TLS e configuração do modo de conformidade

Essa opção permite que o Citrix Workspace identifique conexões seguras e criptografe a comunicação dentro do servidor.

A seguir estão o tipo de conexão segura TLS entre Citrix Workspace e XenApp e XenDesktop que a Citrix oferece suporte:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2

Os valores do Modo de Conformidade de Segurança são:
- FIPS - A ativação do modo FIPS força o sistema operacional Windows e seus subsistemas a usar apenas algoritmos criptográficos validados por FIPS.
- Nenhum - Não é aplicado nenhum modo de conformidade.
- SP800-52 - É aplicada a conformidade com o NIST SP800-52r1.
Quando você seleciona SP800-52 no menu suspenso Modo de conformidade de segurança, é permitida a seguinte política de verificação de revogação de certificado (CRCP):
-É necessária a verificação de acesso completo e CRL. Esta é a opção padrão.
-Verificação de acesso completo e todos CRL necessários

Você pode restringir o Citrix Workspace a se conectar apenas a servidores especificado por uma lista separada por vírgulas na opção Servidores TLS permitidos. Ali podem ser especificados curingas e números de porta, por exemplo, * .citrix.com: 4433 permite a conexão com qualquer servidor cujo o nome comum termina com .citrix.com na porta 4433. A precisão das informações em um certificado de segurança é confirmada pelo emissor do certificado. Se o Citrix Workspace não reconhecer e confiar no emissor de um certificado, a conexão será rejeitada.

A versão TLS pode ser restrita a qualquer combinação de:

- TLS 1.0, TLS 1.1 ou TLS 1.2
- TLS 1.1 ou TLS 1.2
- Somente TLS 1.2

O conjunto de cifras TLS é um grupo de conjuntos de cifras permitidos pelo cliente. O conjunto de codificação TLS pode ser configurado para um dos seguintes:
Nota: Os conjuntos de cifras TLS_RSA_ * podem ser desativados usando a política Pacotes de criptografia obsoletos.
- Qualquer: Quando "Qualquer" é definido, os seguintes pacote de codificação são permitidos no modo de conformidade NENHUM por padrão:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- Comercial: Quando "Comercial" é definido apenas os seguintes conjuntos de cifras são permitidos:
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- Governo: Quando "Governo" é definido, são permitidos apenas os seguintes conjuntos de códigos:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

A Verificação de Revogação de Certificado é usada para melhorar a autenticação criptográfica do servidor Citrix e melhora a segurança geral das conexões TLS entre um cliente e um servidor.
Nota: A verificação de revogação de certificado é válida apenas quando o modo de conformidade de segurança SP800-52 está definido.
Quando você ativa essa configuração, o cliente verifica se o certificado do servidor foi ou não revogado. Existem vários níveis para verificar a lista de revogação de certificado. Por exemplo, o cliente pode ser configurado para verificar apenas sua lista de certificados locais ou para verificar as listas de certificados locais e de rede. Além disso, a verificação de certificado pode ser configurada para permitir que os usuários façam logon apenas se todas as listas de revogação de certificado forem verificadas.
A verificação de revogação de certificados é um recurso avançado suportado por alguns emissores de certificados. Ele permite que um administrador revogue certificados de segurança (invalidados antes da data de vencimento) em caso de comprometimento da chave privada do certificado.
Os valores aplicáveis a esta configuração são:

- Sem verificação - Não é executada nenhuma verificação de revogação de certificado.
- Verificar sem acesso à rede - É realizada a verificação de revogação de certificado. Somente lojas na lista local de revogação de certificados são usadas. Todos os pontos de distribuição são ignorados. A localização de uma lista de revogação de certificados não é crítica para a verificação do certificado do servidor apresentado pelo servidor SSL Relay/Secure Gateway de destino.
- Verificação de acesso total - É executada a verificação de revogação de certificado. São usados os armazenamentos da Lista de Revogação de Certificados Locais e todos os pontos de distribuição. Se forem encontradas informações de revogação para um certificado, a conexão será rejeitada. A localização de uma lista de revogação de certificados não é crítica para a verificação do certificado do servidor apresentado pelo servidor de destino.
- Verificação de acesso completo e CRL obrigatória - É executada a verificação da lista de revogação de certificados, com exclusão da CA raiz. São usados os armazenamentos da Lista de Revogação de Certificados Locais e todos os pontos de distribuição. Se forem encontradas informações de revogação para um certificado, a conexão será rejeitada. Encontrar todas as listas de revogação de certificados necessárias é fundamental para a verificação.
- Verificação de acesso completo e todas as CRL necessárias - É executada a verificação da lista de revogação de certificados, com inclusão da CA raiz. São usados os armazenamentos da Lista de Revogação de Certificados Locais e todos os pontos de distribuição. Se forem encontradas informações de revogação para um certificado, a conexão será rejeitada. Encontrar todas as listas de revogação de certificados necessárias é fundamental para a verificação.
As organizações que configuram o TLS para uma variedade de produtos podem optar por identificar servidores destinados ao Citrix Workspace, especificando um OID de extensão de política de certificado como parte do certificado de segurança. Se um OID de extensão de política estiver configurado aqui, o Citrix Workspace aceitará apenas certificados que declarem uma política compatível.

Ao se conectar por meio de TLS, o servidor pode ser configurado para exigir que o Citrix Workspace forneça um certificado de segurança para identificar a si mesmo. Use a configuração "Autenticação de cliente" para configurar se a identificação é ou não fornecida automaticamente ou se o usuário é notificado. As opções incluem:

- Desativado - A autenticação do cliente está desativada
- Exibir seletor de certificados - Sempre pedir ao usuário para selecionar um certificado.
- Selecionar automaticamente, se possível - Avisar o usuário somente se houver uma opção de certificado para fornecer
nunca fornecer identificação
-Não configurado - A autenticação de cliente não está configurada. O comportamento padrão é aplicado.
- Usar certificado especificado - Usar o Certificado de Cliente especificado na configuração abaixo

Use a configuração "Certificado do cliente" para especificar a impressão digital do certificado de identificação para evitar avisar o usuário desnecessariamente.

Exigir TLS para todas as conexões

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLEnable
Value Type	REG_SZ
Default Value	true
True Value	true
False Value	*

Modo de conformidade de segurança

0. NONE
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLSecurityComplianceMode
   Value Type	REG_SZ
   Value	NONE

1. SP800-52
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLSecurityComplianceMode
   Value Type	REG_SZ
   Value	SP800-52

2. FIPS
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLSecurityComplianceMode
   Value Type	REG_SZ
   Value	FIPS

Versão de TLS

0. TLS1.2
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SecureChannelProtocol
   Value Type	REG_SZ
   Value	TLS12

1. TLS1.1 | TLS1.2
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SecureChannelProtocol
   Value Type	REG_SZ
   Value	TLS11_TLS12

2. TLS1.0 | TLS1.1 | TLS1.2
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SecureChannelProtocol
   Value Type	REG_SZ
   Value	TLS11_TLS12_TLS13

Conjunto de codificação TLS

0. Qualquer
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCiphers
   Value Type	REG_SZ
   Value

1. Governo
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCiphers
   Value Type	REG_SZ
   Value	GOV

2. Comercial
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCiphers
   Value Type	REG_SZ
   Value	COM

Política de verificação de revogação de certificado

0. Sem verificação
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	NoCheck

1. Verificar sem acesso à rede
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	CheckNoNetworkAccess

2. Verificação com acesso total
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	FullAccessCheck

3. Exigir verificação com acesso completo e CRL
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	FullAccessCheckAndCrlRequired

4. Exigir verificação com acesso completo e todas CRL
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	FullAccessCheckAndCrlRequiredAll

Autenticação de cliente

0. Não configurado
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value

1. Exibir seletor de certificado
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	AlwaysPromptUser

2. Desativado
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	Off

3. Usar certificado especificado
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	On

4. Selecionar automaticamente, se possível
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	PromptUser