使用智能卡进行用户身份验证的客户端设备必须符合特定要求。
客户端硬件和软件要求
每个使用智能卡进行用户身份验证的客户端设备都必须具有以下硬件和软件。
- Horizon Client
- 使用 PKCS#11 或 Microsoft CNG API/CryptoAPI 提供程序的智能卡和智能卡读卡器。
- 产品特定的应用程序驱动程序
使用智能卡进行身份验证的用户必须拥有智能卡或 USB 智能卡令牌,且每个智能卡都必须包含一个用户证书。
在颁发证书之前,必须创建证书模板。您必须选择密钥存储提供程序或旧版加密服务提供程序。
要创建 KSP 证书模板,请在兼容性选项卡上为证书颁发机构选择 Windows Server 2008 或更高版本,然后在加密选项卡上选择密钥存储提供程序。
如果使用 KSP 证书模板来颁发证书,则对于证书颁发模板中指定的 CSP,请选择 Microsoft 智能卡密钥存储提供程序或第三方智能卡 KSP(支持采用 SHA-256 算法的 RSA)。如果使用旧版 CSP 证书模板,请选择 Microsoft 基本智能卡加密提供程序或第三方智能卡 CSP(支持采用 SHA-256 算法的 RSA)。
智能卡注册要求
要在智能卡上安装证书,管理员必须将一个计算机设置为注册站点。该计算机必须具有颁发用户智能卡证书的授权,且必须是为其颁发证书的域中的成员。
当您注册智能卡时,可以选择所得证书的密钥大小。要通过本地桌面使用智能卡,您必须在注册智能卡时选择 1024 位或 2048 位密钥大小。不支持具有 512 位密钥的证书。
Microsoft TechNet 网站包含有关为 Windows 系统规划和实施智能卡身份验证的详细信息。
远程桌面和已发布应用程序的软件要求
管理员必须在虚拟桌面或 RDS 主机上安装产品特定的应用程序驱动程序。
在 Horizon Client 中激活“用户名提示”文本框
在某些环境中,智能卡用户可以使用单个智能卡证书验证多个用户帐户的身份。用户在使用智能卡登录时,他们在用户名提示文本框中输入其用户名。
(VMware Horizon 8 部署)要在 Horizon Client 登录对话框中显示用户名提示字段,您必须在连接服务器中激活智能卡用户名提示功能。有关激活智能卡用户名提示功能的信息,请参阅《Horizon 管理指南》文档。
如果您的环境使用 Unified Access Gateway 设备来确保外部访问的安全,则必须配置 Unified Access Gateway 设备,以使其支持智能卡用户名提示功能。仅 Unified Access Gateway 2.7.2 和更高版本支持智能卡用户名提示功能。有关在 Unified Access Gateway 中激活智能卡用户名提示功能的信息,请参阅《部署和配置 VMware Unified Access Gateway》文档。
即使激活了智能卡用户名提示功能,Horizon Client 仍继续支持单帐户智能卡证书。
额外的智能卡身份验证要求
除了满足 Horizon Client 系统的智能卡要求以外,其他 Horizon 8 组件还必须满足特定的配置要求以支持智能卡。
- 连接服务器和安全服务器主机
-
对于
Horizon 8 部署,管理员必须将所有受信任的用户证书的所有适用证书颁发机构 (Certificate Authority, CA) 证书链添加到连接服务器主机或安全服务器主机(如果使用安全服务器)上的服务器信任存储区文件中。这些证书链包括根证书,如果中间证书颁发机构颁发用户的智能卡证书,则还必须包括中间证书。
有关配置连接服务器以支持智能卡使用的信息,请参阅《Horizon 管理指南》文档。
- Unified Access Gateway 设备
- 有关在 Unified Access Gateway 设备上配置智能卡身份验证的信息,请参阅 《部署和配置 VMware Unified Access Gateway》文档。
- Active Directory
- 有关管理员为了针对 Horizon 8 部署实施智能卡身份验证而可能需要在 Active Directory 中执行的任务的信息,请参阅 《Horizon 管理指南》文档。