrix接收器仍可以使用现有PC/SC重定向。
• 快速智能卡支持的唯一双跳场景是ICA >在两跳上都启用了快速智能卡的ICA。因为快速智能卡不支持ICA > RDP双跳场景，这些场景不起作用。
• 快速智能卡不支持下一代加密技术。因此，fast智能卡不支持椭圆曲线密码（ECC）智能卡。
• Fast智能卡仅支持只读密钥容器操作。
• 快速智能卡不支持更改智能卡密码。

智能卡阅读器的类型

智能卡读取器可以内置在用户设备中，或者单独连接到用户设备（通常通过USB或蓝牙）。支持符合USB芯片/智能卡接口设备（CCID）规范的接触式读卡器。它们包含用户插入智能卡的插槽或刷卡器。德国Kreditwirtschaft（DK）标准定义了四类联系人读卡器。

• 1类智能卡读卡器是最常见的，通常只包含一个插槽。支持1级智能卡读卡器，通常使用随操作系统提供的标准CCID设备驱动程序。
• 2类智能卡读卡器还包含用户设备无法访问的安全键盘。2类智能卡读卡器可以内置在带有集成安全键盘的键盘中。对于2级智能卡读卡器，请联系您的Citrix代表；可能需要特定于读卡器的设备驱动程序来启用安全键盘功能。
• 类别3智能卡阅读器也包含一个安全显示。不支持类别3智能卡读卡器。
• 第4类智能卡读卡器还包含一个安全交易模块。不支持第4类智能卡读卡器。

注:

智能卡读卡器类与USB设备类无关。

智能卡读卡器必须在用户设备上安装相应的设备驱动程序。

有关支持的智能卡读卡器的信息，请参阅您正在使用的Citrix Workspace应用程序的文档。在Citrix Workspace应用程序文档中，支持的版本通常列在智能卡文章或系统需求文章中。

用户体验

智能卡支持集成到Citrix虚拟应用程序和台式机中，使用默认启用的特定ICA/HDX智能卡虚拟通道。

重要提示：请勿对智能卡读卡器使用通用USB重定向。默认情况下，智能卡读卡器将禁用此功能，如果启用，则不支持此功能。

在同一用户设备上可以使用多个智能卡和多个读卡器，但在使用直通认证时，用户启动虚拟桌面或应用时，只需要插入一张智能卡即可。当在应用程序中使用智能卡时(例如，用于数字签名或加密功能)，可能会出现插入智能卡或输入密码的额外提示。如果同时插入多张智能卡，就会发生这种情况。

• 当智能卡已在阅读器内时，若提示用户插入智能卡，则应选择“取消”。
• 如果提示用户输入PIN，则应再次输入PIN。

您可以使用卡管理系统或供应商实用程序重置pin。

重要的是:

在Citrix虚拟应用程序或Citrix虚拟桌面会话中，不支持与Microsoft远程桌面连接应用程序一起使用智能卡。这有时被描述为“双跳”使用。

在部署智能卡之前

• 获取智能卡读卡器的设备驱动程序，并安装在用户设备上。许多智能卡阅读器可以使用微软提供的CCID设备驱动程序。
• 从智能卡供应商处获取设备驱动程序和加密服务提供商（CSP）软件，并将其安装在用户设备和虚拟桌面上。驱动程序和CSP软件必须与Citrix虚拟应用程序和台式机兼容；检查供应商文档的兼容性。对于使用支持和使用微型驱动程序型号的智能卡的虚拟桌面，智能卡微型驱动程序应自动下载，但您可以从http://catalog.update.microsoft.com或者从你的供应商那里。此外，如果PKCS#11中间件是必需的，从卡片供应商那里获得它。
• 重要提示：Citrix建议您在安装Citrix软件之前在物理计算机上安装并测试驱动程序和CSP软件。
• 将Citrix Receiver for Web URL添加到使用Windows 10的Internet Explorer中的智能卡的用户的受信任站点列表中。在Windows 10中，对于受信任的站点，默认情况下Internet Explorer不会在受保护模式下运行。
• 确保正确配置了您的公钥基础设施(PKI)。这包括确保为Active Directory环境正确配置了证书到帐户的映射，并能够成功执行用户证书验证。
• 确保您的部署满足智能卡使用的其他Citrix组件的系统要求，包括Citrix Workspace应用程序和StoreFront。
• 确保访问站点中的以下服务器：
  • 与智能卡上的登录证书相关联的用户帐户的Active Directory域控制器
  • 传送控制器
  • Citrix店面
  • Citrix网关/Citrix访问网关10.x
  • 的共识
  • (远程PC接入可选):Microsoft Exchange Server

启用智能卡

步骤1。根据您的发卡政策向用户发卡。

步骤2。（可选）设置智能卡以允许用户远程访问PC。

第三步。安装并配置用于智能卡远程处理的传送控制器和店面（如果尚未安装）。

步骤4。启用StoreFront以使用智能卡。具体操作请参见StoreFront文档中的“配置智能卡身份验证”。

第五步。启用Citrix智能卡网关/接入网关。具体操作请参见NetScaler文档中的“配置认证授权”和“配置智能卡通过Web接口接入”。

第六步。启用智能卡使用VDAs。

• 确保VDA有所需的应用程序和更新。
• 安装中间件。
• 设置智能卡远程，使智能卡数据在用户设备上的Citrix Workspace应用程序与虚拟桌面会话之间进行通信。

第七步。启用使用智能卡的用户设备(包括域加入或非域加入机器)。有关详细信息，请参阅StoreFront文档中的配置智能卡身份验证。

• 将证书颁发机构的根证书和颁发证书的颁发机构证书导入到设备的密钥库中。
• 安装供应商的智能卡中间件。
• 安装和配置Citrix工作区应用程序，确保导入icclient。adm使用组策略管理控制台，并启用智能卡认证。

第八步。测试部署。通过使用测试用户的智能卡启动虚拟桌面，确保部署配置正确。测试所有可能的访问机制(例如，通过Internet Explorer和Citrix Workspace应用程序访问桌面)。

跟踪智能卡读卡器插入计数

通过智能卡远程，您可以使用SCardGetStatusChange函数跟踪智能卡被插入或从读卡器中取出的次数。该函数更新一个SCARD_READERSTATE数据结构数组——每个监视的阅读器一个。每个SCARD_READERSTATE的dwEventState字段的高字(16位)包含读取器计数。有关更多信息，请参阅Microsoft的文章SCardGetStatusChangeA函数和SCARD_READERSTATEA结构．

这个读卡器插入计数报告默认情况下禁用该设置。要启用跟踪，请添加以下注册表项：

HKEY\ U本地\计算机\软件\ Citrix\智能卡

名称：EnableReaderInsertCountReporting

类型:双字

值：任何非零值

当会话断开时，计数将重置为零。

读卡器插入计数报告与第三方智能卡中间件兼容。