最近用户日常使用智能卡的情况越来越多, 方便用户在线签署文件, 方便用户在登录时在本地设备上验证… 在本文中，我们将展示在Citrix环境中使用智能卡验证用户所需的配置. 我们将在此案例中使用Izenpe提供的用于用户电子签名的卡片,

用户在每台设备上都有一个读卡器 (USB类型, 集成在键盘中…), 管理员在其内部的活动目录中生成用户证书，并在证书颁发机构中存储到卡片上. Deberemos tener corriendo ya dicha funcionad en nuestro Directorio Activo de Microsoft y los usuarios se pueden validar de forma correcta con ella.

Deberemos instalar los drivers y utilidades/middleware necesarias para dichos Smart Card en nuestros servidores XenApp, deberemos tener dichos drivers actualizados así como los hotfix en nuestros XA. El servidor que corra Web Interface deberá ser versión 5.x y éste deberá pertenecer al dominio.

Configuraremos una directiva de equipo que se aplique a los XA donde indicaremos que se confíe en las solicitudes XML.

Agregaremos el servicio de rol en el WI ‘Autenticación de asignaciones de certificado de cliente’ dentro de IIS.

Habilitaremos SSL al sitio web si es que no lo tiene, asignando un certificado válido para el sitio.

Habilitaremos la “Autenticación de certificados de cliente de Active Directory”

Si queremos unicamente autenticación de Smart Card, en la configuración SSL del sitio WI deberemos ‘Requerir SSL’ y además ‘Aceptar’ certificados del cliente; en caso de quere Pass-through de la autenticación indicaremos ‘Requerir SSL’ & ‘Omitir’ certificados del cliente.

En nuestro sitio WI deberemos indicar el método de autenticación para los usuarios, si queremos que se validen con ‘Tarjeta inteligente’ o queremos que haga el ‘Paso de credenciales con tarjeta inteligente’.

另外, sería recomendable sobre las propiedades de Movilidad establecer qué sucederá cuando los usuarios retiren su tarjeta inteligente del lector de tarjetas, si permitirle una desconexión de su sesión o cerrarle la sesión.

Con la plantilla administrativa ‘icaclient.adm’ habilitaremos ‘Allow Smart card authentication’ & ‘Use pass-through authentication for PIN’ en todos nuestros clientes de forma centralizada, además podremos ir aplicandolo por unidades organizativas si ya además les redirigimos a una dirección de Web Interface en concreto importando estas líneas en un fichero .adm (funciona para Online Plugin >= a v. 11):

CLASS MACHINE
类别 “Citrix 组件”
类别 “Citrix online plug-in”
类别 “PNagent URL”
政策 “PNAgent URL”
KEYNAME “SOFTWARECitrixPNAgent”
EXPLAIN “Sets the PNAgent Server”
部分 “Webinterface Server” 编辑文本
VALUENAME “Config URL”
违约 “HTTP 协议://urltopnagentwi”
结束部分
结束策略
结束类别
结束类别
结束类别

类 USER
类别 “Citrix 组件”
类别 “Citrix online plug-in”
类别 “PNagent URL”
政策 “PNAgent URL”
KEYNAME “软件CitrixProgram Neighborhood Agent”
EXPLAIN “Sets the PNAgent Server”
部分 “Webinterface Server” 编辑文本
VALUENAME “Config URL”
违约 “HTTP 协议://urltopnagentwi”
结束部分
结束策略
结束类别
结束类别
结束类别

Con esta GPO anterior podremos configurar a los usuarios las opciones deseadas en el cliente de XenApp, 如何访问URL和登录方法, 真好, 由WI规定.

因此，如果我们允许凭证的通过, 一旦我们在Windows上用智能卡验证，系统就不应该再要求我们提供凭证，如果配置了智能卡认证, 当我们登录时，Citrix的客户端会要求我们输入PIN以进行验证!!

如果我们还需要外部访问，并且我们有Access Gateway企业版, 我们应该遵循Citrix的知识库 CTX124603.