智能卡

本文描述的指南中支持智能卡和等效技术。在思杰虚拟应用程序或思杰虚拟桌面中使用智能卡:

• 了解您的机构关于智能卡使用的安全政策。例如，这些政策可能会规定智能卡如何发放以及用户必须如何保护它们。这些策略的某些方面可能需要在Citrix虚拟应用程序或Citrix虚拟桌面环境中重新评估。
• 确定哪些用户设备类型、操作系统和发布的应用程序将与智能卡一起使用。
• 熟悉智能卡技术和选定的智能卡供应商的硬件和软件。
• 了解如何在分布式环境中部署数字证书。

注意:

不支持智能卡注册快速的智能卡。当禁用快速智能卡时，智能卡注册可能会工作，但这取决于智能卡和中间件的类型。联系您的智能卡和中间件供应商，了解他们与Citrix虚拟应用程序和桌面的集成以及通过虚拟会话支持智能卡注册的信息。

智能卡的种类

企业和消费智能卡具有相同的尺寸、电连接器，适用于相同的智能卡读卡器。

企业使用的智能卡包含数字证书。这些智能卡支持Windows登录，也可用于应用程序的数字签名和加密文件和电子邮件。Citrix虚拟应用程序和桌面支持这些用途。

供消费者使用的智能卡不包含数码证书;它们包含着一个共享的秘密。这些智能卡可以支持支付(如芯片签名或芯片密码信用卡)。它们不支持Windows登录或典型的Windows应用程序。使用这些智能卡需要专门的Windows应用程序和合适的软件基础设施(包括，例如，到支付卡网络的连接)。有关在Citrix Virtual Apps或Citrix Virtual desktop上支持这些专用应用程序的信息，请与Citrix代表联系。

对于企业智能卡，有可以以类似方式使用的兼容等价物。

• 相当于智能卡的USB令牌直接连接到USB端口。这些USB令牌通常有一个USB闪存盘那么大，但也可以小到手机中的SIM卡。它们是智能卡和USB读卡器的组合。
• 使用Windows可信平台模块(TPM)的虚拟智能卡显示为智能卡。Windows 8和Windows 10支持这些虚拟智能卡，使用Citrix Workspace应用程序(最低版本为Citrix Receiver 4.3)。
  • XenApp和XenDesktop 7.6 FP3之前版本的Citrix Virtual Apps和desktop(原XenApp和XenDesktop)不支持虚拟智能卡。
  • 有关虚拟智能卡的更多信息，请参见虚拟智能卡概述。

  注意:术语“虚拟智能卡”也用于描述存储在用户计算机上的数字证书。严格来说，这些数字证书并不等同于智能卡。

Citrix虚拟应用程序和桌面智能卡支持基于微软个人计算机/智能卡(PC/SC)标准规范。最低要求是智能卡和智能卡设备必须由底层Windows操作系统支持，并必须得到微软Windows硬件质量实验室(WHQL)的批准，才能在运行合格Windows操作系统的计算机上使用。有关硬件PC/SC遵从性的其他信息，请参阅Microsoft文档。其他类型的用户设备可能符合PS/SC标准。有关更多信息，请参阅Citrix准备程序。

通常，每个供应商的智能卡或同等产品都需要单独的设备驱动程序。然而，如果智能卡符合诸如NIST个人身份验证(PIV)标准等标准，则有可能对一系列智能卡使用单一设备驱动程序。设备驱动程序必须同时安装在用户设备和虚拟交付代理(VDA)上。设备驱动程序通常作为可从Citrix合作伙伴获得的智能卡中间件包的一部分提供;智能卡中间件包提供高级功能。设备驱动程序也可以被描述为加密服务提供者(CSP)、密钥存储提供者(KSP)或迷你驱动程序。

Citrix测试了以下用于Windows系统的智能卡和中间件组合，作为它们类型的代表性示例。但是，也可以使用其他智能卡和中间件。有关与citrix兼容的智能卡和中间件的更多信息，请参见//m.giftsix.com/ready。

有关智能卡与其他类型设备的使用情况的信息，请参阅该设备的Citrix Workspace应用程序文档。

远程电脑访问

智能卡仅支持远程访问运行Windows 10、Windows 8或Windows 7的办公pc。

以下智能咭已使用远程电脑接达功能进行测试:

快速的智能卡

快速智能卡是对现有的基于HDX PC/ sc的智能卡重定向的改进。在高延迟广域网环境中使用智能卡时，它可以提高性能。当延迟很高时，性能提升可能会非常显著(例如，Windows快速智能卡登录只需15秒，而基于PC/ sc的智能卡重定向则需要1分钟以上)。

