Clientgeräte, die eine Smartcard für die Benutzerauthentifizierung verwenden, müssen bestimmte Anforderungen erfüllen.
Hardware- und Softwareanforderungen an den Client
Für jedes Clientgerät, das zur Benutzerauthentifizierung eine Smartcard verwendet, gelten die folgenden Hardware- und Softwareanforderungen.
- Horizon Client
- Smartcards und Smartcard-Leser, die einen PKCS#11- oder Microsoft CNG API/CryptoAPI-Anbieter verwenden.
- Produktspezifische Anwendungstreiber
Benutzer, die sich mithilfe von Smartcards authentifizieren, müssen über ein Smartcard- oder USB-Smartcard-Token verfügen, und jede Smartcard muss ein Benutzerzertifikat enthalten.
Bevor Sie ein Zertifikat ausstellen, müssen Sie die Zertifikatvorlage erstellen. Sie müssen entweder Schlüsselspeicheranbieter (Key Storage Provider, KSP) oder Legacy-Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) auswählen.
Um eine KSP-Zertifikatvorlage zu erstellen, wählen Sie auf der Registerkarte Kompatibilität für die Zertifizierungsstelle Windows Server 2008 oder höher und auf der Registerkarte Kryptografie die Option Schlüsselspeicheranbieter aus.
Wenn Sie eine KSP-Zertifikatvorlage zum Ausstellen des Zertifikats verwenden, wählen Sie für den in der Zertifikatsausstellungsvorlage angegebenen CSP Microsoft-Smartcard-Schlüsselspeicheranbieter (Microsoft Smart Card Key Storage Provider) oder einen Smartcard-KSP eines Drittanbieters aus, der RSA mit SHA-256-Algorithmen unterstützt. Wenn Sie eine Legacy-CSP-Zertifikatvorlage verwenden, wählen Sie Microsoft Basis-Smartcard-Krypto-Anbieter (Microsoft Base Smart Card Crypto Provider) oder einen anderen Smartcard-CSP von Microsoft oder einem Drittanbieter aus, der RSA mit SHA-256-Algorithmen unterstützt.
Anforderungen für die Smartcard-Registrierung
Zum Installieren von Zertifikaten auf einer Smartcard muss Ihr Administrator einen Computer einrichten, der als Registrierungsstelle fungiert. Dieser Computer muss Smartcard-Zertifikate für Benutzer ausgeben können und Mitglied der Domäne sein, für die Sie Zertifikate ausgeben.
Wenn Sie eine Smartcard registrieren, können Sie die Schlüsselgröße des resultierenden Zertifikats auswählen. Zur Verwendung von Smartcards auf lokalen Desktops müssen Sie bei der Smartcard-Registrierung eine Schlüsselgröße von 1024 Bit oder 2048 Bit auswählen. Zertifikate mit 512-Bit-Schlüsseln werden nicht unterstützt.
Die Microsoft TechNet-Website enthält ausführliche Informationen zur Planung und Implementierung der Smartcard-Authentifizierung für Windows-Systeme.
Softwareanforderungen für Remote-Desktops und veröffentlichte Anwendungen
Ein Administrator muss produktspezifische Anwendungstreiber auf den virtuellen Desktops oder dem RDS-Host installieren.
Aktivieren das Textfeldes „Benutzernamenhinweis“ in Horizon Client
In einigen Umgebungen können Smartcard-Benutzer ein einziges Smartcard-Zertifikat zur Authentifizierung bei mehreren Benutzerkonten verwenden. Benutzer geben ihren Benutzernamen in das Textfeld Benutzernamenhinweis ein, wenn Sie sich über eine Smartcard anmelden.
(VMware Horizon 8-Bereitstellungen) Damit das Feld Benutzernamenhinweis im Anmeldedialogfeld von Horizon Client angezeigt wird, müssen Sie die Funktion für den Smartcard-Benutzernamenhinweis im Verbindungsserver aktivieren. Informationen zur Aktivierung der Funktion Smartcard-Benutzernamenhinweise erhalten Sie im Dokument Horizon-Verwaltung.
Wenn Ihre Umgebung für den sicheren externen Zugriff eine Unified Access Gateway-Appliance verwendet, müssen Sie die Unified Access Gateway-Appliance zur Unterstützung von Smartcard-Benutzernamenhinweisen konfigurieren. Die Funktion für Smartcard-Benutzernamenhinweise wird nur mit Unified Access Gateway 2.7.2 und höher unterstützt. Informationen zur Aktivierung der Funktion Smartcard-Benutzernamenhinweise in Unified Access Gateway erhalten Sie im Dokument Bereitstellen und Konfigurieren von VMware Unified Access Gateway.
Horizon Client unterstützt weiterhin Smartcard-Zertifikate für Einzelkonten, wenn die Funktion für Smartcard-Benutzernamenhinweise aktiviert ist.
Zusätzliche Anforderungen für die Smartcard-Authentifizierung
Neben der Einhaltung der Smartcard-Anforderungen für Horizon Client-Systeme müssen andere Horizon 8-Komponenten zur Unterstützung von Smartcards bestimmte Anforderungen an die Konfiguration erfüllen.
- Verbindungsserver- und Sicherheitsserver-Hosts
-
In
Horizon 8-Bereitstellungen muss ein Administrator sämtliche gültigen Zertifizierungsstellen-Zertifikatsketten für alle vertrauenswürdigen Benutzerzertifikate zu einer Serververtrauensspeicher-Datei auf dem Verbindungsserver- oder Sicherheitsserver-Host hinzufügen. Diese Zertifikatsketten beinhalten Stammzertifikate und müssen auch Zwischenzertifikate enthalten, wenn eine Zwischenzertifizierungsstelle das Smartcard-Zertifikat des Benutzers ausstellt.
Informationen zur Konfiguration des Verbindungsservers für die Unterstützung von Smartcards finden Sie im Dokument Horizon-Verwaltung.
- Unified Access Gateway-Appliances
- Informationen zur Konfiguration der Smartcard-Authentifizierung auf einer Unified Access Gateway-Appliance finden Sie im Dokument Bereitstellen und Konfigurieren von VMware Unified Access Gateway.
- Active Directory
- Informationen zu den Aufgaben, die ein Administrator unter Umständen in Active Directory zur Implementierung der Smartcard-Authentifizierung für eine Horizon 8-Bereitstellung durchführen muss, finden Sie im Dokument Horizon-Verwaltung.