TLS e configuração do modo de conformidade

Essa opção permite que o Citrix Workspace identifique conexões seguras e criptografe a comunicação dentro do servidor.

A seguir estão o tipo de conexão segura TLS entre Citrix Workspace e XenApp e XenDesktop que a Citrix oferece suporte:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2

Os valores do Modo de Conformidade de Segurança são:
- FIPS - A ativação do modo FIPS força o sistema operacional Windows e seus subsistemas a usar apenas algoritmos criptográficos validados por FIPS.
- Nenhum - Não é aplicado nenhum modo de conformidade.
- SP800-52 - É aplicada a conformidade com o NIST SP800-52r1.
Quando você seleciona SP800-52 no menu suspenso Modo de conformidade de segurança, é permitida a seguinte política de verificação de revogação de certificado (CRCP):
-É necessária a verificação de acesso completo e CRL. Esta é a opção padrão.
-Verificação de acesso completo e todos CRL necessários

Você pode restringir o Citrix Workspace a se conectar apenas a servidores especificado por uma lista separada por vírgulas na opção Servidores TLS permitidos. Ali podem ser especificados curingas e números de porta, por exemplo, * .citrix.com: 4433 permite a conexão com qualquer servidor cujo o nome comum termina com .citrix.com na porta 4433. A precisão das informações em um certificado de segurança é confirmada pelo emissor do certificado. Se o Citrix Workspace não reconhecer e confiar no emissor de um certificado, a conexão será rejeitada.

A versão TLS pode ser restrita a qualquer combinação de:

- TLS 1.0, TLS 1.1 ou TLS 1.2
- TLS 1.1 ou TLS 1.2
- Somente TLS 1.2

O conjunto de cifras TLS é um grupo de conjuntos de cifras permitidos pelo cliente. O conjunto de codificação TLS pode ser configurado para um dos seguintes:
Nota: Os conjuntos de cifras TLS_RSA_ * podem ser desativados usando a política Pacotes de criptografia obsoletos.
- Qualquer: Quando "Qualquer" é definido, os seguintes pacote de codificação são permitidos no modo de conformidade NENHUM por padrão:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- Comercial: Quando "Comercial" é definido apenas os seguintes conjuntos de cifras são permitidos:
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- Governo: Quando "Governo" é definido, são permitidos apenas os seguintes conjuntos de códigos:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

A Verificação de Revogação de Certificado é usada para melhorar a autenticação criptográfica do servidor Citrix e melhora a segurança geral das conexões TLS entre um cliente e um servidor.
Nota: A verificação de revogação de certificado é válida apenas quando o modo de conformidade de segurança SP800-52 está definido.
Quando você ativa essa configuração, o cliente verifica se o certificado do servidor foi ou não revogado. Existem vários níveis para verificar a lista de revogação de certificado. Por exemplo, o cliente pode ser configurado para verificar apenas sua lista de certificados locais ou para verificar as listas de certificados locais e de rede. Além disso, a verificação de certificado pode ser configurada para permitir que os usuários façam logon apenas se todas as listas de revogação de certificado forem verificadas.
A verificação de revogação de certificados é um recurso avançado suportado por alguns emissores de certificados. Ele permite que um administrador revogue certificados de segurança (invalidados antes da data de vencimento) em caso de comprometimento da chave privada do certificado.
Os valores aplicáveis a esta configuração são:

- Sem verificação - Não é executada nenhuma verificação de revogação de certificado.
- Verificar sem acesso à rede - É realizada a verificação de revogação de certificado. Somente lojas na lista local de revogação de certificados são usadas. Todos os pontos de distribuição são ignorados. A localização de uma lista de revogação de certificados não é crítica para a verificação do certificado do servidor apresentado pelo servidor SSL Relay/Secure Gateway de destino.
- Verificação de acesso total - É executada a verificação de revogação de certificado. São usados os armazenamentos da Lista de Revogação de Certificados Locais e todos os pontos de distribuição. Se forem encontradas informações de revogação para um certificado, a conexão será rejeitada. A localização de uma lista de revogação de certificados não é crítica para a verificação do certificado do servidor apresentado pelo servidor de destino.
- Verificação de acesso completo e CRL obrigatória - É executada a verificação da lista de revogação de certificados, com exclusão da CA raiz. São usados os armazenamentos da Lista de Revogação de Certificados Locais e todos os pontos de distribuição. Se forem encontradas informações de revogação para um certificado, a conexão será rejeitada. Encontrar todas as listas de revogação de certificados necessárias é fundamental para a verificação.
- Verificação de acesso completo e todas as CRL necessárias - É executada a verificação da lista de revogação de certificados, com inclusão da CA raiz. São usados os armazenamentos da Lista de Revogação de Certificados Locais e todos os pontos de distribuição. Se forem encontradas informações de revogação para um certificado, a conexão será rejeitada. Encontrar todas as listas de revogação de certificados necessárias é fundamental para a verificação.
As organizações que configuram o TLS para uma variedade de produtos podem optar por identificar servidores destinados ao Citrix Workspace, especificando um OID de extensão de política de certificado como parte do certificado de segurança. Se um OID de extensão de política estiver configurado aqui, o Citrix Workspace aceitará apenas certificados que declarem uma política compatível.

Ao se conectar por meio de TLS, o servidor pode ser configurado para exigir que o Citrix Workspace forneça um certificado de segurança para identificar a si mesmo. Use a configuração "Autenticação de cliente" para configurar se a identificação é ou não fornecida automaticamente ou se o usuário é notificado. As opções incluem:

- Desativado - A autenticação do cliente está desativada
- Exibir seletor de certificados - Sempre pedir ao usuário para selecionar um certificado.
- Selecionar automaticamente, se possível - Avisar o usuário somente se houver uma opção de certificado para fornecer
nunca fornecer identificação
-Não configurado - A autenticação de cliente não está configurada. O comportamento padrão é aplicado.
- Usar certificado especificado - Usar o Certificado de Cliente especificado na configuração abaixo

Use a configuração "Certificado do cliente" para especificar a impressão digital do certificado de identificação para evitar avisar o usuário desnecessariamente.

Suporte em: Todas as plataformas suportadas pelo Citrix Workspace

Exigir TLS para todas as conexões
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value NameSSLEnable
Value TypeREG_SZ
Default Valuetrue
True Valuetrue
False Value*
Modo de conformidade de segurança


  1. NONE
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueNONE
  2. SP800-52
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueSP800-52
  3. FIPS
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueFIPS

Versão de TLS


  1. TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS12
  2. TLS1.1 | TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12
  3. TLS1.0 | TLS1.1 | TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12_TLS13

Conjunto de codificação TLS


  1. Qualquer
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    Value
  2. Governo
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueGOV
  3. Comercial
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueCOM

Política de verificação de revogação de certificado


  1. Sem verificação
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueNoCheck
  2. Verificar sem acesso à rede
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueCheckNoNetworkAccess
  3. Verificação com acesso total
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheck
  4. Exigir verificação com acesso completo e CRL
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequired
  5. Exigir verificação com acesso completo e todas CRL
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequiredAll

Autenticação de cliente


  1. Não configurado
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    Value
  2. Exibir seletor de certificado
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueAlwaysPromptUser
  3. Desativado
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOff
  4. Usar certificado especificado
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOn
  5. Selecionar automaticamente, se possível
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValuePromptUser


receiver.admx

Modelos Administrativos (Computadores)

Modelos Administrativos (Usuários)