Mit dieser Option erkennt Citrix Receiver sichere Verbindungen und verschlüsselt die Kommunikation im Server.
Hinweis: Citrix empfiehlt sichere Verbindungen mit TLS.
Die folgenden sicheren Verbindungen mit TLS zwischen Citrix Receiver und XA/XD werden von Citrix unterstützt:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2
Wählen Sie 'TLS erforderlich' für alle Verbindungen, damit Citrix Receiver TLS für alle Verbindungstypen verwendet.
Die Werte für den Sicherheitskonformitätsmodus sind:
- Ohne: Kein Konformitätsmodus wird erzwungen
- SP800-52: Einhaltung von NIST SP800-52r1 wird erzwungen
Bei Auswahl von 'SP800-52' aus dem Dropdownmenü 'Sicherheitskonformitätsmodus' ist die folgende Richtlinie für die Zertifikatsperrüberprüfung zulässig:
- Volle Zugriffsprüfung und CRL erforderlich. Dies ist die Standardoption.
- Volle Zugriffsprüfung und alle CRL erforderlich
Unter 'Zulässige TLS-Server' können Sie mit einer durch Kommas getrennten Liste die Verbindungen von Citrix Receiver auf bestimmte Server beschränken. Es können Platzhalter und Portnummern angegeben werden, z. B. erlaubt *.citrix.com:4433 die Verbindung mit allen Servern, deren allgemeiner Name mit .citrix.com auf Port 4433 endet. Die Genauigkeit der Informationen in einem Sicherheitszertifikat wird durch den Aussteller des Zertifikats bestätigt. Wenn Citrix Receiver den Aussteller des Zertifikats nicht erkennt und ihm nicht vertraut, wird die Verbindung abgelehnt.
Die TLS-Version kann auf alle Kombinationen der folgenden Protokolle eingeschränkt werden:
- TLS 1.0, TLS 1.1 oder TLS 1.2
- TLS 1.1 oder TLS 1.2
- Nur TLS 1.2
Die TLS-Verschlüsselungssammlung kann auf eine der folgenden Einstellungen festgelegt werden:
- Beliebig : Bei Einstellung von 'Beliebig' ist die Richtlinie nicht konfiguriert und die folgenden Verschlüsselungssammlungen sind zulässig:
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5
> TLS_RSA_WITH_3DES_EDE_CBC_SHA
- Kommerziell: Bei Einstellung von 'Kommerziell' sind nur die folgenden Verschlüsselungssammlungen zulässig:
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5
- Behörden: Bei Einstellung von 'Behörden' sind nur die folgenden Verschlüsselungssammlungen zulässig:
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_3DES_EDE_CBC_SHA
Die Richtlinie 'Zertifikatsperrüberprüfung' verbessert die kryptografische Authentifizierung des Citrix Servers und die allgemeine Sicherheit der TLS-Verbindungen zwischen einem Client und einem Server.
Wenn diese Einstellung aktiviert ist, prüft der Client, ob das Zertifikat des Servers widerrufen wurde. Es gibt mehrere Prüfstufen für die Zertifikatsperrliste. Der Client kann beispielsweise so konfiguriert werden, dass er nur die lokale Zertifikatsperrliste oder die lokale und die Netzwerkzertifikatsperrliste überprüft. Außerdem können Sie die Überprüfung der Zertifikate so konfigurieren, dass Benutzer sich nur anmelden können, wenn alle Zertifikatsperrlisten überprüft wurden.
Das Prüfen der Zertifikatsperrliste ist ein erweitertes Feature, das von einigen Zertifikatausstellern unterstützt wird. Der Administrator kann Sicherheitszertifikate widerrufen (d. h. vor dem Ablaufdatum ungültig machen), wenn der private Schlüssel des Zertifikats kryptografisch kompromittiert wurde.
Gültige Werte für diese Einstellung sind u. a.:
- Keine Prüfung: Es wird keine Überprüfung der Zertifikatsperrliste durchgeführt.
- Prüfung ohne Netzwerkzugriff: Die Zertifikatsperrliste wird überprüft. Es werden nur lokale Zertifikatsperrlistenspeicher verwendet. Alle Verteilungspunkte werden ignoriert. Das Finden einer Zertifikatsperrliste ist für die Überprüfung des Serverzertifikats, das vom Ziel-SSL-Relay bzw. Secure Gateway-Server vorgelegt wird, nicht wichtig.
