通过使用客户端设备证书身份验证功能,您可以为客户端设备设置证书身份验证。Unified Access Gateway 可对客户端设备进行身份验证。通过 Microsoft 证书服务(包含 Active Directory),可创建证书并将其分发到客户端设备。成功完成设备身份验证后,用户仍必须执行用户身份验证。

此功能存在以下要求:

  • Unified Access Gateway 2.6 或更高版本
  • Horizon 7 版本 7.5 或更高版本
  • Unified Access Gateway 接受的客户端设备上安装了证书

有关配置 Unified Access Gateway 的信息,请参阅 Unified Access Gateway 文档。

对于证书颁发模板中指定的加密服务提供程序 (Cryptographic Service Provider, CSP),请使用 Microsoft 增强型 RSA 和 AES 加密服务提供程序。此 CSP 支持 SHA-256 证书和 TLS v1.2。请使用 SHA-256。对于身份验证,SHA-1 的加密效果太弱。

要使 Windows 使用证书进行客户端设备身份验证,客户端设备上的用户必须对证书私钥具有读取访问权限。私钥不需要可导出。证书的密钥使用情况中必须包含数字签名和密钥加密 (a0)。

您可以将证书安装在客户端设备上的当前用户或本地计算机证书存储区中。在 Windows 10 上,如果您将证书安装在本地计算机证书存储区中,且用户不属于“系统”或“本地管理员”用户组,则必须执行以下步骤以向用户授予证书私钥的读取访问权限。如果将证书安装在当前用户证书存储区中,则无需执行以下步骤。

  1. 在客户端设备上打开本地计算机证书存储区。
  2. 右键单击设备证书,然后选择所有任务 > 管理私钥
  3. 添加用户,为用户分配读取权限,然后单击确定