通过使用客户端设备证书身份验证功能,您可以为客户端设备设置证书身份验证。Unified Access Gateway 可对客户端设备进行身份验证。通过 Microsoft 证书服务(包含 Active Directory),可创建证书并将其分发到客户端设备。成功完成设备身份验证后,用户仍必须执行用户身份验证。
此功能存在以下要求:
- Unified Access Gateway 2.6 或更高版本
- Horizon 7 版本 7.5 或更高版本
- 在 Unified Access Gateway 接受的客户端设备上安装了证书
有关配置 Unified Access Gateway 的信息,请参阅 Unified Access Gateway 文档。
在颁发证书之前,必须创建证书模板。您必须选择密钥存储提供程序或旧版加密服务提供程序。
要创建 KSP 证书模板,请在兼容性选项卡上为证书颁发机构选择 Windows Server 2008 或更高版本,然后在加密选项卡上选择密钥存储提供程序。
如果使用 KSP 证书模板来颁发证书,请选择 Microsoft 软件密钥存储提供程序或第三方智能卡 KSP,该提供程序支持采用 SHA-256 算法的 RSA。如果使用旧版 CSP 证书模板,请选择 Microsoft 增强型 RSA 和 AES 加密服务提供程序,该提供程序支持采用 SHA-256 算法和 TLS1.2 的 RSA。
有关 CryptoAPI 加密服务提供程序的列表,请转到 https://docs.microsoft.com/en-us/windows/win32/seccertenroll/cryptoapi-cryptographic-service-providers。