Configuration de TLS et du mode de conformité

Cette option permet à Citrix Workspace d'identifier les connexions sécurisées et de crypter les communications sur le serveur.

Types de connexions sécurisées TLS entre Citrix Workspace et XenApp et XenDesktop prises en charge par Citrix :
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2

Les valeurs du Mode de conformité aux normes de sécurité sont les suivantes :
- FIPS - L'activation du mode FIPS oblige le système d'exploitation Windows et ses sous-systèmes à utiliser des algorithmes cryptographiques homologués FIPS.
- Aucun : aucun mode de conformité n'est appliqué.
- SP800-52 : la conformité à la norme NIST SP800-52r1 est appliquée.
Lorsque vous sélectionnez SP800-52 dans le menu déroulant Mode de conformité aux normes de sécurité, la stratégie de vérification de la liste de révocation de certificats (CRCP) suivante est autorisée :
- Exiger vérification avec accès complet et liste de révocation de certificats. Option par défaut.
- Exiger vérification avec accès complet et toutes les listes de révocation de certificats

Vous pouvez configurer Citrix Workspace de manière à ce qu'il se connecte uniquement à des serveurs spécifiés dans une liste séparée par des virgules dans l'option Serveurs TLS autorisés. Vous pouvez y spécifier des caractères génériques et des numéros de port ; par exemple, *.citrix.com:4433 autorise les connexions à tout serveur dont le nom commun se termine par .citrix.com sur le port 4433. L'exactitude des informations contenues dans un certificat de sécurité est certifiée par l'émetteur du certificat. Si Citrix Workspace ne reconnaît pas et n'approuve pas l'émetteur d'un certificat, la connexion est refusée.

La version de TLS peut être limitée à l'une des combinaisons suivantes :

- TLS 1.0, TLS 1.1 ou TLS 1.2
- TLS 1.1 ou TLS 1.2
- TLS 1.2 uniquement

Le jeu de chiffrement TLS est un groupe de suites de chiffrement autorisées par le client. Le jeu de chiffrement TLS peut être configuré sur l'une des valeurs suivantes :
Remarque : les suites de chiffrement TLS_RSA_* peuvent être désactivées à l'aide de la stratégie Suites de chiffrement obsolètes.
- Quelconque : lorsque « Quelconque » est sélectionnée, les suites de chiffrement suivantes sont autorisées en mode de conformité AUCUN par défaut :
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- Commerciale : lorsque « Commerciale » est sélectionnée, seules les suites de chiffrement suivantes sont autorisées :
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- Gouvernementale : lorsque « Gouvernementale » est sélectionnée, seules les suites de chiffrement suivantes sont autorisées :
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV


La vérification de révocation de certificats est utilisée pour améliorer l'authentification cryptographique du serveur Citrix et la sécurité générale des connexions TLS entre un client et un serveur.
Remarque : la vérification de révocation de certificats est valide uniquement lorsque le mode de conformité aux normes de sécurité SP800-52 est défini.
Lorsque vous activez ce paramètre, le client vérifie si le certificat du serveur est révoqué ou non. Il existe plusieurs niveaux de vérification des listes de révocation de certificats. Par exemple, le client peut être configuré pour vérifier uniquement sa liste de certificats locaux ou pour vérifier les listes de certificats locaux et de réseau. En outre, la vérification des certificats peut être configurée pour autoriser les utilisateurs à se connecter uniquement si toutes les listes de révocation de certificats ont été vérifiées.
La vérification de la liste de révocation de certificats est une fonctionnalité avancée prise en charge par certains émetteurs de certificats. Elle permet à un administrateur de révoquer des certificats de sécurité (invalidés avant leur date d'expiration) dans le cas où la clé privée du certificat est corrompue.
Valeurs applicables à ce paramètre :

