Anforderungen für die Smartcard-Authentifizierung

Clientgeräte, die eine Smartcard für die Benutzerauthentifizierung verwenden, müssen bestimmte Anforderungen erfüllen.

Hardware- und Softwareanforderungen an den Client

Für jedes Clientgerät, das zur Benutzerauthentifizierung eine Smartcard verwendet, gelten die folgenden Hardware- und Softwareanforderungen.

Horizon Client
Ein kompatibler Smartcard-Leser
Horizon Client unterstützt Smartcards und Smartcard-Leser, die einen PKCS#11- oder Microsoft CryptoAPI-Anbieter verwenden. Optional können Sie das ActivClient-Softwarepaket von ActivIdentity installieren, das Tools zur Interaktion mit Smartcards bereitstellt.
Produktspezifische Anwendungstreiber

Benutzer, die sich mithilfe von Smartcards authentifizieren, müssen über ein Smartcard- oder USB-Smartcard-Token verfügen, und jede Smartcard muss ein Benutzerzertifikat enthalten.

Verwenden Sie als Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) in der Vorlage für die Ausstellung von Zertifikaten den Microsoft Base Smart Card Crypto Provider oder einen externen Smartcard-CSP, der RSA mit SHA-256-Algorithmen unterstützt.

Anforderungen für die Smartcard-Registrierung

Zum Installieren von Zertifikaten auf einer Smartcard muss Ihr Administrator einen Computer einrichten, der als Registrierungsstelle fungiert. Dieser Computer muss Smartcard-Zertifikate für Benutzer ausgeben können und Mitglied der Domäne sein, für die Sie Zertifikate ausgeben.

Wenn Sie eine Smartcard registrieren, können Sie die Schlüsselgröße des resultierenden Zertifikats auswählen. Zur Verwendung von Smartcards auf lokalen Desktops müssen Sie bei der Smartcard-Registrierung eine Schlüsselgröße von 1024 Bit oder 2048 Bit auswählen. Zertifikate mit 512-Bit-Schlüsseln werden nicht unterstützt.

Die Microsoft TechNet-Website enthält ausführliche Informationen zur Planung und Implementierung der Smartcard-Authentifizierung für Windows-Systeme.

Softwareanforderungen für Remote-Desktops und veröffentlichte Anwendungen

Ein Horizon-Administrator muss auf den virtuellen Desktops oder RDS-Hosts produktspezifische Anwendungstreiber installieren.

Aktivieren das Textfeldes „Benutzernamenhinweis“ in Horizon Client

In einigen Umgebungen können Smartcard-Benutzer ein einziges Smartcard-Zertifikat zur Authentifizierung bei mehreren Benutzerkonten verwenden. Benutzer geben ihren Benutzernamen in das Textfeld Benutzernamenhinweis ein, wenn Sie sich über eine Smartcard anmelden.

Damit das Feld Benutzernamenhinweis im Anmeldungsdialogfeld von Horizon Client angezeigt wird, müssen Sie die Funktion für den Smartcard-Benutzernamenhinweis im Verbindungsserver aktivieren. Informationen zur Aktivierung von Smartcard-Benutzernamenhinweisen erhalten Sie im Dokument Horizon-Verwaltung.

Wenn Ihre Umgebung für den sicheren externen Zugriff eine Unified Access Gateway-Appliance verwendet, müssen Sie die Unified Access Gateway-Appliance zur Unterstützung von Smartcard-Benutzernamenhinweisen konfigurieren. Die Funktion für Smartcard-Benutzernamenhinweise wird nur mit Unified Access Gateway 2.7.2 und höher unterstützt. Informationen zur Aktivierung von Smartcard-Benutzernamenhinweisen in Unified Access Gateway erhalten Sie im Dokument Bereitstellen und Konfigurieren von VMware Unified Access Gateway.

Horizon Client unterstützt weiterhin Smartcard-Zertifikate für Einzelkonten, wenn die Funktion für Smartcard-Benutzernamenhinweise aktiviert ist.

Zusätzliche Anforderungen für die Smartcard-Authentifizierung

Neben der Einhaltung der Smartcard-Anforderungen für Horizon Client-Systeme müssen andere Horizon-Komponenten zur Unterstützung von Smartcards bestimmte Anforderungen an die Konfiguration erfüllen.

Verbindungsserver- und Sicherheitsserver-Hosts: Ihr Administrator muss alle gültigen Zertifizierungsstellen-Zertifikatsketten für alle vertrauenswürdigen Benutzerzertifikate einer Serververtrauensspeicher-Datei auf dem Verbindungsserver- oder Sicherheitsserver-Host hinzufügen. Diese Zertifikatsketten beinhalten Stammzertifikate und müssen auch Zwischenzertifikate enthalten, wenn eine Zwischenzertifizierungsstelle das Smartcard-Zertifikat des Benutzers ausstellt.
Informationen zur Konfiguration des Verbindungsservers für die Unterstützung von Smartcards finden Sie im Dokument Horizon-Verwaltung.
Unified Access Gateway-Appliances: Informationen zur Konfiguration der Smartcard-Authentifizierung auf einer Unified Access Gateway-Appliance finden Sie im Dokument Bereitstellen und Konfigurieren von VMware Unified Access Gateway.
Active Directory: Informationen zu den Aufgaben, die Ihr Administrator eventuell in Active Directory zur Implementierung der Smartcard-Authentifizierung durchführen muss, finden Sie im Dokument Horizon-Verwaltung.