TLS en nalevingsmodus configureren

Met deze optie kan Citrix Workspace beveiligde verbindingen identificeren en de communicatie op de server zelf versleutelen.

De volgende typen TLS-beveiligde verbinding tussen Citrix Workspace en XenApp en XenDesktop worden door Citrix ondersteund:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2

De waarden voor de beveiligingsnalevingsmodus zijn:
- FIPS: Het inschakelen van de FIPS-modus dwingt het Windows-besturingssysteem en de bijbehorende subsystemen om alleen FIPS-gevalideerde cryptografische algoritmen te gebruiken.
- Geen: Er wordt geen nalevingsmodus afgedwongen.
- SP800-52: Naleving van NIST SP800-52r1 wordt afgedwongen.
Wanneer u SP800-52 selecteert in de vervolgkeuzelijst Beveiligingsnalevingsmodus, is het volgende beleid voor controle van ingetrokken certificaten (CRCP) toegestaan:
-Volledige toegangscontrole en CRL vereist. Dit is de standaardoptie.
-Volledige toegangscontrole en alle CRL vereist

Met de optie Toegestane TLS-servers kunt u door middel van een door komma's gescheiden lijst Citrix Workspace beperken om alleen verbinding te maken met de opgegeven server(s). Er kunnen jokertekens en poortnummers worden opgegeven, bijvoorbeeld *.citrix.com:4433 staat verbinding toe met elke server met een algemene naam die eindigt met .citrix.com op poort 4433. De nauwkeurigheid van de informatie in een beveiligingsscertificaat wordt bevestigd door de uitgever van het certificaat. Als Citrix Workspace de uitgever van een certificaat niet herkent en vertrouwt, wordt de verbinding geweigerd.

De TLS-versie kan worden beperkt tot elke combinatie van:

- TLS 1.0, TLS 1.1 of TLS 1.2
- TLS 1.1 of TLS 1.2
- Alleen TLS 1.2

TLS-coderingsset is een groep coderingssuites die door de client is toegestaan. De TLS-coderingsset kan op een van de volgende manieren worden geconfigureerd:
Opmerking: de TLS_RSA_* coderingssuites kunnen worden uitgeschakeld met behulp van het beleid Verouderde coderingssuites.
- Willekeurig: wanneer "Willekeurig" is ingesteld, zijn de volgende coderingssuites standaard toegestaan ​​in de nalevingsmodus GEEN:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- Commercieel: wanneer "Commercieel" is ingesteld, zijn alleen de volgende coderingssuites toegestaan:
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- Overheid: wanneer "Overheid" is ingesteld, zijn alleen de volgende coderingssuites toegestaan:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV


De certificaatintrekkingscontrole (CRC) wordt gebruikt om de cryptografische verificatie van de Citrix-server te verbeteren en verbetert de algehele beveiliging van de TLS-verbindingen tussen een client en een server.
Opmerking: de certificaatintrekkingscontrole is alleen geldig wanneer de SP800-52-beveiligingsnalevingsmodus is ingesteld.
Wanneer u deze instelling inschakelt, controleert de client of het certificaat van de server al dan niet is ingetrokken. Er zijn verschillende controleniveaus van de certificaatintrekkingslijst. De client kan bijvoorbeeld worden geconfigureerd om alleen de lokale certificaatlijst te controleren of om de intrekkingslijsten van lokale en netwerkcertificaten te controleren. Certificaatcontrole kan bovendien zo geconfigureerd worden dat gebruikers zich alleen kunnen aanmelden als alle certificaatintrekkingslijsten zijn geverifieerd.
Certificaatintrekkingscontrole (CRC) is een geavanceerde functie die door sommige certificaatuitgevers wordt ondersteund. Het staat een beheerder toe om beveiligingscertificaten in te trekken (ongeldig gemaakt voor de vervaldatum) in het geval dat de privésleutel van het certificaat wordt gecompromitteerd.
De toepasselijke waarden voor deze instelling zijn:

