Gateway

Configurar la autenticación con tarjeta inteligente

Puede configurar NetScaler Gateway para que utilice una tarjeta inteligente criptográfica para autenticar a los usuarios.

Para configurar una tarjeta inteligente con NetScaler Gateway, debe hacer lo siguiente:

  • Cree una directiva de autenticación de certificados. Para obtener más información, consulte Configuración de la autenticación de certificados de cliente.
  • Enlazar la directiva de autenticación a un servidor virtual.
  • Agregue el certificado raíz de la entidad emisora de certificados (CA) que emite los certificados de cliente a NetScaler Gateway. Para obtener más información, consulte Para instalar un certificado raíz en NetScaler Gateway.

    Importante: Al agregar el certificado raíz al servidor virtual para la autenticación con tarjeta inteligente, debe seleccionar el certificado en la lista Seleccionar certificado de CA.

    Agregar certificado raíz

Después de crear el certificado de cliente, puede escribir el certificado, conocido como flash, en la tarjeta inteligente. Cuando complete este paso, podrá probar la tarjeta inteligente.

Si configura la interfaz web para la autenticación de acceso directo con tarjeta inteligente, si se da alguna de las siguientes condiciones, se produce un error en el inicio de sesión único en la interfaz web:

  • Si establece el dominio en la ficha Aplicaciones publicadas como mydomain.com en lugar de mydomain.
  • Si no establece el nombre de dominio en la ficha Aplicaciones publicadas y si ejecuta el comando wi-sso-split-upn al establecer el valor en 1. En este caso, UserPrincipalName contiene el nombre de dominio “mydomain.com”.

Puede utilizar la autenticación con tarjeta inteligente para optimizar el proceso de inicio de sesión de sus usuarios y, al mismo tiempo, mejorar la seguridad del acceso de los usuarios a su infraestructura. El acceso a la red corporativa interna está protegido por la autenticación de dos factores basada en certificados mediante la infraestructura de clave pública. Las claves privadas están protegidas por controles de hardware y nunca salen de la tarjeta inteligente. Los usuarios obtienen la comodidad de acceder a sus escritorios y aplicaciones desde una serie de dispositivos de la empresa con sus tarjetas inteligentes y sus PIN.

Puede usar tarjetas inteligentes para la autenticación de usuarios a través de StoreFront en los escritorios y las aplicaciones que proporcionan Citrix Virtual Apps and Desktops. Los usuarios de tarjetas inteligentes que inicien sesión en StoreFront también pueden acceder a las aplicaciones proporcionadas por NetScaler Endpoint Management. Sin embargo, los usuarios deben autenticarse de nuevo para acceder a las aplicaciones web de Endpoint Management que utilizan la autenticación de certificados de cliente.

Para obtener más información, consulte Configurar la autenticación con tarjeta inteligente en la documentación de StoreFront.

Configuración de la autenticación de tarjeta inteligente con conexiones ICA seguras

Los usuarios que inician sesión y establecen una conexión ICA segura mediante una tarjeta inteligente con inicio de sesión único configurado en NetScaler Gateway pueden recibir dos solicitudes de su número de identificación personal (PIN).

  • Al iniciar sesión y al intentar iniciar un recurso publicado. Esta situación se produce si el explorador web y la aplicación Citrix Workspace utilizan el mismo servidor virtual que está configurado para usar certificados de cliente.
  • La aplicación Citrix Workspace no comparte ningún proceso ni una conexión de Secure Sockets Layer (SSL) con el explorador web. Por lo tanto, cuando la conexión ICA completa el protocolo de enlace SSL con NetScaler Gateway, se requiere el certificado de cliente por segunda vez.

Para evitar que los usuarios reciban la segunda solicitud de PIN, tiene que cambiar dos configuraciones:

  • La autenticación de cliente en el servidor virtual de VPN debe estar inhabilitada.
  • La renegociación SSL debe estar habilitada.

Después de configurar el servidor virtual, vincule uno o varios servidores STA al servidor virtual, como se describe en Configuración de los parámetros de NetScaler Gateway en la Interfaz Web 5.3.

Es posible que también quieras probar la autenticación con tarjeta inteligente.

Para inhabilitar la autenticación de cliente:

  1. En la utilidad de configuración, en la pestaña Configuración, en el panel de navegación, expanda NetScaler Gateway y, a continuación, haga clic en Servidores virtuales.
  2. Seleccione el servidor virtual correspondiente en el panel de detalles principal y, a continuación, haga clic en Modificar.
  3. En el panel Opciones avanzadas, haga clic en Parámetros SSL.
  4. Desactive la casilla Autenticación de cliente.
  5. Haga clic en Listo.

Para habilitar la renegociación SSL:

  1. Con la utilidad de configuración, en la ficha Configuración, vaya a Administración del tráfico y, a continuación, haga clic en SSL.
  2. En el panel principal, haga clic en Cambiar la configuración avanzada de SSL.
  3. En el menú Denegar renegociación de SSL, seleccione NO.

Para probar la autenticación con tarjeta inteligente:

  1. Conecte la tarjeta inteligente al dispositivo del usuario.
  2. Abra el explorador web e inicie sesión en NetScaler Gateway.
Configurar la autenticación con tarjeta inteligente