TLS 및 준수 모드 구성

이 옵션을 사용하면 Citrix Workspace가 보안 연결을 식별하고, 서버 내의 통신을 암호화할 수 있습니다.

다음은 Citrix Workspace와 Citrix가 지원하는 XenApp/XenDesktop 간 TLS 보안 연결의 유형입니다.
1. TLS 1.0 2.
TLS 1.1 3.
TLS 1.2 Citrix Receiver가 모든 유형의 연결에 TLS를 사용하도록 하려면 모든 연결에 TLS 필요를 선택하십시오.

- 없음: 규정 준수 모드가 적용되지 않습니다.
- FIPS: FIPS 모드를 사용하도록 설정하면 Windows 운영 체제 및 해당 하위 시스템이 FIPS로 검증된 암호화 알고리즘만 사용해야 합니다.
- 없음: 규정 준수 모드가 적용되지 않습니다.
- SP800-52: NIST SP800-52r1 규정 준수가 적용됩니다.
보안 규정 준수 모드 드롭다운에서 SP800-52를 선택하면 다음 CRCP(인증서 해지 검사 정책)가 허용됩니다.
-전체 액세스 검사 및 CRL 전체 필요 "허용되는 TLS 서버" 옵션의 쉼표로 구분된 목록을 통해 Citrix Receiver가 지정된 서버에만 연결되도록 제한할 수 있습니다.
여기에 와일드카드와 포트 번호를 지정할 수 있습니다.

허용되는 TLS 서버 옵션의 쉼표로 구분된 목록을 통해 Citrix Workspace가 지정된 서버에만 연결되도록 제한할 수 있습니다. 여기에서 와일드카드와 포트 번호를 지정할 수 있습니다. 예를 들어, *.citrix.com:4433을 지정하면 포트 4433에서 일반 이름이 .citrix.com으로 끝나는 모든 서버에 연결할 수 있습니다. 보안 인증서에 있는 정보의 정확성은 인증서 발급자가 보장합니다. Citrix Workspace에서 인증서 발급자를 인식할 수 없거나 신뢰하지 않는 경우 연결이 거부됩니다.

TLS 버전은 다음 조합으로 제한될 수 있습니다.

- TLS 1.0, TLS 1.1 또는 TLS 1.2
- TLS 1.1 또는 TLS 1.2
- TLS 1.2만

TLS 암호화 집합은 클라이언트에서 허용하는 암호화 집합의 그룹입니다. TLS 암호화 집합은 다음 중 하나로 구성할 수 있습니다.
참고: TLS_RSA_* 암호화 집합은 더 이상 사용되지 않는 암호화 집합 정책을 사용하여 사용하지 않도록 설정할 수 있습니다.
- 모두: "모두"를 설정하면 기본적으로 없음 규정 준수 모드에서 다음의 암호화 집합이 허용됩니다.
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- 상용: "상용"을 설정하면 다음 암호화 집합만 허용됩니다.
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- 정부: "정부"를 설정하면 다음 암호화 집합만 허용됩니다.
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

인증서 해지 검사를 사용하면 Citrix 서버의 암호화 인증을 개선하고 클라이언트와 서버 간 TLS 연결의 전반적인 보안을 강화할 수 있습니다.
참고: 인증서 해지 검사는 SP800-52 보안 준수 모드가 설정된 경우에만 유효합니다.
이 설정을 사용하도록 설정하면 클라이언트는 서버의 인증서가 해지되었는지 여부를 확인합니다. 인증서 해지 목록 검사에는 몇 가지 수준이 있습니다. 예를 들어 로컬 인증서 목록만 검사하거나 로컬 및 네트워크 인증서 목록을 검사하도록 클라이언트를 구성할 수 있습니다. 또한 모든 인증서 해지 목록이 확인된 경우에만 사용자가 로그온할 수 있도록 인증서 검사를 구성할 수도 있습니다.
인증서 해지 검사는 일부 인증서 발급자가 지원하는 고급 기능입니다. 이를 통해 관리자는 인증서 개인 키가 침해된 경우 보안 인증서를 해지(만료 날짜 전에 무효화)할 수 있습니다.
이 설정에 적용 가능한 값은 다음과 같습니다.

- NoCheck: 인증서 해지 검사를 수행하지 않습니다.
- 네트워크 액세스 없이 검사: 인증서 해지 검사를 수행합니다. 로컬 인증서 해지 목록의 저장소만 사용됩니다. 모든 배포 지점이 무시됩니다. 대상 SSL 릴레이/Secure Gateway 서버가 제공하는 서버 인증서 확인 시 인증서 해지 목록 검색은 중요하지 않습니다.
- 전체 액세스 검사: 인증서 해지 검사를 수행합니다. 로컬 인증서 해지 목록 저장소 및 모든 배포 지점이 사용됩니다. 인증서에 대한 해지 정보가 발견되면 연결이 거부됩니다. 대상 서버가 제공하는 서버 인증서 확인 시 인증서 해지 목록 검색은 중요하지 않습니다.
- 전체 액세스 검사 및 CRL 필요: 루트 CA를 제외하고 인증서 해지 목록 검사를 수행합니다. 로컬 인증서 해지 목록 저장소 및 모든 배포 지점이 사용됩니다. 인증서에 대한 해지 정보가 발견되면 연결이 거부됩니다. 확인 작업 시 모든 필수 인증서 해지 목록 검색이 중요합니다.
- 전체 액세스 검사 및 CRL 전체 필요: 루트 CA를 포함하여 인증서 해지 목록 검사를 수행합니다. 로컬 인증서 해지 목록 저장소 및 모든 배포 지점이 사용됩니다. 인증서에 대한 해지 정보가 발견되면 연결이 거부됩니다. 확인 작업 시 모든 필수 인증서 해지 목록 검색이 중요합니다.
다양한 제품에 대해 TLS를 구성하는 조직은 보안 인증서의 일부로 인증서 정책 확장 OID를 지정하여 Citrix Workspace용 서버를 식별하도록 선택할 수 있습니다. 여기서 정책 확장 OID를 구성하는 경우 Citrix Workspace는 호환되는 정책을 선언하는 인증서만 허용합니다.

TLS를 사용하여 연결하는 경우 Citrix Workspace를 식별하는 보안 인증서는 Citrix Workspace가 직접 제공하도록 서버를 구성할 수 있습니다. "클라이언트 인증" 설정을 사용하여 ID를 자동으로 제공할지 아니면 사용자에게 알림을 제공할지 구성합니다. 옵션은 다음과 같습니다.

- 사용 안 함: 클라이언트 인증을 사용하지 않도록 설정합니다.
- 인증서 선택기 표시: 항상 사용자에게 인증서를 선택하도록 메시지를 표시합니다.
- 가능한 경우 자동 선택: 제공할 인증서 선택 옵션이 있는 경우에만 사용자에게 메시지를 표시합니다.
ID 제공 안 함
- 구성되지 않음: 클라이언트 인증이 구성되지 않습니다. 기본 동작이 적용됩니다.
- 지정된 인증서 사용: 아래 설정에서 지정된 클라이언트 인증서를 사용합니다.

사용자에게 불필요하게 메시지를 표시하지 않기 위해 "클라이언트 인증서" 설정을 사용하여 식별 중인 인증서의 지문을 지정합니다.

receiver.admx