Mit der Authentifizierungsfunktion für Clientgerätezertifikate können Sie die Zertifikatauthentifizierung für Clientgeräte einrichten. Unified Access Gateway authentifiziert die Clientgeräte. Microsoft-Zertifikatdienste mit Active Directory verwalten die Erstellung und Verteilung von Zertifikaten an die Clientgeräte. Nach erfolgreicher Geräteauthentifizierung muss der Benutzer immer noch die Benutzerauthentifizierung durchführen.
Für diese Funktion gelten die folgenden Anforderungen.
- Unified Access Gateway 2.6 oder höher
- Horizon 7 Version 7.5 oder höher
- Ein auf dem Clientgerät installiertes Zertifikat, das von Unified Access Gateway akzeptiert wird
Informationen zum Konfigurieren von Unified Access Gateway finden Sie in der Unified Access Gateway-Dokumentation.
Bevor Sie ein Zertifikat ausstellen, müssen Sie die Zertifikatvorlage erstellen. Sie müssen entweder Schlüsselspeicheranbieter (Key Storage Provider, KSP) oder Legacy-Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) auswählen.
Um eine KSP-Zertifikatvorlage zu erstellen, wählen Sie auf der Registerkarte Kompatibilität für die Zertifizierungsstelle Windows Server 2008 oder höher und auf der Registerkarte Kryptografie die Option Schlüsselspeicheranbieter aus.
Wenn Sie eine KSP-Zertifikatvorlage zum Ausstellen des Zertifikats verwenden, wählen Sie Microsoft-Software-Schlüsselspeicheranbieter oder einen Smartcard-KSP eines Drittanbieters aus, der RSA mit SHA-256-Algorithmen unterstützt. Wenn Sie eine ältere CSP-Zertifikatvorlage verwenden, wählen Sie den Kryptografiedienstanbieter Microsoft Enhanced RSA und AES Cryptographic Provider aus, der RSA mit SHA-256-Algorithmen und TLS 1.2 unterstützt.
Eine Liste der kryptografischen CryptoAPI-Dienstanbieter finden Sie unter https://docs.microsoft.com/en-us/windows/win32/seccertenroll/cryptoapi-cryptographic-service-providers.