- Volle Zugriffsprüfung: Die Zertifikatsperrliste wird überprüft. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn für ein Zertifikat Sperrinformationen gefunden werden, wird die Verbindung abgelehnt. Das Finden einer Zertifikatsperrliste ist für die Überprüfung des Serverzertifikats, das vom Zielserver vorgelegt wird, nicht wichtig.
- Volle Zugriffsprüfung und CRL erforderlich: Die Zertifikatsperrliste wird überprüft; die Stamm-ZS ist ausgeschlossen. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn für ein Zertifikat Sperrinformationen gefunden werden, wird die Verbindung abgelehnt. Das Finden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung wichtig.
- Volle Zugriffsprüfung und alle CRL erforderlich: Die Zertifikatsperrliste und die Stamm-ZS werden überprüft. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn für ein Zertifikat Sperrinformationen gefunden werden, wird die Verbindung abgelehnt. Das Finden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung wichtig.
Organisationen, die TLS für eine Reihe von Produkten konfigurieren, können Server, die für Citrix Receiver bestimmt sind, durch Angabe einer Zertifikatrichtlinien-OID als Teil des Sicherheitszertifikats identifizieren. Wenn hier eine Richtlinien-OID konfiguriert wird, akzeptiert Citrix Receiver nur Zertifikate, die eine kompatible Richtlinie deklarieren.
Bei Verbindungen über TLS kann die Konfiguration des Servers erfordern, dass Citrix Receiver sich durch ein Sicherheitszertifikat selbst identifiziert. Mit der Einstellung 'Clientauthentifizierung' können Sie festlegen, ob die Identifikation automatisch erfolgt oder ob der Benutzer benachrichtigt wird. Die folgenden Optionen sind verfügbar:
- Deaktiviert: Die Clientauthentifizierung ist deaktiviert
- Zertifikatauswähler anzeigen: Benutzer immer zum Auswählen eines Zertifikats auffordern
- Wenn möglich automatisch auswählen: Benutzer nur auffordern, wenn mehrere Zertifikate zur Auswahl stehen. Identifikation nie bereitstellen
- Angegebenes Zertifikat verwenden: Das in der Einstellung angegebene Clientzertifikat verwenden
Geben Sie mit der Einstellung 'Clientzertifikat' den Fingerabdruck des identifizierenden Zertifikats an, damit Benutzer nicht unnötig aufgefordert werden.
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLEnable |
Value Type | REG_SZ |
Default Value | true |
True Value | true |
False Value | * |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLSecurityComplianceMode |
Value Type | REG_SZ |
Value | NONE |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLSecurityComplianceMode |
Value Type | REG_SZ |
Value | SP800-52 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLSecurityComplianceMode |
Value Type | REG_SZ |
Value | FIPS |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SecureChannelProtocol |
Value Type | REG_SZ |
Value | TLS12 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SecureChannelProtocol |
Value Type | REG_SZ |
Value | TLS11_TLS12 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SecureChannelProtocol |
Value Type | REG_SZ |
Value | TLS11_TLS12_TLS13 |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLCiphers |
Value Type | REG_SZ |
Value |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLCiphers |
Value Type | REG_SZ |
Value | GOV |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLCiphers |
Value Type | REG_SZ |
Value | COM |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLCertificateRevocationCheckPolicy |
Value Type | REG_SZ |
Value | NoCheck |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLCertificateRevocationCheckPolicy |
Value Type | REG_SZ |
Value | CheckNoNetworkAccess |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLCertificateRevocationCheckPolicy |
Value Type | REG_SZ |
Value | FullAccessCheck |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLCertificateRevocationCheckPolicy |
Value Type | REG_SZ |
Value | FullAccessCheckAndCrlRequired |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLCertificateRevocationCheckPolicy |
Value Type | REG_SZ |
Value | FullAccessCheckAndCrlRequiredAll |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLClientAuthentication |
Value Type | REG_SZ |
Value |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLClientAuthentication |
Value Type | REG_SZ |
Value | AlwaysPromptUser |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLClientAuthentication |
Value Type | REG_SZ |
Value | Off |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLClientAuthentication |
Value Type | REG_SZ |
Value | On |
Registry Hive | HKEY_LOCAL_MACHINE |
Registry Path | Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL |
Value Name | SSLClientAuthentication |
Value Type | REG_SZ |
Value | PromptUser |