使用智慧卡進行使用者驗證的用戶端裝置必須符合特定需求。
用戶端硬體和軟體需求
每個使用智慧卡進行使用者驗證的用戶端裝置,皆必須具備下列硬體和軟體。
- Horizon Client
- 使用 PKCS#11 或 Microsoft CNG API/CryptoAPI 提供者的智慧卡及智慧卡讀卡機。
- 產品特定的應用程式驅動程式
使用智慧卡驗證的使用者必須具有智慧卡或 USB 智慧卡 Token,而每張智慧卡必須內含使用者憑證。
發行憑證之前,您必須先建立憑證範本。您必須選取金鑰儲存提供者或舊版密碼編譯服務提供者。
若要建立 KSP 憑證範本,請在相容性索引標籤上為憑證授權機構選取 Windows Server 2008 或更新版本,然後選取密碼編譯索引標籤上的金鑰儲存提供者。
如果您使用 KSP 憑證範本來發行憑證,請針對憑證發行範本中指定的 CSP 選取 Microsoft 智慧卡金鑰儲存提供者或支援具有 SHA-256 演算法之 RSA 的第三方智慧卡 KSP。如果您使用的是舊版 CSP 憑證範本,請選取 Microsoft 基礎智慧卡密碼編譯提供者或支援具有 SHA-256 演算法之 RSA 的第三方智慧卡 CSP。
智慧卡註冊需求
若要在智慧卡上安裝憑證,管理員必須將電腦設定成註冊站。此電腦必須具有為使用者核發智慧卡憑證的權限,且必須是您為其核發憑證之網域的成員。
當您註冊智慧卡時,您可以選取所產生之憑證的金鑰大小。若要將智慧卡用於本機桌面平台,您必須在註冊智慧卡時選取 1024 位元或 2048 位元的金鑰大小。不支援具有 512 位元金鑰的憑證。
Microsoft TechNet 網站上可取得關於 Windows 系統規劃和實作智慧卡驗證的詳細資訊。
遠端桌面平台和已發佈的應用程式軟體需求
管理員必須在虛擬桌面平台或 RDS 主機上安裝產品特定的應用程式驅動程式。
在 Horizon Client 中啟用使用者名稱提示文字方塊
在某些環境中,智慧卡使用者可使用單一智慧卡憑證向多個使用者帳戶進行驗證。使用者在使用智慧卡進行登入時,必須在使用者名稱提示文字方塊中輸入其使用者名稱。
(VMware Horizon 8 部署) 若要讓使用者名稱提示文字方塊顯示在 Horizon Client 登入對話方塊中,您必須在連線伺服器中啟用智慧卡使用者名稱提示功能。如需啟用智慧卡使用者名稱提示功能的相關資訊,請參閱《Horizon 管理》文件。
如果您的環境使用 Unified Access Gateway 應用裝置進行外部安全存取,您必須將 Unified Access Gateway 應用裝置設定為支援智慧卡使用者名稱提示功能。智慧卡使用者名稱提示功能僅支援 Unified Access Gateway 2.7.2 及更新版本。如需在 Unified Access Gateway 中啟用智慧卡使用者名稱提示功能的相關資訊,請參閱 《部署及設定 VMware Unified Access Gateway》 文件。
即使在智慧卡使用者名稱提示功能啟用時,Horizon Client 仍繼續支援單一帳戶智慧卡憑證。
其他智慧卡驗證需求
除了符合 Horizon Client 系統的智慧卡需求之外,其他 Horizon 8 元件必須符合特定的組態需求,才能支援智慧卡。
- 連線伺服器和安全伺服器主機
-
對於
Horizon 8 部署,管理員必須將所有受信任使用者憑證的所有適用憑證授權機構 (CA) 憑證鏈結新增至連線伺服器主機上 (或如果使用安全伺服器,則為安全伺服器主機上) 的伺服器信任存放區檔案。這些憑證鏈結包含根憑證,且若使用者的智慧卡憑證是由中繼憑證授權機構所核發,也必須包含中繼憑證。
如需設定連線伺服器以支援使用智慧卡的相關資訊,請參閱《Horizon 管理》文件。
- Unified Access Gateway 應用裝置
- 如需在 Unified Access Gateway 應用裝置上設定智慧卡驗證的相關資訊,請參閱 《部署及設定 VMware Unified Access Gateway》文件。
- Active Directory
- 如需管理員可能需要在 Active Directory 中執行以針對 Horizon 8 部署實作智慧卡驗證的工作相關資訊,請參閱 《Horizon 管理》文件。