TLS 和相容模式組態

此選項可讓 Citrix Workspace 識別伺服器內的安全連線並加密通訊。

以下是 Citrix 在 Citrix Workspace 與 XenApp 和 XenDesktop 之間支援的 TLS 安全連線類型:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2

[安全性法規遵循模式] 的值有:
- FIPS - 啟用 FIPS 模式可強制 Windows 作業系統及其子系統僅使用 FIPS 驗證的密碼編譯演算法。
- 無 - 不強制執行任何法規遵循模式。
- SP800-52 - 強制執行 NIST SP800-52r1 法規遵循。
當您從 [安全性法規遵循模式] 下拉式功能表中選取 SP800-52 時,允許使用以下憑證撤銷檢查原則 (CRCP):
- 需要完整存取檢查和 CRL。 這是預設選項。
- 全部需要完整存取檢查和 CRL

您可限制 Citrix Workspace 僅能連線至 [允許的 TLS 伺服器] 選項中逗點分隔清單所指定的伺服器。可在此處指定萬用字元和連接埠號碼,例如 *.citrix.com:4433 會允許連線至連接埠 4433 上通用名稱以 .citrix.com 結尾的任何伺服器。 憑證簽發者會在安全性憑證中聲稱資訊的正確性。 如果 Citrix Workspace 無法辨識也不信任憑證簽發者,則連線會遭到拒絕。

TLS 版本可限制為以下各項的任何組合:

- TLS 1.0, TLS 1.1 或 TLS 1.2
- TLS 1.1 或 TLS 1.2
- 僅限 TLS 1.2

TLS 加密套件是用戶端允許的一組加密套件。 TLS 加密套件可設定為以下任一項:
注意: 可使用已取代加密套件原則停用 TLS_RSA_* 加密套件。
- 任何: 設定 [任何] 時,依預設,在 [無] 法規遵循模式下允許使用下列加密套件:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- 商業: 設定為 [商業] 時,僅允許使用以下加密套件:
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- 政府: 設定為 [政府] 時,僅允許使用以下加密套件:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV


[憑證撤銷檢查] 可用於改善 Citrix 伺服器的密碼編譯驗證,以及提高用戶端與伺服器之間 TLS 連線的整體安全性。
注意: 只有在設定 SP800-52 安全性法規遵循模式時,憑證撤銷檢查才有效。
啟用此設定時,用戶端會檢查伺服器的憑證是否已撤銷。 有多個憑證撤銷清單檢查層級。 例如,可將用戶端設定為僅檢查其本機憑證清單,或檢查本機與網路憑證清單。 此外,可將憑證檢查設定為僅在所有 [憑證撤銷] 清單均經過驗證後,才允許使用者登入。
[憑證撤銷檢查] 是部分憑證簽發者支援的進階功能。 此功能可讓管理員在憑證私密金鑰洩露時,撤銷安全性憑證 (在其到期日前使其失效)。
此設定的適用值為:

- 不檢查 - 不執行任何憑證撤銷檢查。
- 在不存取網路的情況下檢查 - 執行憑證撤銷檢查。 僅使用本機憑證撤銷清單中的存放區。 會忽略所有發佈點。 尋找憑證撤銷清單並非驗證目標 SSL Relay/Secure Gateway 伺服器提供之伺服器憑證的關鍵。
- 完整存取檢查 - 執行憑證撤銷檢查。 會使用本機憑證撤銷清單存放區和所有發佈點。 如果找到憑證的撤銷資訊,連線將遭到拒絕。 尋找憑證撤銷清單並非驗證目標伺服器提供之伺服器憑證的關鍵。
- 需要完整存取檢查和 CRL - 執行憑證撤銷清單檢查,不包括根 CA。 會使用本機憑證撤銷清單存放區和所有發佈點。 如果找到憑證的撤銷資訊,連線將遭到拒絕。 尋找所需的所有憑證撤銷清單是驗證的關鍵。
- 全部需要完整存取檢查和 CRL - 執行憑證撤銷清單檢查,包括根 CA。 會使用本機憑證撤銷清單存放區和所有發佈點。 如果找到憑證的撤銷資訊,連線將遭到拒絕。 尋找所需的所有憑證撤銷清單是驗證的關鍵。
為一系列產品設定 TLS 的組織可選擇在安全性憑證中指定憑證原則延伸 OID,來識別 Citrix Workspace 專用的伺服器。 如果在此處設定原則延伸 OID,則 Citrix Workspace 僅會接受宣告了相容原則的憑證。

使用 TLS 連線時,可能會將伺服器設定為需要 Citrix Workspace 提供識別自身的安全性憑證。 使用 [用戶端驗證] 設定,可設定是否自動提供識別碼,或是否通知使用者。 選項包括:

- 已停用 - 停用用戶端驗證
- 顯示憑證選取器 - 始終提示使用者選取憑證。
- 如果可能,則自動選取 - 僅在提供憑證選項時才提示使用者
從不提供識別碼
- 未設定 - 未設定用戶端驗證。 會套用預設行為。
- 使用指定的憑證 - 使用以下設定中指定的用戶端憑證

使用 [用戶端憑證] 設定可指定識別憑證的指紋,以避免不必要地提示使用者。

支援的作業系統: Receiver 支援的所有平台

所有連線均需要使用 TLS
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value NameSSLEnable
Value TypeREG_SZ
Default Valuetrue
True Valuetrue
False Value*
安全性法規遵循模式



  1. Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueNONE
  2. SP800-52
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueSP800-52
  3. FIPS
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueFIPS

TLS 版本


  1. TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS12
  2. TLS1.1 | TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12
  3. TLS1.0 | TLS1.1 | TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12_TLS13

TLS 加密套件


  1. 任意
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    Value
  2. 政府
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueGOV
  3. 商業
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueCOM

憑證撤銷檢查原則


  1. NoCheck
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueNoCheck
  2. 在不存取網路的情況下檢查
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueCheckNoNetworkAccess
  3. 完整存取檢查
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheck
  4. 需要完整存取檢查和 CRL
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequired
  5. 全部需要完整存取檢查和 CRL
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequiredAll

用戶端驗證


  1. 未設定
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    Value
  2. 顯示憑證選取器
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueAlwaysPromptUser
  3. 已停用
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOff
  4. 使用指定的憑證
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOn
  5. 如果可能,則自動選取
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValuePromptUser


receiver.admx

系統管理範本 (電腦)

系統管理範本 (使用者)