TLS en nalevingsmodus configureren

Met deze optie kan Citrix Workspace beveiligde verbindingen identificeren en de communicatie op de server zelf versleutelen.

De volgende typen TLS-beveiligde verbinding tussen Citrix Workspace en XenApp en XenDesktop worden door Citrix ondersteund:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2

De waarden voor de beveiligingsnalevingsmodus zijn:
- FIPS: Het inschakelen van de FIPS-modus dwingt het Windows-besturingssysteem en de bijbehorende subsystemen om alleen FIPS-gevalideerde cryptografische algoritmen te gebruiken.
- Geen: Er wordt geen nalevingsmodus afgedwongen.
- SP800-52: Naleving van NIST SP800-52r1 wordt afgedwongen.
Wanneer u SP800-52 selecteert in de vervolgkeuzelijst Beveiligingsnalevingsmodus, is het volgende beleid voor controle van ingetrokken certificaten (CRCP) toegestaan:
-Volledige toegangscontrole en CRL vereist. Dit is de standaardoptie.
-Volledige toegangscontrole en alle CRL vereist

Met de optie Toegestane TLS-servers kunt u door middel van een door komma's gescheiden lijst Citrix Workspace beperken om alleen verbinding te maken met de opgegeven server(s). Er kunnen jokertekens en poortnummers worden opgegeven, bijvoorbeeld *.citrix.com:4433 staat verbinding toe met elke server met een algemene naam die eindigt met .citrix.com op poort 4433. De nauwkeurigheid van de informatie in een beveiligingsscertificaat wordt bevestigd door de uitgever van het certificaat. Als Citrix Workspace de uitgever van een certificaat niet herkent en vertrouwt, wordt de verbinding geweigerd.

De TLS-versie kan worden beperkt tot elke combinatie van:

- TLS 1.0, TLS 1.1 of TLS 1.2
- TLS 1.1 of TLS 1.2
- Alleen TLS 1.2

TLS-coderingsset is een groep coderingssuites die door de client is toegestaan. De TLS-coderingsset kan op een van de volgende manieren worden geconfigureerd:
Opmerking: de TLS_RSA_* coderingssuites kunnen worden uitgeschakeld met behulp van het beleid Verouderde coderingssuites.
- Willekeurig: wanneer "Willekeurig" is ingesteld, zijn de volgende coderingssuites standaard toegestaan ​​in de nalevingsmodus GEEN:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- Commercieel: wanneer "Commercieel" is ingesteld, zijn alleen de volgende coderingssuites toegestaan:
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- Overheid: wanneer "Overheid" is ingesteld, zijn alleen de volgende coderingssuites toegestaan:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

De certificaatintrekkingscontrole (CRC) wordt gebruikt om de cryptografische verificatie van de Citrix-server te verbeteren en verbetert de algehele beveiliging van de TLS-verbindingen tussen een client en een server.
Opmerking: de certificaatintrekkingscontrole is alleen geldig wanneer de SP800-52-beveiligingsnalevingsmodus is ingesteld.
Wanneer u deze instelling inschakelt, controleert de client of het certificaat van de server al dan niet is ingetrokken. Er zijn verschillende controleniveaus van de certificaatintrekkingslijst. De client kan bijvoorbeeld worden geconfigureerd om alleen de lokale certificaatlijst te controleren of om de intrekkingslijsten van lokale en netwerkcertificaten te controleren. Certificaatcontrole kan bovendien zo geconfigureerd worden dat gebruikers zich alleen kunnen aanmelden als alle certificaatintrekkingslijsten zijn geverifieerd.
Certificaatintrekkingscontrole (CRC) is een geavanceerde functie die door sommige certificaatuitgevers wordt ondersteund. Het staat een beheerder toe om beveiligingscertificaten in te trekken (ongeldig gemaakt voor de vervaldatum) in het geval dat de privésleutel van het certificaat wordt gecompromitteerd.
De toepasselijke waarden voor deze instelling zijn:

