Smartcardauthentifizierung konfigurieren
Sie können Citrix Gateway so konfigurieren, dass eine kryptografische Smartcard zur Authentifizierung von Benutzern verwendet wird.
Um eine Smartcard für die Verwendung mit Citrix Gateway zu konfigurieren, müssen Sie Folgendes tun:
- Erstellen Sie eine Richtlinie zur Zertifikatauthentifizierung. Weitere Informationen finden Sie unter Konfigurieren der Clientzertifikatauthentifizierung.
- Binden Sie die Authentifizierungsrichtlinie an einen virtuellen Server.
-
Fügen Sie das Stammzertifikat der Zertifizierungsstelle (CA), die die Clientzertifikate ausstellt, zu Citrix Gateway hinzu. Weitere Informationen finden Sie unter To install a root certificate on Citrix Gateway.
Wichtig: Wenn Sie dem virtuellen Server das Stammzertifikat für die Smartcard-Authentifizierung hinzufügen, müssen Sie das Zertifikat aus dem Dropdownfeld CA-Zertifikat auswählen auswählen , wie in der folgenden Abbildung dargestellt. Abbildung 1. Hinzufügen eines Stammzertifikats für die Smartcard-Authentifizierung
Nachdem Sie das Clientzertifikat erstellt haben, können Sie das als Flash bezeichnete Zertifikat auf die Smartcard schreiben. Wenn Sie diesen Schritt abgeschlossen haben, können Sie die Smartcard testen.
Wenn Sie das Webinterface für die Smartcard-Passthrough-Authentifizierung konfigurieren und eine der folgenden Bedingungen erfüllt ist, schlägt die einmalige Anmeldung am Webinterface fehl:
- Wenn Sie die Domain auf der Registerkarte „Veröffentlichte Anwendungen“ auf mydomain.com statt auf mydomain festlegen.
- Wenn Sie den Domainnamen nicht auf der Registerkarte Veröffentlichte Anwendungen festlegen und den Befehl wi-sso-split-upn ausführen und den Wert auf 1 setzen. In diesem Fall enthält der UserPrincipalName den Domainnamen „mydomain.com“. „
Sie können die Smartcard-Authentifizierung verwenden, um den Anmeldevorgang für Ihre Benutzer zu rationalisieren und gleichzeitig die Sicherheit des Benutzerzugriffs auf Ihre Infrastruktur zu verbessern. Der Zugriff auf das interne Unternehmensnetzwerk ist durch die zertifikatbasierte Zweifaktorauthentifizierung mit der Public Key-Infrastruktur geschützt. Private Schlüssel werden über die Hardware geschützt und verlassen nie die Smartcard. Die Benutzer können auf ihre Desktops und Anwendungen von unterschiedlichen Geräten des Unternehmens aus bequem mit Smartcard und PIN zugreifen.
Sie können Smartcards für die Benutzerauthentifizierung über StoreFront bei von Citrix Virtual Apps and Desktops bereitgestellten Desktops und Anwendungen verwenden. Smartcard-Benutzer, die sich bei StoreFront anmelden, können auch auf Anwendungen zugreifen, die von Citrix Endpoint Management bereitgestellt werden. Benutzer müssen sich jedoch erneut authentifizieren, um auf Endpoint Management-Webanwendungen zuzugreifen, die Clientzertifikatauthentifizierung verwenden.
Weitere Informationen finden Sie unter Konfigurieren der Smartcard-Authentifizierung in der StoreFront-Dokumentation.
Konfigurieren der Smartcard-Authentifizierung mit sicheren ICA-Verbindungen
Benutzer, die sich anmelden und eine sichere ICA-Verbindung mithilfe einer Smartcard mit auf Citrix Gateway konfiguriertem Single Sign-On herstellen, erhalten möglicherweise zu zwei verschiedenen Zeiten Aufforderungen zur Eingabe ihrer persönlichen Identifikationsnummer (PIN): beim Anmelden und beim Versuch, eine veröffentlichte Ressource zu starten. Diese Situation tritt auf, wenn der Webbrowser und Citrix Receiver denselben virtuellen Server verwenden, der für die Verwendung von Clientzertifikaten konfiguriert ist. Citrix Receiver teilt weder einen Prozess noch eine SSL-Verbindung (Secure Sockets Layer) mit dem Webbrowser. Wenn die ICA-Verbindung den SSL-Handshake mit Citrix Gateway abschließt, ist das Clientzertifikat daher ein zweites Mal erforderlich.
Um zu verhindern, dass Benutzer die zweite PIN-Eingabeaufforderung erhalten, müssen Sie zwei Einstellungen ändern:
- Die Clientauthentifizierung auf dem virtuellen VPN-Server muss deaktiviert sein.
- SSL-Neuverhandlungen müssen aktiviert sein.
Binden Sie nach dem Konfigurieren des virtuellen Servers einen oder mehrere STA-Server an den virtuellen Server, wie unter Konfigurieren der Citrix Gateway-Einstellungen im Webinterface 5.3beschrieben.
Möglicherweise möchten Sie auch die Smartcard-Authentifizierung testen.
Deaktivieren der Clientauthentifizierung:
- Erweitern Sie im Konfigurationsprogramm auf der Registerkarte Konfiguration im Navigationsbereich Citrix Gateway und klicken Sie dann auf Virtuelle Server.
- Wählen Sie im Hauptdetailbereich den entsprechenden virtuellen Server aus, und klicken Sie dann auf Bearbeiten.
- Klicken Sie im Bereich Erweiterte Optionen auf SSL-Parameter.
- Deaktivieren Sie das Kontrollkästchen Clientauthentifizierung.
- Klicken Sie auf Fertig.
So aktivieren Sie die SSL-Neuverhandlung:
- Navigieren Sie mithilfe des Konfigurationsdienstprogramms auf der Registerkarte Konfiguration zu Traffic Management, und klicken Sie dann auf SSL.
- Klicken Sie im Hauptbereich auf Erweiterte SSL-Einstellungen ändern.
- Wählen Sie im Menü SSL-Neuverhandlung verweigern die Option NEIN aus.
So testen Sie die Smartcard-Authentifizierung:
- Verbinden Sie die Smartcard mit dem Benutzergerät.
- Öffnen Sie Ihren Webbrowser und melden Sie sich bei Citrix Gateway an.