TLS 和合规模式配置

此选项使 Citrix Workspace 能够识别安全连接并加密服务器内部的通信。

下面是 Citrix 支持在 Citrix Workspace 与 XenApp 和 XenDesktop 之间使用的 TLS 安全连接类型:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2

"安全性合规模式"值如下:
- FIPS - 启用 FIPS 模式将强制 Windows 操作系统及其子系统仅使用 FIPS 验证的加密算法。
- 无 - 不强制执行合规模式。
- SP800-52 - 强制执行 NIST SP800-52r1 合规模式。
从"安全性合规模式"下拉菜单中选择"SP800-52"时,将允许执行以下证书吊销检查策略(CRCP):
- 需要完全访问检查和 CRL。 这是默认选项。
- 全部需要完全访问检查和 CRL

可以限制 Citrix Workspace 仅连接到在"允许的 TLS 服务器"选项中以逗号分隔的列表格式指定的服务器。可以在此处指定通配符和端口号,例如,*.citrix.com:4433 允许连接到端口 4433 上公用名结尾为 .citrix.com 的任何服务器。 安全证书中的信息的准确性由证书的颁发者进行断言。 如果 Citrix Workspace 无法识别和信任证书的颁发者,连接将被拒绝。

可以将 TLS 版本限制为以下各项的任意组合:

- TLS 1.0、TLS 1.1 或 TLS 1.2
- TLS 1.1 或 TLS 1.2
- 仅限 TLS 1.2

TLS 密码集是指客户端允许使用的一组密码套件。 可以将 TLS 密码集配置为以下选项之一:
注意: 可以使用"弃用的密码套件"策略禁用 TLS_RSA_* 密码套件。
- 任意 : 设置为"任意"时,默认允许在合规模式"无"下使用以下密码套件:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

> TLS_RSA_WITH_3DES_EDE_CBC_SHA
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV

- 政府: 设置为"政府"时,仅允许使用以下密码套件:
* TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
* TLS_EMPTY_RENEGOTIATION_INFO_SCSV


"证书吊销检查"用于改进 Citrix 服务器的加密身份验证以及提高客户端与服务器之间的 TLS 连接的整体安全性。
注意: 仅当设置了"SP800-52"安全性合规模式时,证书吊销检查才有效。
启用了此设置时,客户端将检查是否已吊销服务器的证书。 有多种用来检查证书吊销列表的级别。 例如,可以将客户端配置为仅检查其本地证书列表,或者检查本地和网络证书列表。 此外,可以将证书检查配置为仅在验证了所有证书吊销列表时才允许用户登录。
证书吊销检查是某些证书颁发者支持的高级功能。 此功能允许管理员在危及证书私钥安全时吊销安全证书(在过期日期之前失效)。
此设置适用的值包括:

- 不检查 - 不执行任何证书吊销检查。
- 在不访问网络的情况下检查 - 执行证书吊销检查。 仅使用本地证书吊销列表中的存储。 忽略所有分发点。 查找证书吊销列表并非验证目标 SSL Relay/Secure Gateway 服务器提供的服务器证书的关键。
- 完全访问检查 - 执行证书吊销检查。 使用本地证书吊销列表存储和所有分发点。 如果找到证书的吊销信息,连接将被拒绝。 查找证书吊销列表并非验证目标服务器提供的服务器证书的关键。
- 需要完全访问检查和 CRL - 执行证书吊销列表检查,但根 CA 除外。 使用本地证书吊销列表存储和所有分发点。 如果找到证书的吊销信息,连接将被拒绝。 查找所需的所有证书吊销列表是验证的关键。
- 全部需要完全访问检查和 CRL - 执行证书吊销列表检查,包括根 CA。 使用本地证书吊销列表存储和所有分发点。 如果找到证书的吊销信息,连接将被拒绝。 查找所需的所有证书吊销列表是验证的关键。
为一系列产品配置了 TLS 的组织可以选择通过指定证书策略扩展 OID 作为安全证书的一部分,来识别 Citrix Workspace 专用的服务器。 如果在此处配置了策略扩展 OID,Citrix Workspace 将仅接受声明了兼容策略的证书。

通过 TLS 连接时,服务器可能会被配置为要求 Citrix Workspace 提供用于识别自身的安全证书。 使用"客户端身份验证"设置可配置是否自动提供标识,或者是否通知用户。 选项如下:

- 已禁用 - 禁用客户端身份验证
- 显示证书选择器 - 始终提示用户选择证书。
- 如果可能,则自动选择 - 仅当提供了证书选项时提示用户
从不提供标识
- 未配置 - 未配置客户端身份验证。 应用默认行为。
- 使用指定的证书 - 使用在下面的设置中指定的客户端证书

使用"客户端证书"设置可指定用于识别证书的指纹,以避免不必要地提示用户。

支持的平台: Receiver 支持的所有平台

要求对所有连接使用 TLS
Registry HiveHKEY_CURRENT_USER
Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value NameSSLEnable
Value TypeREG_SZ
Default Valuetrue
True Valuetrue
False Value*
安全性合规模式



  1. Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueNONE
  2. SP800-52
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueSP800-52
  3. FIPS
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueFIPS

TLS 版本


  1. TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS12
  2. TLS1.1 | TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12
  3. TLS1.0 | TLS1.1 | TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12_TLS13

TLS 密码套件


  1. 任意
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    Value
  2. 政府
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueGOV
  3. 商用
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueCOM

证书吊销检查策略


  1. 不检查
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueNoCheck
  2. 在不访问网络的情况下检查
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueCheckNoNetworkAccess
  3. 完全访问检查
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheck
  4. 需要完全访问检查和 CRL
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequired
  5. 全部需要完全访问检查和 CRL
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequiredAll

客户端身份验证


  1. 未配置
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    Value
  2. 显示证书选择器
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueAlwaysPromptUser
  3. 已禁用
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOff
  4. 使用指定的证书
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOn
  5. 如果可能,则自动选择
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValuePromptUser


receiver.admx

管理模板(计算机)