Smartcard logon med Storefront

Använda SmartCard för att logga in i Citrix

Disclaimer: Detta dokument är skriven på ”amatör nivå” och ska inte ses som en beskrivning av en installation för en driftmiljö utan ses som tips på hur man kan göra en installation för ex lab och demo.

 

För att smartcard ska fungera i Storefront måste vi ha SSL stöd på vår Storefront webserver så vi börjar med att konfigurera det, med vår interna CA som vi konfigurerade i blog posten om smartcard

 

  • Starta Internet Information Services på Storefront servern
  • Bild100
  • Öppna ”Server certificates”
  • Bild101
  • Klicka ”Create certificate request”
  • Bild102
  • Fill i namn properties. Web server namnet är det viktiga men alla fält måste fyllas i
  • Bild103
  • Det finns system idag som kräver 2048 bitars kryptering så det är lika bra att välja det, slöar dock ner vissa processer
  • Bild104
  • Ange filnamn för förfrågan. Kontrollera sökvägen så du hittar filen.
  • Bild105
  • Surfa till din CA (i mitt fall ad.commaxx.info/certsrv) och logga in
  • Bild106
  • Request a certificate
  • Advanced request
  • Bild107
    • Öppna din certrequest fil med notepad och kopiera allt innehåll
    • Bild108
    • Klistra in det i rutan enligt ovan. Välj template ”Web Server”
    • Submit
    • Bild109
    • Välj ”Base 64 encoded” och ”Download certificate”
    • Hamnar default under ”Download”
    • Bild110
    • Gå tillbaka till IIS manager, klicka på ”Complete Certificate Request” och leta reda på filen från din CA
    • OK
    • Bild111
    • Certet på plats
    • Klicka på den webserver du kör Storefront på (Default som standard)
    • Bild112
    • Klicka på ”Bindings” och ”Add”
    • Bild113
    • Ange https och leta reda på certet enligt ovan
    • Bild114
    • Surfa till den med https och kontrollera så din inte får några felmeddelanden. Du kan behöva lägga till root certet från din CA om du surfar med en masmin som inte har det installerat

 

Konfigurera Storefront med https

Bild115

Öppna Citrix Studio, gå till Storefront, klicka på ”Server Group”, ”Change Base URL” och ändra den till https

Bild117

Autentiseringssätt kan konfigureras per store web site

Klicka ”Manage Receiver for Web Sites” och klicka Add

Next

Bild118

Ange namnet på siten

”Disable classic experience”

Bild119

Klicka bort ”Username and Password” och klicka i ”Smartcard”

Create

Bild120

Klart! Testa!

Konfigurera CA och ställ ut cert på smartcard (Net iD)

Installationsbeskrivning hur man använder Smartcard och Net ID i en Citrix miljö

Disclaimer: Detta dokument är skriven på ”amatör nivå” och ska inte ses som en beskrivning av en installation för en driftmiljö utan ses som tips på hur man kan göra en installation för ex lab och demo.

 

Denna beskrivning ska visa hur man sätter upp en Citrix miljö med stöd för smartcard och Net ID. Vi ska också sätta upp en intern CA som vi ska ge ut certen från

 

Jag sätter upp CA:n på min AD server

  • Starta Server Manager
  • ”Add Roles and Features”
  • Build1
  • ”Role based or feature based installation”
  • Välj server
  • Bild2
  • Kryssa i enligt ovan
  • Acceptera alla förslag på extra komponenter
  • Acceptera default på web servern
  • Starta om servern
  • Starta Server Manager och klicka på utropstecknet uppe till höger
  • Bild3
  • Klicka ”Configure Active Directory Certificate Services…”
  • Bild4
  • Ange vilken användare som ska köra services (måste vara medlem in Enterprise Admin)
  • Bild5
  • Ange vilka roller du ska konfigurera
  • Bild6
  • Ange typ av CA
  • Bild7
  • Om det är din första CA – ange ”Root CA”
  • Bild8
  • Om det är en ny installation, skapa en primary key
  • Bild9
  • Normalt: Acceptera default
  • Bild10
  • Normalt: Acceptera default
  • Bild11
  • Ange hur länge dina cert ska vara giltiga. 5 år är default
  • Bild12
  • Normalt: Acceptera default
  • Bild13
  • Kontrollera allt ser rätt ut och klicka ”Configure”
  • Bild14
  • Klart :)
  • Boota om!

