使用智能卡进行用户身份验证的客户端设备必须符合特定要求。

客户端硬件和软件要求

每个使用智能卡进行用户身份验证的客户端设备都必须具有以下硬件和软件。

  • Horizon Client
  • 一个兼容的智能卡读卡器

    Horizon Client 支持使用 PKCS#11 或 Microsoft CryptoAPI 提供程序的智能卡和智能卡读卡器。您可以选择安装 ActivIdentity ActivClient 软件套件,该套件可提供与智能卡进行交互的工具。

  • 产品特定的应用程序驱动程序

使用智能卡进行身份验证的用户必须拥有智能卡或 USB 智能卡令牌,且每个智能卡都必须包含一个用户证书。

对于证书颁发模板中指定的加密服务提供程序 (Cryptographic Service Provider, CSP),请使用 Microsoft 基本智能卡加密服务提供程序或第三方智能卡 CSP(可支持采用 SHA-256 算法的 RSA)。

智能卡注册要求

要在智能卡上安装证书,管理员必须将一个计算机设置为注册站点。该计算机必须具有颁发用户智能卡证书的授权,且必须是为其颁发证书的域中的成员。

当您注册智能卡时,可以选择所得证书的密钥大小。要通过本地桌面使用智能卡,您必须在注册智能卡时选择 1024 位或 2048 位密钥大小。不支持具有 512 位密钥的证书。

Microsoft TechNet 网站包含有关为 Windows 系统规划和实施智能卡身份验证的详细信息。

远程桌面和已发布应用程序的软件要求

Horizon 管理员必须在虚拟桌面或 RDS 主机上安装产品特定的应用程序驱动程序。

Horizon Client 中启用“用户名提示”文本框

在某些环境中,智能卡用户可以使用单个智能卡证书验证多个用户帐户的身份。用户在使用智能卡登录时,他们在用户名提示文本框中输入其用户名。

要在 Horizon Client 登录对话框中显示用户名提示字段,您必须在连接服务器中启用智能卡用户名提示功能。有关启用智能卡用户名提示功能的信息,请参阅《Horizon 管理指南》文档。

如果您的环境使用 Unified Access Gateway 设备来确保外部访问的安全,则必须配置 Unified Access Gateway 设备,以使其支持智能卡用户名提示功能。仅 Unified Access Gateway 2.7.2 和更高版本支持智能卡用户名提示功能。有关在 Unified Access Gateway 中启用智能卡用户名提示功能的信息,请参阅 《部署和配置 VMware Unified Access Gateway》 文档。

即使启用了智能卡用户名提示功能,Horizon Client 仍继续支持单帐户智能卡证书。

额外的智能卡身份验证要求

除了满足 Horizon Client 系统的智能卡要求以外,其他 Horizon 组件还必须满足特定的配置要求以支持智能卡。

连接服务器和安全服务器主机
管理员必须将所有受信任的用户证书的所有适用证书颁发机构 (Certificate Authority, CA) 证书链添加到连接服务器主机或安全服务器主机(如果使用安全服务器)上的服务器信任存储区文件中。这些证书链包括根证书,如果中间证书颁发机构颁发用户的智能卡证书,则还必须包括中间证书。

有关配置连接服务器以支持智能卡使用的信息,请参阅《Horizon 管理指南》文档。

Unified Access Gateway 设备
有关在 Unified Access Gateway 设备上配置智能卡身份验证的信息,请参阅 《部署和配置 VMware Unified Access Gateway》文档。
Active Directory
有关管理员为了实施智能卡身份验证而可能需要在 Active Directory 中执行的任务的信息,请参阅 《Horizon 管理指南》文档。