Los dispositivos cliente que utilizan una tarjeta inteligente para la autenticación del usuario deben cumplir ciertos requisitos.
Requisitos de hardware y de software del cliente
Cada dispositivo cliente que utilice una tarjeta inteligente para la autenticación del usuario debe contar con el software y el hardware especificados a continuación.
- Horizon Client
- Tarjetas inteligentes y los lectores que utilizan PKCS#11 o el proveedor Microsoft CNG API/CryptoAPI.
- Controladores de aplicaciones específicos para el producto
Los usuarios que se autentican con tarjetas inteligentes deben contar con una o con un token de tarjeta inteligente USB, y cada tarjeta inteligente debe tener un certificado de usuario.
Antes de emitir un certificado, debe crear la plantilla de certificado. Debe seleccionar un proveedor de almacenamiento de claves o un proveedor de servicios criptográficos heredado.
Para crear una plantilla de certificado KSP, seleccione Windows Server 2008 o una versión posterior para la autoridad de certificación en la pestaña Compatibilidad, y seleccione Proveedor de almacenamiento de claves en la pestaña Criptografía.
Si utiliza una plantilla de certificado KSP para emitir el certificado, para el CSP especificado en la plantilla de emisión de certificados, seleccione Proveedor de almacenamiento de claves de tarjeta inteligente de Microsoft o un KSP de tarjeta inteligente de terceros que admita RSA con algoritmos SHA-256. Si utiliza una plantilla de certificado CSP heredado, seleccione Proveedor base de cifrado para tarjetas inteligentes de Microsoft u otro CSP de tarjeta inteligente de Microsoft o de terceros que admita RSA con algoritmos SHA-256.
Requisitos para la inscripción con tarjetas inteligentes
Para instalar certificados en una tarjeta inteligente, un administrador debe configurar un equipo para que actúe como una estación de inscripción. Este equipo debe tener autorización para emitir certificados de tarjetas inteligentes para los usuarios y debe ser miembro del dominio para el que está emitiendo los certificados.
Cuando registre una tarjeta inteligente, puede seleccionar el tamaño de la clave del certificado resultante. Para utilizar tarjetas inteligentes con escritorios locales, debe seleccionar un tamaño de clave de 1024 o 2048 bits cuando inscriba la tarjeta inteligente. No se admiten certificados con claves de 512 bits.
El sitio web de Microsoft TechNet incluye información detallada sobre cómo planificar e implementar la autenticación con tarjetas inteligentes en sistemas Windows.
Requisitos de software para aplicaciones publicadas y escritorios remotos
Un administrador de Horizon debe instalar controladores de aplicaciones específicos para cada producto en el host RDS o en los escritorios virtuales.
Habilitar el cuadro de texto de sugerencia de nombre de usuario en Horizon Client
En algunos entornos, los usuarios pueden usar un certificado de tarjeta inteligente único para autenticar varias cuentas de usuario. Los usuarios escriben su nombre en el cuadro de texto Sugerencia de nombre de usuario cuando inician sesión con una tarjeta inteligente.
Para que el cuadro de texto Sugerencia de nombre de usuario aparezca en el cuadro de diálogo de inicio de sesión de Horizon Client, debe habilitar la función de sugerencia del nombre de usuario de la tarjeta inteligente en el servidor de conexión. Para obtener más información sobre cómo habilitar la función de sugerencias de nombre de usuario de la tarjeta inteligente, consulte el documento Administración de Horizon.
Si el entorno usa un dispositivo Unified Access Gateway para conseguir un acceso externo seguro, debe configurar el dispositivo Unified Access Gateway para que admita la función de sugerencias de nombre de usuario de la tarjeta inteligente. Dicha función es compatible únicamente con Unified Access Gateway 2.7.2 y versiones posteriores. Para obtener más información sobre cómo habilitar la función de sugerencias de nombre de usuario de la tarjeta inteligente en Unified Access Gateway, consulte el documento Implementación y configuración de VMware Unified Access Gateway.
Horizon Client sigue admitiendo certificados de tarjetas inteligentes de una cuenta única, aunque la función de sugerencias de nombre de usuario de la tarjeta inteligente está habilitada.
Requisitos adicionales para la autenticación con tarjetas inteligentes
Además de cumplir los requisitos de las tarjetas inteligentes en los sistemas Horizon Client, otros componentes de Horizon deben cumplir ciertos requisitos de configuración para ser compatibles con las tarjetas inteligentes.
- Servidor de conexión y hosts del servidor de seguridad
-
Un administrador debe agregar todas las cadenas de certificados de entidad de certificación (CA) aplicables a todos los certificados de usuario de confianza en un archivo del almacén de confianza del servidor de conexión o, si se utiliza un servidor de seguridad, en el host del servidor de seguridad. Estas cadenas de certificados incluyen certificados raíz y, si una entidad de certificación intermedia expide el certificado de tarjeta inteligente del usuario, también se deben incluir los certificados intermedios.
Para obtener más información sobre cómo configurar el servidor de conexión de forma que admita el uso de tarjetas inteligentes, consulte el documento Administración de Horizon.
- Dispositivos de Unified Access Gateway
- Para obtener más información sobre la configuración de la autenticación con tarjeta inteligente en un dispositivo de Unified Access Gateway, consulte el documento Implementación y configuración de VMware Unified Access Gateway.
- Active Directory
- Para obtener más información sobre las tareas que puede que tengan que llevar a cabo los administradores en Active Directory para implementar la autenticación con tarjeta inteligente, consulte el documento Administración de Horizon.