Mit der Authentifizierungsfunktion für Clientgerätezertifikate können Sie die Zertifikatauthentifizierung für Clientgeräte einrichten. Unified Access Gateway authentifiziert die Clientgeräte. Microsoft-Zertifikatdienste mit Active Directory verwalten die Erstellung und Verteilung von Zertifikaten an die Clientgeräte. Nach erfolgreicher Geräteauthentifizierung muss der Benutzer immer noch die Benutzerauthentifizierung durchführen.
Für diese Funktion gelten die folgenden Anforderungen.
- Unified Access Gateway 2.6 oder höher
- Horizon 7 Version 7.0 oder höher
- Ein auf dem Clientgerät installiertes Zertifikat, das von Unified Access Gateway akzeptiert wird
Informationen zum Konfigurieren von Unified Access Gateway finden Sie in der Unified Access Gateway-Dokumentation.
Verwenden Sie als Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) in der Vorlage für die Ausstellung von Zertifikaten den Microsoft Enhanced RSA and AES Cryptographic Provider. Dieser CSP unterstützt SHA-256-Zertifikate und TLS v1.2. Verwenden Sie SHA-256. SHA-1 ist für Authentifizierungszwecke zu schwach.
Damit Windows ein Zertifikat für die Clientgeräteauthentifizierung verwenden kann, muss der Benutzer auf dem Clientgerät über Lesezugriff für den privaten Schlüssel des Zertifikats verfügen. Der private Schlüssel muss nicht exportierbar sein. Die Schlüsselverwendung des Zertifikats muss die digitale Signatur und Schlüsselverschlüsselung (a0) umfassen.
Sie können das Zertifikat im Zertifikatspeicher des aktuellen Benutzers oder des lokalen Computers auf dem Clientgerät installieren. Wenn Sie unter Windows 10 das Zertifikat im Zertifikatspeicher des lokalen Computers installieren und der Benutzer nicht der Benutzergruppe „System“ oder „Lokale Administratoren“ angehört, müssen Sie die folgenden Schritte ausführen, um dem Benutzer Lesezugriff für den privaten Schlüssel des Zertifikats zu gewähren. Wenn Sie das Zertifikat im Zertifikatspeicher des aktuellen Benutzers installieren, müssen Sie diese Schritte nicht durchführen.
- Öffnen Sie den Zertifikatspeicher des lokalen Computers auf dem Clientgerät.
- Klicken Sie mit der rechten Maustaste auf das Gerätezertifikat und wählen Sie .
- Fügen Sie den Benutzer hinzu, weisen Sie dem Benutzer die Leseberechtigung zu und klicken Sie auf OK.