Konfiguration von TLS und Konformitätsmodus

Mit dieser Option erkennt Citrix Workspace sichere Verbindungen und verschlüsselt die Kommunikation im Server.

Die folgenden sicheren TLS-Verbindungen zwischen Citrix Workspace und XenApp und XenDesktop werden von Citrix unterstützt:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2

Die Werte für den Sicherheitskonformitätsmodus sind:
- FIPS: Durch Aktivieren des FIPS-Modus müssen das Windows-Betriebssystem und die Subsysteme FIPS-konforme kryptografische Algorithmen verwenden.
- Ohne: Kein Konformitätsmodus wird erzwungen.
- SP800-52: Einhaltung von NIST SP800-52r1 wird erzwungen.
Bei Auswahl von 'SP800-52' aus dem Dropdownmenü 'Sicherheitskonformitätsmodus' ist die folgende Richtlinie für die Zertifikatsperrüberprüfung zulässig:
- Volle Zugriffsprüfung und CRL erforderlich. Dies ist die Standardoption.
- Volle Zugriffsprüfung und alle CRL erforderlich

Unter 'Zulässige TLS-Server' können Sie mit einer durch Kommas getrennten Liste die Verbindungen von Citrix Workspace auf bestimmte Server beschränken. Es können Platzhalter und Portnummern angegeben werden, z. B. erlaubt *.citrix.com:4433 die Verbindung mit allen Servern, deren allgemeiner Name mit .citrix.com auf Port 4433 endet. Die Genauigkeit der Informationen in einem Sicherheitszertifikat wird durch den Aussteller des Zertifikats bestätigt. Wenn Citrix Workspace den Aussteller des Zertifikats nicht erkennt und ihm nicht vertraut, wird die Verbindung abgelehnt.

Die TLS-Version kann auf alle Kombinationen der folgenden Protokolle eingeschränkt werden:

- TLS 1.0, TLS 1.1 oder TLS 1.2
- TLS 1.1 oder TLS 1.2
- nur TLS 1.2

Ein TLS-Verschlüsselungssatz ist eine Gruppe von Verschlüsselungssammlungen, die vom Client zugelassen werden. Der TLS-Verschlüsselungssatz kann auf eine der folgenden Einstellungen festgelegt werden:
Hinweis: Die mit TLS_RSA_* beginnenden Verschlüsselungssammlungen können mit der Richtlinie 'Veraltete Verschlüsselungssammlungen' deaktiviert werden.
- Beliebig: Wenn 'Beliebig' eingestellt ist, sind die folgenden Verschlüsselungssammlungen standardmäßig erlaubt, wenn die Einstellung für den Konformitätsmodus auf 'Ohne' festgelegt ist:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- Kommerziell: Bei Einstellung von 'Kommerziell' sind nur die folgenden Verschlüsselungssammlungen zulässig:
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- Behörden: Bei Einstellung von 'Behörden' sind nur die folgenden Verschlüsselungssammlungen zulässig:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

Die Zertifikatsperrüberprüfung verbessert die kryptografische Authentifizierung des Citrix Servers und die allgemeine Sicherheit der TLS-Verbindungen zwischen einem Client und einem Server.
Hinweis: Die Zertifikatsperrüberprüfung ist nur gültig, wenn der Sicherheitskonformitätsmodus SP800-52 eingestellt ist.
Wenn diese Einstellung aktiviert ist, prüft der Client, ob das Zertifikat des Servers widerrufen wurde. Es gibt mehrere Prüfstufen für die Zertifikatsperrliste. Der Client kann beispielsweise so konfiguriert werden, dass er nur die lokale Zertifikatsperrliste oder die lokale und die Netzwerkzertifikatsperrliste überprüft. Außerdem können Sie die Überprüfung der Zertifikate so konfigurieren, dass Benutzer sich nur anmelden können, wenn alle Zertifikatsperrlisten überprüft wurden.
Das Prüfen der Zertifikatsperrliste ist ein erweitertes Feature, das von einigen Zertifikatausstellern unterstützt wird. Der Administrator kann Sicherheitszertifikate widerrufen (d. h. vor dem Ablaufdatum ungültig machen), wenn der private Schlüssel des Zertifikats kryptografisch kompromittiert wurde.
Gültige Werte für diese Einstellung sind Folgende:

- Keine Prüfung: Es wird keine Überprüfung der Zertifikatsperrliste durchgeführt.
- Prüfung ohne Netzwerkzugriff: Die Zertifikatsperrliste wird überprüft. Es werden nur lokale Zertifikatsperrlistenspeicher verwendet. Alle Verteilungspunkte werden ignoriert. Das Finden einer Zertifikatsperrliste ist für die Überprüfung des Serverzertifikats, das vom Ziel-SSL-Relay bzw. Secure Gateway-Server vorgelegt wird, nicht wichtig.
- Volle Zugriffsprüfung: Die Zertifikatsperrliste wird überprüft. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn für ein Zertifikat Sperrinformationen gefunden werden, wird die Verbindung abgelehnt. Das Finden einer Zertifikatsperrliste ist für die Überprüfung des Serverzertifikats, das vom Zielserver vorgelegt wird, nicht wichtig.
- Volle Zugriffsprüfung und CRL erforderlich: Die Zertifikatsperrliste wird überprüft; die Stamm-ZS ist ausgeschlossen. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn für ein Zertifikat Sperrinformationen gefunden werden, wird die Verbindung abgelehnt. Das Finden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung wichtig.
- Volle Zugriffsprüfung und alle CRL erforderlich: Die Zertifikatsperrliste und die Stamm-ZS werden überprüft. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn für ein Zertifikat Sperrinformationen gefunden werden, wird die Verbindung abgelehnt. Das Finden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung wichtig.
Organisationen, die TLS für eine Reihe von Produkten konfigurieren, können Server, die für Citrix Workspace bestimmt sind, durch Angabe einer Zertifikatrichtlinienerweiterungs-OID als Teil des Sicherheitszertifikats identifizieren. Wenn hier eine Richtlinienerweiterungs-OID konfiguriert wird, akzeptiert Citrix Workspace nur Zertifikate, die eine kompatible Richtlinie deklarieren.

Bei Verbindungen über TLS kann die Konfiguration des Servers erfordern, dass Citrix Workspace sich durch ein Sicherheitszertifikat selbst identifiziert. Mit der Einstellung 'Clientauthentifizierung' können Sie festlegen, ob die Identifikation automatisch erfolgt oder ob der Benutzer benachrichtigt wird. Die folgenden Optionen sind verfügbar:

- Deaktiviert: Die Clientauthentifizierung ist deaktiviert
- Zertifikatauswähler anzeigen: Benutzer immer zum Auswählen eines Zertifikats auffordern
- Wenn möglich automatisch auswählen: Benutzer nur auffordern, wenn mehrere Zertifikate zur Auswahl stehen
Identifikation nie bereitstellen
- Nicht konfiguriert: Die Clientauthentifizierung ist nicht konfiguriert. Das Standardverhalten wird angewendet.
- Angegebenes Zertifikat verwenden: Das in der Einstellung angegebene Clientzertifikat verwenden

Geben Sie mit der Einstellung 'Clientzertifikat' den Fingerabdruck des identifizierenden Zertifikats an, damit Benutzer nicht unnötig aufgefordert werden.

TLS für alle Verbindungen verwenden

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLEnable
Value Type	REG_SZ
Default Value	true
True Value	true
False Value	*

Sicherheitskonformitätsmodus

0. Ohne
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLSecurityComplianceMode
   Value Type	REG_SZ
   Value	NONE

1. SP800-52
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLSecurityComplianceMode
   Value Type	REG_SZ
   Value	SP800-52

2. FIPS
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLSecurityComplianceMode
   Value Type	REG_SZ
   Value	FIPS

TLS-Version

0. TLS1.2
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SecureChannelProtocol
   Value Type	REG_SZ
   Value	TLS12

1. TLS1.1 | TLS1.2
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SecureChannelProtocol
   Value Type	REG_SZ
   Value	TLS11_TLS12

2. TLS1.0 | TLS1.1 | TLS1.2
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SecureChannelProtocol
   Value Type	REG_SZ
   Value	TLS11_TLS12_TLS13

TLS-Verschlüsselungssammlung

0. Beliebig
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCiphers
   Value Type	REG_SZ
   Value

1. Behörden
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCiphers
   Value Type	REG_SZ
   Value	GOV

2. Kommerziell
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCiphers
   Value Type	REG_SZ
   Value	COM

Richtlinie 'Zertifikatsperrüberprüfung'

0. Keine Prüfung
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	NoCheck

1. Prüfung ohne Netzwerkzugriff
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	CheckNoNetworkAccess

2. Volle Zugriffsprüfung
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	FullAccessCheck

3. Volle Zugriffsprüfung und CRL erforderlich
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	FullAccessCheckAndCrlRequired

4. Volle Zugriffsprüfung und alle CRL erforderlich
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	FullAccessCheckAndCrlRequiredAll

Clientauthentifizierung

0. Nicht konfiguriert
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value

1. Zertifikatauswähler anzeigen
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	AlwaysPromptUser

2. Deaktiviert
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	Off

3. Angegebenes Zertifikat verwenden
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	On

4. Wenn möglich automatisch auswählen
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	PromptUser