在当前支持Windows vda的主机上默认启用快速智能卡。要在主机端禁用快速智能卡(例如出于诊断目的)，请将“禁用加密重定向”注册表设置为任何非零值:

HKLM\SOFTWARE\Citrix\智能卡密码重定向禁用(DWORD) 

在客户端，启用快速智能卡时，需要在配置文件中添加“SmartCardCryptographicRedirection ICA”参数default.ica有关StoreFront网站的文件:

[WFClient] SmartCardCryptographicRedirection =

此外，在客户端，可以通过以下注册表设置强制启用或强制禁用快速智能卡(例如，用于诊断目的):

• HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA客户端\智能卡\ForceEnableCryptographicRedirection(作为非零DWORD)

或

• HKLM\SOFTWARE[\WOW6432Node]\Citrix\ICA客户端\智能卡\ forcedisablecryptographic重定向(作为非零DWORD)

必须指定32位注册表单元(使用WOW6432Node)，如果客户端机器是64位的。

限制:

• 只有思杰工作空间应用程序Windows支持快速智能卡。如果在默认情况下配置快速智能卡。非Windows的Citrix Workspace应用程序仍然使用现有的PC/SC重定向。
• 快速智能卡支持的唯一双跳场景是ICA > ICA，在两个跳上都使能了快速智能卡。因为快速智能卡不支持ICA > RDP双跳场景，所以这些场景不适用。
• 快速智能卡不支持下一代加密技术。因此，快速智能卡不支持ECC (Elliptic Curve Cryptography)智能卡。
• 快速智能卡只支持只读密钥容器操作。
• 快速智能卡不支持更改智能卡密码。

从VDA版本2203和Citrix Workspace应用程序版本2202开始，适用于Windows(或更高版本)的快速智能卡与加密下一代(CNG)兼容。此外，ECC (Elliptic Curve Cryptography)智能卡支持以下曲线:P-256, P-384, P-521位，适用于ECDSA和ECDH。

从VDA版本2203开始，快速智能卡增加了在来自同一用户登录会话的应用程序之间缓存智能卡PIN的能力。例如,如果会话销缓存时，当使用Word签署文档时，Word使用已经缓存的智能卡PIN(提交给Outlook)。会话销缓存通过减少用户输入智能卡密码的次数，帮助用户体验。此外，如果使用智能卡登录VDA, Windows智能卡登录PIN码可选择保存到会话缓存销。这可以进一步改善用户体验。

会话销缓存默认禁用。它可以通过VDA上的以下注册表设置来启用和控制:

在HKLM \ SOFTWARE \ Citrix \智能卡:

• EnablePinSessionCache作为DWORD(非零启用)
• EnableLogonPinSessionCache作为DWORD(非零启用)
• PinSessionCacheEntryStaleTimeout作为DWORD(条目失效前的秒数，默认为1小时)

智能卡阅读器的种类

智能卡读卡器可以内置到用户设备中，也可以单独连接到用户设备上(通常通过USB或蓝牙)。支持符合CCID (USB Chip/Smart card Interface Devices)规范的联系卡读卡器。它们包含一个插槽或滑动，用户可以将智能卡插入其中。Deutsche Kreditwirtschaft (DK)标准定义了四类联系卡阅读器。

• 第1类智能卡阅读器是最常见的，通常包含一个插槽。支持第1类智能卡阅读器，通常与操作系统提供的标准CCID设备驱动程序。
• 第2类智能卡阅读器还包含用户设备无法访问的安全小键盘。第2类智能卡读卡器可内置于具有集成安全键盘的键盘内。对于第2类智能卡读卡器，请与您的思杰代表联系;可能需要特定于阅读器的设备驱动程序来启用安全键盘功能。
• 第3类智能卡读卡器还包含一个安全显示器。不支持第3类智能卡阅读器。
• 第4类智能卡阅读器还包含一个安全事务模块。不支持第4类智能卡阅读器。

注意:

智能卡阅读器类与USB设备类无关。

智能卡阅读器必须在用户设备上安装相应的设备驱动程序。

有关支持的智能卡读卡器的信息，请参阅正在使用的Citrix Workspace应用程序的文档。在Citrix Workspace应用程序文档中，支持的版本在智能卡文章或系统需求文章中列出。

用户体验

智能卡支持集成到Citrix虚拟应用程序和桌面中，使用默认启用的特定ICA/HDX智能卡虚拟通道。

注意:不要使用智能卡阅读器的通用USB重定向。智能卡阅读器默认禁用此功能，如果启用则不支持。

同一用户设备上可以使用多个智能卡和多个读卡器，但如果使用直通认证，则用户在启动虚拟桌面或应用程序时只需插入一个智能卡。当在应用程序中使用智能卡时(例如，用于数字签名或加密功能)，可能会出现插入智能卡或输入PIN的其他提示。如果同时插入多于一张智能卡，就会发生这种情况。