- Geen controle: er wordt geen certificaatintrekkingscontrole uitgevoerd.
- Controleren zonder netwerktoegang: certificaatintrekkingscontrole wordt uitgevoerd. Alleen stores in de lokale certificaatintrekkingslijst worden gebruikt. Alle distributiepunten worden genegeerd. Het vinden van een certificaatintrekkingslijst is niet essentieel voor verificatie van het servercertificaat dat wordt aangeboden door de SSL Relay/Secure Gateway-doelserver.
- Volledige toegangscontrole: certificaatintrekkingscontrole wordt uitgevoerd. Lokale stores in certificaatintrekkingslijsten en alle distributiepunten worden gebruikt. Als intrekkingsinformatie voor een certificaat wordt gevonden, wordt de verbinding geweigerd. Het vinden van een certificaatintrekkingslijst is niet essentieel voor verificatie van het servercertificaat dat wordt aangeboden door de doelserver.
- Volledige toegangscontrole en CRL vereist: controle van de certificaatintrekkingslijst wordt uitgevoerd, met uitzondering van de basiscertificeringsinstantie. Lokale stores in certificaatintrekkingslijsten en alle distributiepunten worden gebruikt. Als intrekkingsinformatie voor een certificaat wordt gevonden, wordt de verbinding geweigerd. Het vinden van alle vereiste certificaatintrekkingslijsten is essentieel voor verificatie.
- Volledige toegangscontrole en alle CRL vereist: controle van de certificaatintrekkingslijst wordt uitgevoerd, inclusief de basiscertificeringsinstantie. Lokale stores in certificaatintrekkingslijsten en alle distributiepunten worden gebruikt. Als intrekkingsinformatie voor een certificaat wordt gevonden, wordt de verbinding geweigerd. Het vinden van alle vereiste certificaatintrekkingslijsten is essentieel voor verificatie.
Organisaties die TLS voor een reeks producten configureren, kunnen kiezen om servers die bedoeld zijn voor Citrix Workspace te identificeren door een certificaatbeleidsextensie-OID op te geven als onderdeel van het beveiligingscertificaat. Als hier een beleidsextensie-OID is geconfigureerd, accepteert Citrix Workspace alleen certificaten die een compatibel beleid declareren.

Wanneer verbinding wordt gemaakt via TLS, kan de server zodanig geconfigureerd zijn dat Citrix Workspace een beveiligingscertificaat nodig heeft om zichzelf te identificeren. Met de instelling "Clientverificatie" kunt u configureren of identificatie automatisch plaatsvindt of dat de gebruiker op de hoogte wordt gesteld. Opties zijn onder meer:

- Uitgeschakeld: clientverificatie is uitgeschakeld
- Certificaatselectie weergeven: de gebruiker altijd vragen om een ​​certificaat te selecteren.
- Automatisch selecteren indien mogelijk: vraag de gebruiker alleen als er uit certificaten moet worden gekozen
identificatie nooit opgeven
-Niet geconfigureerd: clientverificatie is niet geconfigureerd. Standaardgedrag wordt toegepast.
- Opgegeven certificaat gebruiken: gebruik het clientcertificaat dat in de onderstaande instelling is opgegeven

Gebruik de instelling "Clientcertificaat" om de vingerafdruk van het identificerende certificaat op te geven, zodat de gebruiker niet onnodig hierom wordt gevraagd.

Ondersteund op: Alle door Citrix Workspace ondersteunde platforms

TLS vereisen voor alle verbindingen
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value NameSSLEnable
Value TypeREG_SZ
Default Valuetrue
True Valuetrue
False Value*
Beveiligingsnalevingsmodus


  1. GEEN
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueNONE
  2. SP800-52
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueSP800-52
  3. FIPS
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueFIPS

TLS-versie


  1. TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS12
  2. TLS1.1 | TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12
  3. TLS1.0 | TLS1.1 | TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12_TLS13

TLS-coderingsset


  1. Willekeurig
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    Value
  2. Overheid
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueGOV
  3. Commercieel
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueCOM

Beleid voor certificaatintrekkingscontrole


  1. Geen controle
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueNoCheck
  2. Controleren zonder netwerktoegang
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueCheckNoNetworkAccess
  3. Volledige toegangscontrole
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheck
  4. Volledige toegangscontrole en CRL vereist
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequired
  5. Volledige toegangscontrole en alle CRL vereist
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequiredAll

Clientverificatie


  1. Niet geconfigureerd
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    Value
  2. Certificaatkiezer weergeven
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueAlwaysPromptUser
  3. Uitgeschakeld
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOff
  4. Opgegeven certificaat gebruiken
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOn
  5. Automatisch selecteren indien mogelijk
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValuePromptUser


receiver.admx

Beheersjablonen (computers)

Beheersjablonen (gebruikers)