 

Konfigurera CA

  • Starta MMC
  • Bild54
  • Lägg till ”Certificates” och ange ”My User Account”
  • Lägg till ”Certificates” och ange ”Local Computer” / ”Local Computer”
  • Lägg till ”Certificate Authority” och ange ”Local computer”
  • Bild15
  • Spara konsolen på lämpligt ställe så du slipper göra om detta varenda gång du ska administrera dina cert
  • Installera Net ID 2701 på AD och XenApp server, 1911 på XenDesktop host
  • Bild16
  • Bild17
  • Installation klar

 

  • Bild18
  • Gå tillbaka till din MMC och höger klicka på ”Certificate Templates” under Certification Authority
  • Välj ”Manage”
  • Bild19
  • Höger klicka på ”Smartcard Logon” och välj ”Duplicate”
  • Sätt in properties enligt nedan (namnet väljer du naturligtvis själv)
  • Bild20 Bild21
  • Klicka OK
  • Stäng
  • Bild22 Bild23
  • Höger klicka på ”Certificate Template” igen och välj ”New”, ”Certificate Template to Issue” och välj templaten du skapade ovan samt ”Enrollment Agent”
  • Bild27
  • I MMC, klicka på ”Personal” / ”Certificates” under Certificates (Current User)
  • Bild28
  • Om det inte finns nån meny under ”Personal”, högerklicka på ”Personal” och välj ”All Tasks” och ”Request New Certificate”
  • Välj ”Active Directory Enrollment Policy”
  • Bild29
  • Välj ”Enrollment Agent”
  • ”Enroll”
  • Bild30
  • Höger klicka ”Certificates” under ”Personal”
  • ”All Tasks”, ”Advanced Operation”, ”Enroll on behalf of”
  • Next
  • ”Acrive Directory Enrollment Policy”
  • Bild31
  • ”Browse” och välj certifikatet du skapade ovan
  • Next
  • Bild32
  • Välj den smartcard logon policy du skapade ovan
  • Bild33
  • Klicka INTE ”Next” utan på pilen till höger: ”Details” och se ”Properties”
  • Bild34
  • Under ”Cryptographic Service Provider”, kryssa bort ”Microsoft” och välj ”Net ID”
  • OK
  • Next
  • Bild35
  • ”Browse” och leta upp den användare som ska autentisera sig med smartcardet
  • OK
  • OK
  • Enroll
  • Bild36
  • Skriv in pin koden för kortet
  • Bild37Klart :)

 

 

 

 

Smartcard Tips & Tricks

Byt pinkod på kortet

  • Bild38
  • Höger klicka på ”Net ID” i ”taskbar”, välj ”Change password” och IDPrime (basic)
  • Bild39
  • Byt pin (du måste kunna den gamla, tips på vanliga demo pin: 0000, 1234, 123456)
  • Om du slår fel för många gånger låses kortet och du måste ha PUK koden för att låsa upp det

 

I demo miljöer med virtuella maskiner som man pausar istället för stänger av kan det ibland uppstå konstigheter med certen.

Detta är några tips som man kan göra

 

Hämta nya cert:

  • Mmc
  • Certificates
  • Computer
  • Local computer
  • Personal
  • Right click certificates
  • All tasks
  • Request new certificates

 

  • Om ”Error can’t find revoke bla bla”
  • Starts certsrv
  • Make sure service is running
  • Right click revoked certificates
  • All tasks
  • Publish

 

Kör ovanstående ”Hämta nya cert” igen

 

Copyright 2018 Citrix Usergroup Sweden. All rights reserved