Конфигурация TLS и режима совместимости

Этот параметр позволяет приложению Citrix Workspace определять безопасные подключения и шифровать обмен данных в пределах сервера.

Ниже приведены типы безопасного подключения по протоколу TLS между Citrix Workspace, XenApp и XenDesktop, которые поддерживает корпорация Citrix:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2

Значения параметра "Режим соответствия требованиям безопасности":
- FIPS - Включение режима FIPS принуждает операционную систему Windows и ее подсистемы использовать алгоритмы шифрования, првоеренные FIPS.
- Нет — режим соответствия требованиям не применяется
- SP800-52 — применяется режим соответствия требованиям NIST SP800-52r1.
Если выбрать SP800-52 из раскрывающегося меню "Режим соответствия безопасности", разрешаются следующие политики проверки отзыва сертификатов (CRCP):
- "Проверять с полным доступом и требовать список отзыва сертификатов". Это значение по умолчанию.
- "Проверять с полным доступом и требовать список отзыва сертификатов (для всех)"

Вы можете настроить Citrix Workspace на подключение только к серверам, указанным в списке через запятую в параметре "Разрешенные серверы TLS". В нем можно указать подстановочные знаки и номера портов, например обозначение *.citrix.com:4433 позволяет подключаться к любому серверу, общее имя которого заканчивается символами .citrix.com и который использует порт 4433. Точность информации в сертификате безопасности гарантирует издатель сертификата. Если Citrix Workspace не распознает издателя сертификата и не доверяет ему, то подключение отклоняется.

Вы можете указать следующие сочетания версий TLS:

- TLS 1.0, TLS 1.1 или TLS 1.2
- TLS 1.1 или TLS 1.2
- только TLS 1.2

Набор шифров TLS — это комплект наборов шифров, разрешенный клиентом. Можно настроить один из следующих наборов шифров TLS.
Примечание. Наборы шифров TLS_RSA_* можно отключить с помощью политики использования устаревших наборов шифров.
- "Любой": если выбрать вариант "Любой", политика не настраивается и разрешаются следующие комплекты шифров:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- "Коммерческий": когда выбран вариант "Коммерческий", разрешены только следующие комплекты шифров:
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- "Государственный": когда выбран вариант "Государственный", разрешены только следующие комплекты шифров:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV


Проверка отзыва сертификатов используется для улучшения криптографической проверки подлинности сервера Citrix. Кроме того, она улучшает общую безопасность TLS-соединений между клиентом и сервером.
Примечание. Проверка отзыва сертификатов действует только при выборе Режима соответствия требованиям безопасности SP800-52.
Если включить этот параметр, клиент будет проверять, отозван или нет сертификат сервера. Есть несколько уровней проверки списка отзыва сертификатов. Например, клиент может проверять только свой локальный список сертификатов или как локальные, так и сетевые списки. Кроме того, проверку сертификатов можно настроить так, чтобы пользователи могли входить только после проверки всех списков отзыва сертификатов.
Политика проверки отзыва сертификатов является расширенной функцией, которую поддерживают только некоторые издатели сертификатов. С ее помощью администраторы могут отзывать сертификаты безопасности (аннулированные прежде истечения срока действия) в случае компрометации закрытого ключа сертификата.
Для этого параметра можно выбрать следующие значения:

- "Не проверять" — списки отзыва сертификатов не проверяются.
- "Проверять без доступа к сети" — списки отзыва сертификатов проверяются. Проверка выполняется только в локальных хранилищах этих списков. Все точки распространения игнорируются. Для проверки сертификата целевого сервера, представленного сервером SSL Relay/Secure Gateway, нахождение списка отзыва сертификатов не является критически важным.
- "Проверять с полным доступом" — списки отзыва сертификатов проверяются. Проверка выполняется в локальных хранилищах списков и всех точках распространения. Если найдена информация об отзыве сертификата, подключение отклоняется. Для проверки сертификата сервера, представленного целевым сервером, нахождение списка отзыва сертификатов не является критически важным.
- "Проверять с полным доступом и требовать список отзыва сертификатов (для всех)" — проверяются списки отзыва сертификатов, в том числе корневой ЦС. Проверка выполняется в локальных хранилищах списков и всех точках распространения. Если найдена информация об отзыве сертификата, подключение отклоняется. Для проверки критически важно найти все требуемые списки отзыва сертификатов.
"Проверять с полным доступом и требовать список отзыва сертификатов (для всех)" — проверяются списки отзыва сертификатов, в том числе корневой ЦС. Проверка выполняется в локальных хранилищах списков и всех точках распространения. Если найдена информация об отзыве сертификата, подключение отклоняется. Для проверки критически важно найти все требуемые списки отзыва сертификатов.
Чтобы определить серверы, предназначенные для приложения Citrix Workspace, организации, настраивающие протокол TLS для ряда продуктов, могут указывать идентификатор OID расширения политики сертификата в рамках сертификата безопасности. Если идентификатор OID расширения политики задается здесь, Citrix Workspace принимает только сертификаты, в которых заявляется о совместимой политике.

При подключении по протоколу TLS сервер (если его соответствующим образом настроить) может требовать у приложения Citrix Workspace предъявить сертификат безопасности. С помощью параметра "Проверка подлинности клиента" укажите, следует ли предъявлять удостоверение автоматически или нужно уведомлять пользователя. Вы можете выбрать следующие значения этого параметра:

- "Отключено" — проверка подлинности клиента отключена
- "Отобразить средство выбора сертификатов" — всегда просить пользователя выбрать сертификат.
- "Если возможно, выбирать автоматически" — отображать запрос, только если есть несколько сертификатов на выбор
Никогда не предъявлять удостоверение
- Не настроено — Проверка подлинности клиента не настроена. Применяется поведение по умолчанию.
- "Использовать указанный сертификат" — использовать сертификат клиента, указанный в упомянутом ниже параметре

Указать отпечаток сертификата-удостоверения (чтобы запрос для пользователя не отображался без необходимости) можно с помощью параметра "Сертификат клиента".

Поддерживается: Все поддерживаемые приложением Receiver платформы

Требовать TLS для всех подключений
Registry HiveHKEY_CURRENT_USER
Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value NameSSLEnable
Value TypeREG_SZ
Default Valuetrue
True Valuetrue
False Value*
Режим соответствия требованиям безопасности


  1. НЕТ
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueNONE
  2. SP800-52
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueSP800-52
  3. FIPS
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueFIPS

Версия TLS


  1. TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS12
  2. TLS1.1 | TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12
  3. TLS1.0 | TLS1.1 | TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12_TLS13

Комплект шифров TLS


  1. Любой
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    Value
  2. Государственный
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueGOV
  3. Коммерческий
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueCOM

Политика проверки отзыва сертификатов


  1. NoCheck
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueNoCheck
  2. Проверять без доступа к сети
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueCheckNoNetworkAccess
  3. Проверять с полным доступом
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheck
  4. Проверять с полным доступом и требовать список отзыва сертификатов
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequired
  5. Проверять с полным доступом и требовать список отзыва сертификатов (для всех)
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequiredAll

Проверка подлинности клиента


  1. Не настроено
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    Value
  2. Отобразить средство выбора сертификатов
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueAlwaysPromptUser
  3. Отключено
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOff
  4. Использовать указанный сертификат
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOn
  5. Если возможно, выбирать автоматически
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValuePromptUser


receiver.admx

Административные шаблоны (компьютеры)

Административные шаблоны (пользователи)