Configuración del modo de conformidad y TLS
Esta opción permite a Citrix Workspace identificar conexiones seguras y cifrar la comunicación dentro del servidor.
Estos son los tipos de conexiones seguras con TLS entre Citrix Workspace y XenApp y XenDesktop que Citrix respalda:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2
Los valores del Modo de conformidad para la seguridad son:
- FIPS: Cuando se habilita el modo FIPS, se obliga al sistema operativo Windows y sus subsistemas a usar solamente algoritmos criptográficos validados por FIPS.
- Ninguno: No se obliga a aplicar ningún modo de conformidad.
- SP800-52: Se obliga a aplicar NIST SP800-52r1.
Cuando se selecciona la opción SP800-52 en el menú desplegable de Modo de conformidad para la seguridad, se permite la siguiente Directiva de comprobación de revocación de certificados (CRCP):
- Requerir comprobación con acceso completo y lista de revocación de certificados: Esta es la opción predeterminada.
- Requerir comprobación con acceso completo y todas las listas de revocación de certificados
Puede restringir Citrix Workspace para que solo se conecte con servidores especificados, definiendo una lista de servidores separados por comas en el parámetro Servidores TLS permitidos. Pueden usar comodines y números de puerto. Por ejemplo, *.citrix.com:4433 permite la conexión con cualquier servidor cuyo nombre común termine en .citrix.com en el puerto 4433. La exactitud de la información incluida en un certificado de seguridad está aseverada por el emisor del certificado. Si Citrix Workspace no reconoce ni confía en el emisor de un certificado, la conexión se rechaza.
La versión de TLS se puede restringir a cualquier combinación de:
- TLS 1.0, TLS 1.1 o TLS 1.2
- TLS 1.1 o TLS 1.2
- Solo TLS 1.2
El conjunto de cifrado TLS es un grupo de conjuntos de cifrado permitidos por el cliente. El conjunto de cifrado TLS se puede configurar con alguno de los siguientes:
Nota: Los conjuntos de cifrado TLS_RSA_* se pueden inhabilitar mediante la directiva Conjuntos de cifrado retirados.
- Cualquiera: Cuando se configura el valor "Cualquiera", se permiten los siguientes conjuntos de cifrado en el modo de conformidad NINGUNO, de manera predeterminada:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV
- Comercial: Con esta opción, solo se permite usar los conjuntos de cifrado siguientes:
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV
- Gubernamental: Con esta opción, solo se permite usar los conjuntos de cifrado siguientes:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV
La Directiva de comprobación de revocación de certificados se usa para mejorar la autenticación criptográfica del servidor Citrix y mejora la seguridad global de las conexiones TLS entre cliente y servidor.
Nota: La comprobación de la revocación de certificados solo es válida cuando el Modo de conformidad para la seguridad es SP800-52.
Cuando se habilita este parámetro, el cliente comprueba si el certificado del servidor ha sido revocado o no. Hay varios niveles de comprobación de la lista de revocación de certificados. Por ejemplo, se puede configurar el cliente para que solo compruebe su lista de certificados local, o para que compruebe la lista de certificados local y las listas que existan en la red. Además, la comprobación de certificados se puede configurar para permitir que los usuarios inicien sesiones solo si se han verificado todas las listas de revocación de certificados.
La comprobación de revocación de certificados es una función avanzada admitida por algunos emisores de certificados. Permite a los administradores revocar certificados de seguridad (invalidados antes de su fecha de caducidad) en el caso de detectarse algún riesgo para la clave privada del certificado.
Los valores aplicables para esta configuración son:
- No comprobar: No se lleva a cabo ninguna comprobación de revocación de certificados.
- Comprobar sin acceso a red: Se lleva a cabo la comprobación de revocación de certificados. Solo se usan los almacenes de la lista de revocación de certificados local. Se ignoran todos los puntos de distribución. Para la verificación del certificado de servidor que presenta el servidor SSL Relay/Secure Gateway de destino no es de importancia fundamental encontrar una lista de revocación de certificados.
- Comprobar con acceso completo: Se lleva a cabo la comprobación de revocación de certificados. Se usan tanto los almacenes locales de listas de revocación de certificados como los de todos los puntos de distribución. Si se encuentra información de revocación de un certificado, la conexión se rechaza. Para la verificación del certificado de servidor que presenta el servidor de destino no es de importancia fundamental encontrar una lista de revocación de certificados.
- Requerir comprobación con acceso completo y lista de revocación de certificados: Se lleva a cabo una comprobación de listas de revocación de certificados, excluyendo la entidad de certificación (CA) raíz. Se usan tanto los almacenes locales de listas de revocación de certificados como los de todos los puntos de distribución. Si se encuentra información de revocación de un certificado, la conexión se rechaza. Para la verificación es de importancia fundamental encontrar todas las listas de revocación de certificados.
- Requerir comprobación con acceso completo y todas las listas de revocación de certificados: Se lleva a cabo una comprobación de listas de revocación de certificados, incluida la entidad de certificación (CA) raíz. Se usan tanto los almacenes locales de listas de revocación de certificados como los de todos los puntos de distribución. Si se encuentra información de revocación de un certificado, la conexión se rechaza. Para la verificación es de importancia fundamental encontrar todas las listas de revocación de certificados.
Las organizaciones que configuran TLS para una gama de productos pueden identificar los servidores dedicados a Citrix Workspace especificando un ID de objeto (OID) de extensión de directiva de certificado como parte del certificado de seguridad. Si se configura un OID de extensión de directiva aquí, Citrix Workspace acepta solo aquellos certificados que declaren una directiva compatible.
Al conectar mediante TLS, el servidor puede configurarse para requerir que Citrix Workspace suministre un certificado de seguridad para identificarse a sí mismo. Use el parámetro "Autenticación del cliente" para configurar si la identificación se proporciona automáticamente, o si se notifica al usuario. Las opciones incluyen:
- Inhabilitado: La autenticación del cliente está inhabilitada
- Mostrar selector de certificados: Se pide siempre al usuario que seleccione un certificado.
- Seleccionar automáticamente, si es posible: Solo se pregunta al usuario cuando hay varios certificados que se pueden elegir
- Nunca: Nunca proporcionar identificación
- No configurado: La autenticación de cliente no está configurada. Se aplica el comportamiento predeterminado.
- Usar un certificado especificado: Usar el certificado de cliente especificado en el parámetro más abajo
Use el parámetro "Certificado del cliente" para especificar la huella digital del certificado de identificación y evitar tener que preguntar al usuario innecesariamente.
Compatible con: Todas las plataformas compatibles con Receiver
receiver.admx