Os dispositivos cliente que usam um cartão inteligente para autenticação do usuário devem atender a determinados requisitos.
Requisitos de hardware e software do cliente
Cada dispositivo cliente que usa um cartão inteligente para autenticação do usuário deve ter o seguinte hardware e software.
- Horizon Client
- Cartões inteligentes e leitores de cartão inteligente que usam um provedor PKCS#11 ou Microsoft CNG API/CryptoAPI.
- Drivers de aplicativo específicos do produto
Os usuários que se autenticam com cartões inteligentes devem ter um cartão inteligente ou token de cartão inteligente USB, e cada cartão inteligente deve conter um certificado de usuário.
Antes de emitir um certificado, você deve criar o modelo de certificado. Você deve selecionar Key Storage Provider ou Legacy Cryptographic Service Provider.
Para criar um modelo de certificado KSP, selecione Windows Server 2008 ou posterior para a Autoridade de certificação na guia Compatibilidade (Compatibility) e selecione Provedor de armazenamento de chaves (Key Storage Provider) na guia guia Criptografia (Cryptography).
Se você estiver usando um modelo de certificado KSP para emitir o certificado, para o CSP especificado no modelo de emissão do certificado, selecione Microsoft Smart Card Key Storage Provider ou um KSP de cartão inteligente de terceiros que ofereça suporte a RSA com SHA- 256 algoritmos. Se você estiver usando um modelo de certificado CSP herdado, selecione Microsoft Base Smart Card Crypto Provider ou um CSP de cartão inteligente de terceiros que ofereça suporte a RSA com algoritmos SHA-256.
Requisitos de inscrição do cartão inteligente
Para instalar certificados em um cartão inteligente, um administrador deve configurar um computador para atuar como uma estação de inscrição. Esse computador deve ter autoridade para emitir certificados de cartão inteligente para usuários e deve ser membro do domínio para o qual você está emitindo certificados.
Ao inscrever um cartão inteligente, você pode selecionar o tamanho da chave do certificado resultante. Para usar cartões inteligentes com áreas de trabalho locais, você deve selecionar um tamanho de chave de 1.024 bits ou 2.048 bits ao inscrever o cartão inteligente. Não há suporte para certificados com chaves de 512 bits.
O site do Microsoft TechNet inclui informações detalhadas sobre como planejar e implementar a autenticação de cartão inteligente para sistemas Windows.
Requisitos de software de aplicativo publicado e de área de trabalho remota
Um administrador do Horizon deve instalar drivers de aplicativo específicos do produto nas áreas de trabalho virtuais ou no host RDS.
Habilitando a caixa de texto User Name Hint em Horizon Client
Em alguns ambientes, os usuários de smart card podem usar um único certificado de smart card para autenticar várias contas de usuário. Os usuários inserem seus nomes de usuário na caixa de texto Dica de nome de usuário (Username hint) quando fazem login com um cartão inteligente.
Para que a caixa de texto Sugestão de nome de usuário (Username hint) apareça na caixa de diálogo de login Horizon Client, você deve ativar o recurso de dicas de nome de usuário de smart card no Servidor de Conexão. Para obter informações sobre como ativar o recurso de dicas de nome de usuário do cartão inteligente, consulte o documento Administração Horizon.
Se o seu ambiente usar um appliance do Unified Access Gateway para acesso externo seguro, você deverá configurar o appliance do Unified Access Gateway para oferecer suporte ao recurso de dicas de nome de usuário do cartão inteligente. O recurso de dicas de nome de usuário do cartão inteligente é compatível apenas com o Unified Access Gateway 2.7.2 e versões posteriores. Para obter informações sobre como ativar o recurso de dicas de nome de usuário do cartão inteligente em Unified Access Gateway, consulte o documento Implantação e configuração do VMware Unified Access Gateway.
Horizon Client continua a oferecer suporte a certificados de cartão inteligente de conta única, mesmo quando o recurso de dicas de nome de usuário do cartão inteligente está ativado.
Requisitos adicionais de autenticação de cartão inteligente
Além de atender aos requisitos de cartão inteligente para sistemas Horizon Client, outros componentes do Horizon devem atender a determinados requisitos de configuração para oferecer suporte a cartões inteligentes.
- Servidor de conexão e hosts do servidor de segurança
-
Um administrador deve adicionar todas as cadeias de certificados de Autoridade de Certificação (CA) aplicáveis a todos os certificados de usuário confiável a um arquivo de armazenamento confiável do servidor no host do Servidor de Conexão ou, se um servidor de segurança for usado, no host do servidor de segurança. Essas cadeias de certificados incluem certificados raiz e, se uma autoridade de certificação intermediária emitir o certificado de cartão inteligente do usuário, também deverá incluir certificados intermediários.
Para obter informações sobre como configurar o Servidor de Conexão para oferecer suporte ao uso de smart card, consulte o documento Administração Horizon.
- Unified Access Gateway dispositivos
- Para obter informações sobre como configurar a autenticação de cartão inteligente em um appliance do Unified Access Gateway, consulte o documento Implantação e configuração do VMware Unified Access Gateway.
- Active Directory
- Para obter informações sobre tarefas que um administrador pode precisar executar em Active Directory para implementar a autenticação de cartão inteligente, consulte o documento Administração Horizon.