Gateway

配置智能卡身份验证

您可以将 NetScaler Gateway 配置为使用加密智能卡对用户进行身份验证。

要使用 NetScaler Gateway 配置智能卡,您需要执行以下操作:

  • 创建证书身份验证策略。有关详细信息,请参阅 配置客户端证书验证
  • 将身份验证策略绑定到虚拟服务器。
  • 将颁发客户端证书的证书颁发机构 (CA) 的根证书添加到 NetScaler Gateway。有关详细信息,请参阅在 NetScaler Gateway 上安装根证书

    重要:将根证书添加到虚拟服务器以进行智能卡身份验证时,必须从选择 CA 证书列表中选择证书

    添加根证书

创建客户端证书后,您可以将称为闪存的证书写入智能卡。完成该步骤后,您可以测试智能卡。

如果为智能卡直通身份验证配置 Web Interface,如果存在以下任一情况,单点登录 Web Interface 将失败:

  • 如果改为将“已发布的应用程序”选项卡上的域设置为 mydomain.com 而非 mydomain
  • 如果未在“已发布的应用程序”选项卡上设置域名,并且如果运行将值设置为 1 的命令 wi-sso-split-upn。在这种情况下,用户主名称包含域名“mydomain.com”。

您可以使用智能卡身份验证来简化用户的登录过程,同时还可以增强用户访问基础架构的安全性。对内部企业网络的访问受基于证书的使用公钥基础结构的双重身份验证所保护。私钥受硬件控制保护,离不开智能卡。使用智能卡和 PIN,用户可以方便地从一系列的企业设备访问其桌面和应用程序。

可以使用智能卡实现 StoreFront 对用户的身份验证,以访问 Citrix Virtual Apps and Desktops 提供的桌面和应用程序。登录 StoreFront 的智能卡用户还可以访问 NetScaler Endpoint Management 提供的应用程序。但是,用户必须再次进行身份验证,才能访问使用客户端证书身份验证的 Endpoint Management

有关更多信息,请参阅 StoreFront 文档中的 配置智能卡身份验证

使用安全 ICA 连接配置智能卡身份验证

使用 NetScaler Gateway 上配置了单点登录的智能卡登录并建立安全 ICA 连接的用户可能会收到两次提示输入其个人标识号 (PIN) 的提示。

  • 登录时和尝试启动已发布资源时。如果 Web 浏览器和 Citrix Workspace 应用程序使用的虚拟服务器配置为使用客户端证书,则会出现这种情况。
  • Citrix Workspace 应用程序不会与 Web 浏览器共享进程或安全套接字层 (SSL) 连接。因此,当 ICA 连接完成与 NetScaler Gateway 的 SSL 握手时,第二次需要客户端证书。

要防止用户收到第二个 PIN 提示,您必须更改两个设置:

  • 必须禁用 VPN 虚拟服务器上的客户端身份验证。
  • 必须启用 SSL 重新协商。

配置虚拟服务器后,将一个或多个 STA 服务器绑定到虚拟服务器,如在 Web Interface 5.3 中配置 NetScaler Gateway 设置中所述。

您可能还想测试智能卡身份验证。

要禁用客户端身份验证:

  1. 在配置实用程序的“配置”选项卡的导航窗格中,展开 NetScaler Gateway,然后单击“虚拟服务器”。
  2. 在主详细信息窗格中选择相关的虚拟服务器,然后单击编辑。
  3. 在“高级选项”窗格中,单击“SSL 参数”。
  4. 清除“客户端身份验证”复选框。
  5. 单击 Done(完成)。

要启用 SSL 重新协商:

  1. 使用配置实用程序,从“配置”选项卡中导航到“流量管理”,然后单击“SSL”。
  2. 在主面板中,单击更改高级 SSL 设置。
  3. 从“拒绝 SSL 重新协商”菜单中,选择“否”。

要测试智能卡身份验证:

  1. 将智能卡连接到用户设备。
  2. 打开 Web 浏览器并登录 NetScaler Gateway。
配置智能卡身份验证