• 如果智能卡已经在读卡器中，而提示用户插入智能卡，则用户必须选择“取消”。
• 如果用户被提示输入PIN，他们必须重新输入PIN。

您可以使用卡片管理系统或供应商实用程序重置pin。

重要的是:

在Citrix Virtual Apps或Citrix Virtual Desktop会话中，不支持使用带有Microsoft远程桌面连接应用程序的智能卡。这有时被描述为“双跳”用法。

使用智能卡前

• 获取智能卡阅读器的设备驱动程序，并将其安装在用户设备上。许多智能卡阅读器可以使用微软提供的CCID设备驱动程序。
• 从智能卡厂商获取设备驱动程序和加密服务提供商(CSP)软件，并将它们安装在用户设备和虚拟桌面上。驱动程序和CSP软件必须兼容Citrix Virtual Apps和desktop;查看供应商文档以了解兼容性。对于支持并使用minidriver模型的智能卡虚拟桌面，智能卡minidriver可以自动下载，也可以从以下网站获取http://catalog.update.microsoft.com或者从你的供应商那里。另外，如果需要PKCS#11中间件，请从卡供应商处获得它。
• 重要提示:Citrix建议您在安装Citrix软件之前在物理计算机上安装和测试驱动程序和CSP软件。
• 为在Windows 10的Internet Explorer中使用智能卡的用户将Citrix Receiver for Web URL添加到“受信任站点”列表中。在Windows 10中，对于受信任的站点，ie浏览器默认不以保护模式运行。
• 确保您的公钥基础设施(PKI)配置正确。这包括确保为Active Directory环境正确配置了证书到帐户的映射，并确保能够成功执行用户证书验证。
• 确保您的部署满足与智能卡一起使用的其他Citrix组件的系统需求，包括Citrix Workspace应用程序和StoreFront。
• 确保您的网站可以访问以下服务器:
  • 与智能卡上的登录证书相关联的用户帐户的Active Directory域控制器
  • 交付控制器
  • Citrix店面
  • Citrix Gateway/Citrix接入网关10.x
  • 的共识
  • (远程PC访问可选):Microsoft Exchange Server

启用智能卡

步骤1。根据您的发卡政策向用户发放智能卡。

步骤2。(可选)设置智能卡，使用户能够远程PC接入。

步骤3。安装和配置交付控制器和StoreFront(如果尚未安装)用于智能卡远程处理。

步骤4。启用StoreFront智能卡使用。具体操作请参见StoreFront文档中的“配置智能卡认证”章节。

第5步。启用智能卡使用的Citrix Gateway/Access Gateway。具体操作请参见NetScaler文档中的“配置认证授权”和“配置智能卡通过Web接口接入”。

步骤6。启用VDAs以使用智能卡。

• 确保VDA有所需的应用程序和更新。
• 安装中间件。
• 设置智能卡远程，使智能卡数据能够在用户设备上的Citrix Workspace应用程序和虚拟桌面会话之间通信。

步骤7。启用用户设备(包括域加入或非域加入的机器)以使用智能卡。详细信息请参见StoreFront文档中的“配置智能卡身份验证”。

• 将证书颁发机构根证书和颁发证书颁发机构证书导入到设备的密钥存储库中。
• 安装供应商的智能卡中间件。
• 为Windows安装和配置Citrix Workspace应用程序，确保导入icclient。使用组策略管理控制台，并启用智能卡认证。

步骤8。测试部署。通过使用测试用户的智能卡启动虚拟桌面，确保正确配置了部署。测试所有可能的访问机制(例如，通过Internet Explorer和Citrix Workspace应用程序访问桌面)。

追踪智能卡读卡器插入次数

通过智能卡远程处理，您可以使用SCardGetStatusChange功能跟踪智能卡从阅读器插入或删除的次数。该函数更新一个SCARD_READERSTATE数据结构数组—每个您监视的读取器一个。每个SCARD_READERSTATE的dwEventState字段的高字(16位)包含阅读器计数。有关更多信息，请参阅Microsoft文章SCardGetStatusChangeA函数而且SCARD_READERSTATEA结构。

的阅读器插入计数报告“设置”默认是禁用的。要启用跟踪，请添加以下注册表项:

HKEY_LOCAL_MACHINE \ \ Citrix \智能卡软件

名称:EnableReaderInsertCountReporting

类型:双字

取值:任何非零值

当会话断开时，计数重置为零。

阅读器插入计数报告与第三方智能卡中间件兼容。