- Geen controle: er wordt geen certificaatintrekkingscontrole uitgevoerd.
- Controleren zonder netwerktoegang: certificaatintrekkingscontrole wordt uitgevoerd. Alleen stores in de lokale certificaatintrekkingslijst worden gebruikt. Alle distributiepunten worden genegeerd. Het vinden van een certificaatintrekkingslijst is niet essentieel voor verificatie van het servercertificaat dat wordt aangeboden door de SSL Relay/Secure Gateway-doelserver.
- Volledige toegangscontrole: certificaatintrekkingscontrole wordt uitgevoerd. Lokale stores in certificaatintrekkingslijsten en alle distributiepunten worden gebruikt. Als intrekkingsinformatie voor een certificaat wordt gevonden, wordt de verbinding geweigerd. Het vinden van een certificaatintrekkingslijst is niet essentieel voor verificatie van het servercertificaat dat wordt aangeboden door de doelserver.
- Volledige toegangscontrole en CRL vereist: controle van de certificaatintrekkingslijst wordt uitgevoerd, met uitzondering van de basiscertificeringsinstantie. Lokale stores in certificaatintrekkingslijsten en alle distributiepunten worden gebruikt. Als intrekkingsinformatie voor een certificaat wordt gevonden, wordt de verbinding geweigerd. Het vinden van alle vereiste certificaatintrekkingslijsten is essentieel voor verificatie.
- Volledige toegangscontrole en alle CRL vereist: controle van de certificaatintrekkingslijst wordt uitgevoerd, inclusief de basiscertificeringsinstantie. Lokale stores in certificaatintrekkingslijsten en alle distributiepunten worden gebruikt. Als intrekkingsinformatie voor een certificaat wordt gevonden, wordt de verbinding geweigerd. Het vinden van alle vereiste certificaatintrekkingslijsten is essentieel voor verificatie.
Organisaties die TLS voor een reeks producten configureren, kunnen kiezen om servers die bedoeld zijn voor Citrix Workspace te identificeren door een certificaatbeleidsextensie-OID op te geven als onderdeel van het beveiligingscertificaat. Als hier een beleidsextensie-OID is geconfigureerd, accepteert Citrix Workspace alleen certificaten die een compatibel beleid declareren.

Wanneer verbinding wordt gemaakt via TLS, kan de server zodanig geconfigureerd zijn dat Citrix Workspace een beveiligingscertificaat nodig heeft om zichzelf te identificeren. Met de instelling "Clientverificatie" kunt u configureren of identificatie automatisch plaatsvindt of dat de gebruiker op de hoogte wordt gesteld. Opties zijn onder meer:

- Uitgeschakeld: clientverificatie is uitgeschakeld
- Certificaatselectie weergeven: de gebruiker altijd vragen om een ​​certificaat te selecteren.
- Automatisch selecteren indien mogelijk: vraag de gebruiker alleen als er uit certificaten moet worden gekozen
identificatie nooit opgeven
-Niet geconfigureerd: clientverificatie is niet geconfigureerd. Standaardgedrag wordt toegepast.
- Opgegeven certificaat gebruiken: gebruik het clientcertificaat dat in de onderstaande instelling is opgegeven

Gebruik de instelling "Clientcertificaat" om de vingerafdruk van het identificerende certificaat op te geven, zodat de gebruiker niet onnodig hierom wordt gevraagd.

TLS vereisen voor alle verbindingen

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLEnable
Value Type	REG_SZ
Default Value	true
True Value	true
False Value	*

Beveiligingsnalevingsmodus

0. GEEN
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLSecurityComplianceMode
   Value Type	REG_SZ
   Value	NONE

1. SP800-52
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLSecurityComplianceMode
   Value Type	REG_SZ
   Value	SP800-52

2. FIPS
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLSecurityComplianceMode
   Value Type	REG_SZ
   Value	FIPS

TLS-versie

0. TLS1.2
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SecureChannelProtocol
   Value Type	REG_SZ
   Value	TLS12

1. TLS1.1 | TLS1.2
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SecureChannelProtocol
   Value Type	REG_SZ
   Value	TLS11_TLS12

2. TLS1.0 | TLS1.1 | TLS1.2
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SecureChannelProtocol
   Value Type	REG_SZ
   Value	TLS11_TLS12_TLS13

TLS-coderingsset

0. Willekeurig
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCiphers
   Value Type	REG_SZ
   Value

1. Overheid
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCiphers
   Value Type	REG_SZ
   Value	GOV

2. Commercieel
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCiphers
   Value Type	REG_SZ
   Value	COM

Beleid voor certificaatintrekkingscontrole

0. Geen controle
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	NoCheck

1. Controleren zonder netwerktoegang
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	CheckNoNetworkAccess

2. Volledige toegangscontrole
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	FullAccessCheck

3. Volledige toegangscontrole en CRL vereist
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	FullAccessCheckAndCrlRequired

4. Volledige toegangscontrole en alle CRL vereist
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	FullAccessCheckAndCrlRequiredAll

Clientverificatie

0. Niet geconfigureerd
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value

1. Certificaatkiezer weergeven
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	AlwaysPromptUser

2. Uitgeschakeld
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	Off

3. Opgegeven certificaat gebruiken
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	On

4. Automatisch selecteren indien mogelijk
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	PromptUser