TLS およびコンプライアンス モードの構成

このオプションを使用して Citrix Workspace が保護された接続を指定し、サーバーとの通信を暗号化できます。

以下は、Citrix Workspace と XenApp/XenDesktop 間でシトリックスがサポートする保護された接続の TLS の種類です。
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2

以下は、[セキュリティ コンプライアンス モード] の値です。
- FIPS - FIPS モードを有効にすると、Windows オペレーティングシステムとそのサブシステムは、FIPS で検証された暗号化アルゴリズムのみを使用します。
- なし - コンプライアンスモードが適用されません。
- SP800-52 - NIST SP800-52r1 コンプライアンスが適用されます。
[セキュリティ コンプライアンス モード] ドロップダウン メニューで SP800-52 を選択すると、以下の証明書失効チェックのポリシー (CRCP) が許可されます。
- アクセス権と CRL の完全チェックが必要です。 これはデフォルトのオプションです。
- アクセス権と CRL の完全チェックで「すべて」が必要です

Citrix Workspace を、[許可された TLS サーバー] オプションのコンマで区切られた一覧で指定された特定のサーバーのみに接続するよう制限できます。ワイルドカードとポート番号はここで指定できます。たとえば、*.citrix.com:4433 は共通名が .citrix.com で終わるポート 4433 の任意のサーバーへの接続を許可します。 セキュリティ証明書の情報の正確さは、証明書の発行者によります。 Citrix Workspace が証明書の発行者を認識せず、信頼しない場合、接続は拒否されます。

TLS バージョンは次の組み合わせに制限できます。

- TLS 1.1 または TLS 1.2
- TLS 1.1 または TLS 1.2
- TLS 1.2 のみ

TLS 暗号セットは、クライアントで許可された暗号の組み合わせのグループです。 TLS 暗号セットは次のうちの 1 つのサーバーに構成できます。
注: TLS_RSA_* 暗号の組み合わせは、廃止された暗号の組み合わせポリシーを使用して無効にすることができます。
- 任意: 「任意」が設定されると、デフォルトでコンプライアンスモード [なし] で次の暗号の組み合わせが許可されます:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- 商用: 「商用」が設定されると、次の暗号の組み合わせのみが許可されます。
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- 自治体: 「自治体」が設定されると、暗号の組み合わせのみが許可されます。
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV


「証明書失効チェック」は、Citrix サーバーの暗号化認証の向上に使用され、クライアントとサーバー間の TLS 接続の全体的なセキュリティを向上させます。
注: 「証明書失効チェック」は、SP800-52 セキュリティ コンプライアンス モードが設定されている場合にのみ有効です。
この設定を有効にすると、クライアントはサーバーの証明書が失効しているかどうかをチェックします。 証明書失効チェック用の一覧には、さまざまなレベルがあります。 たとえば、クライアントはローカルの証明書一覧のみをチェックしたり、ローカルとネットワークの証明書一覧をチェックするように構成できます。 また、すべての証明書失効一覧が検証された場合のみ、証明書チェックはユーザーのログオンを許可するように構成できます。
「証明書失効チェックのポリシー」は、一部の証明書発行者がサポートする高度な機能です。 これによって、証明書秘密キーが危害を受けた場合、管理者はセキュリティ証明書を無効にする (期限切れ前に無効にする) ことができます。
この設定では、次の値が使用されます:

- チェックなし - 証明書失効チェックは実行されません。
- ネットワーク アクセスなしでチェックします - 証明書失効チェックが実行されます。 ローカル証明書失効一覧のストアのみが使用されます。 すべての配布ポイントが無視されます。 証明書失効一覧の検出は、ターゲット SSL Relay/Secure Gateway サーバーによって提示されるサーバー証明書の検証に必要ではありません。
- 完全なアクセス権のチェック - 証明書失効チェックが実行されます。 ローカル証明書失効一覧のストアとすべての配布ポイントが使用されます。 証明書の失効情報が検出されると、接続は拒否されます。 証明書失効一覧の検出が、ターゲット サーバーで提示されるサーバー証明書の検証に必要です。
- 完全なアクセス権のチェックとCRLが必要です - ルート CA を除いて証明書失効一覧チェックが実行されます。 ローカル証明書失効一覧のストアとすべての配布ポイントが使用されます。 証明書の失効情報が検出されると、接続は拒否されます。 証明書失効一覧すべての検出が、検証には不可欠です。
- 完全なアクセス権のチェックとCRLが必要です - ルート CA を含んで証明書失効一覧チェックが実行されます。 ローカル証明書失効一覧のストアとすべての配布ポイントが使用されます。 証明書の失効情報が検出されると、接続は拒否されます。 証明書失効一覧すべての検出が、検証には不可欠です。
さまざまな製品の TLS を構成する組織は、証明書のポリシーの拡張 OID をセキュリティ証明書の一部として指定することで Citrix Workspace の対象のサーバーを識別できます。 ポリシーの拡張 OID がここで構成されると、Citrix Workspace は互換性のあるポリシーを宣言する証明書のみを受け入れます。

TLS で接続すると、Citrix Workspace が自身を識別するセキュリティ証明書を提供できるようにサーバーを構成できます。 [クライアント証明書] 設定を使用して証明書のサムプリントの識別を指定し、ユーザーに不必要に提供を求めないようにします。 オプションは次になります。

- 無効 - クライアント認証が無効になります。
- 証明書セレクタを表示します - 常にユーザーに証明書を選択するよう求めます。
- 可能な場合、自動的に選択します - 証明書に選択肢がある場合のみユーザに要求します
[クライアント証明書] 設定を使用して証明書のサムプリントの識別を指定し、ユーザーに不必要に提供を求めないようにします。
- 未構成 - クライアント認証が構成されません。 デフォルトの動作が適用されます。
- 指定された証明書を使用します - 次の設定で指定されたクライアント証明書を使用します

[クライアント証明書] 設定を使用して証明書のサムプリントの識別を指定し、ユーザーに不必要に提供を求めないようにします。

サポートされるバージョン: Receiver がサポートするすべてのプラットフォーム

すべての接続で TLS が必要
Registry HiveHKEY_CURRENT_USER
Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value NameSSLEnable
Value TypeREG_SZ
Default Valuetrue
True Valuetrue
False Value*
セキュリティ コンプライアンス モード


  1. なし
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueNONE
  2. SP800-52
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueSP800-52
  3. FIPS
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueFIPS

TLS バージョン


  1. TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS12
  2. TLS1.1 | TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12
  3. TLS1.0 | TLS1.1 | TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12_TLS13

TLS 暗号の組み合わせ


  1. 任意
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    Value
  2. 自治体
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueGOV
  3. 商用
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueCOM

証明書失効チェックのポリシー


  1. チェックなし
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueNoCheck
  2. ネットワークにアクセスせずにチェックします
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueCheckNoNetworkAccess
  3. 完全なアクセス権のチェック
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheck
  4. 完全なアクセス権と CRL のチェックが必要です
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequired
  5. すべてに完全なアクセス権と CRL のチェックが必要です
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequiredAll

クライアント認証


  1. 未構成
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    Value
  2. 証明書セレクタを表示します
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueAlwaysPromptUser
  3. 無効
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOff
  4. 指定された証明書を使用します
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOn
  5. 可能な場合、自動的に選択します
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValuePromptUser


receiver.admx

管理用テンプレート (コンピューター)

管理用テンプレート (ユーザー)