- Aucune vérification : la liste de révocation des certificats n'est pas vérifiée.
- Vérifier sans accès au réseau : la liste de révocation des certificats est vérifiée. Seuls les magasins répertoriés dans la liste de révocation de certificats locaux sont utilisés. Tous les points de distribution sont ignorés. L'utilisation d'une liste de révocation de certificats n'est pas indispensable à la vérification du certificat serveur présenté par le serveur Relais SSL/Secure Gateway cible.
- Vérifier avec accès complet : la liste de révocation de certificats est vérifiée. Les magasins locaux de la liste de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation sont trouvées pour un certificat, la connexion sera refusée. L'utilisation d'une liste de révocation de certificats n'est pas indispensable à la vérification du certificat serveur présenté par le serveur cible.
- Exiger vérification avec accès complet et toutes les listes de révocation de certificats : la liste de révocation de certificats est vérifiée, y compris l'autorité de certification racine. Les magasins locaux de la liste de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation sont trouvées pour un certificat, la connexion sera refusée. Si des informations de révocation sont trouvées pour un certificat, la connexion sera refusée.
- Exiger vérification avec accès complet et toutes les listes de révocation de certificats : la liste de révocation de certificats est vérifiée, y compris l'autorité de certification racine. Les magasins locaux de la liste de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation sont trouvées pour un certificat, la connexion sera refusée. Si des informations de révocation sont trouvées pour un certificat, la connexion sera refusée.
Les organisations qui configurent TLS pour une gamme de produits peuvent choisir d'identifier les serveurs conçus pour Citrix Workspace en spécifiant un identificateur d'objet de stratégie de certificat dans le cadre du certificat de sécurité. Si un identificateur d'objet de stratégie est configuré ici, Citrix Workspace n'accepte que les certificats qui déclarent une stratégie compatible.

Lors de la connexion à l'aide de TLS, le serveur peut être configuré pour exiger que Citrix Workspace fournisse un certificat de sécurité d'identification. Utilisez le paramètre « Authentification client » pour configurer si l'identification est fournie automatiquement ou si l'utilisateur est notifié. Options possibles :

- Désactivé : l'authentification client est désactivée
- Afficher sélecteur de certificats : toujours demander à l'utilisateur de sélectionner un certificat.
- Sélectionner automatiquement si possible : demander à l'utilisateur uniquement lorsque plusieurs certificats sont disponibles
ne jamais fournir d'identification
- Non configuré : indique que l'authentification du client n'est pas configurée. Le comportement par défaut est appliqué.
- Utiliser certificat spécifié : utiliser le certificat client spécifié dans le paramètre ci-dessous

Utilisez le paramètre « Certificat client » pour spécifier l'empreinte numérique du certificat d'identification et éviter une intervention inutile de l'utilisateur.

Pris en charge sur : Toutes les plates-formes Receiver prises en charge

Exiger TLS pour toutes les connexions
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value NameSSLEnable
Value TypeREG_SZ
Default Valuetrue
True Valuetrue
False Value*
Mode de conformité aux normes de sécurité


  1. AUCUN
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueNONE
  2. SP800-52
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueSP800-52
  3. FIPS
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueFIPS

Version TLS


  1. TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS12
  2. TLS1.1 | TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12
  3. TLS1.0 | TLS1.1 | TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12_TLS13

Jeu de chiffrement TLS


  1. Quelconque
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    Value
  2. Gouvernement
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueGOV
  3. Commercial
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueCOM

Stratégie de vérification de la liste de révocation de certificats


  1. Aucune vérification
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueNoCheck
  2. Vérifier sans accès au réseau
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueCheckNoNetworkAccess
  3. Vérifier avec accès complet
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheck
  4. Exiger vérification avec accès complet et liste de révocation de certificats
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequired
  5. Exiger vérification avec accès complet et toutes les listes de révocation de certificats
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequiredAll

Authentification client


  1. Non configuré
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    Value
  2. Afficher sélecteur de certificats
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueAlwaysPromptUser
  3. Désactivé
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOff
  4. Utiliser certificat spécifié
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOn
  5. Sélectionner automatiquement si possible
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValuePromptUser


receiver.admx

Modèles d'administration (ordinateurs)

Modèles d'administration (utilisateurs)