Configuración del modo de conformidad y TLS

Esta opción permite a Citrix Receiver identificar conexiones seguras y cifrar la comunicación dentro del servidor.

Nota: Citrix recomienda TLS para las conexiones seguras.

Estos son los tipos de conexiones seguras con TLS entre Citrix Receiver y XenApp/XenDesktop que Citrix respalda:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2
Seleccione "Requerir TLS para todas las conexiones" para asegurarse de que Citrix Receiver usa TLS para todos los tipos de conexión.
Los valores del Modo de conformidad para la seguridad son:
- Ninguno: No se obliga a aplicar ningún modo de conformidad
- SP800-52: Se obliga a aplicar NIST SP800-52r1
Cuando se selecciona la opción SP800-52 en el menú desplegable de Modo de conformidad para la seguridad, se permite la siguiente Directiva de comprobación de revocación de certificados (CRCP):
- Requerir comprobación con acceso completo y lista de revocación de certificados: Esta es la opción predeterminada.
- Requerir comprobación con acceso completo y todas las listas de revocación de certificados.

Puede restringir Citrix Receiver para que solo se conecte con servidores especificados utilizando una lista de servidores, separados por comas, en la opción "Servidores TLS permitidos". Aquí se pueden especificar comodines y números de puerto. Por ejemplo: *.citrix.com:4433 permite las conexiones con cualquier servidor cuyo nombre común termine con .citrix.com, en el puerto 4433. La exactitud de la información incluida en un certificado de seguridad está aseverada por el emisor del certificado. Si Citrix Receiver no reconoce ni confía en el emisor de un certificado, la conexión se rechaza.
La versión de TLS se puede restringir a cualquier combinación de:

- TLS 1.0, TLS 1.1 o TLS 1.2
- TLS 1.1 o TLS 1.2
- Solo TLS 1.2

El conjunto de cifrado TLS se puede configurar con alguno de los siguientes:

- Cualquiera: Con esta opción, la directiva queda sin configurar y se permite usar cualquiera de los conjuntos de cifrado siguientes:

> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

- Comercial: Con esta opción, solo se permite usar los conjuntos de cifrado siguientes:
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5

- Gubernamental: Con esta opción, solo se permite usar los conjuntos de cifrado siguientes:
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

La Directiva de comprobación de revocación de certificados se usa para mejorar la autenticación criptográfica del servidor Citrix y mejora la seguridad global de las conexiones TLS entre cliente y servidor.

Cuando se habilita este parámetro, el cliente comprueba si el certificado del servidor ha sido revocado o no. Hay varios niveles de comprobación de listas de revocación de certificados. Por ejemplo, se puede configurar el cliente para que solo compruebe su lista de certificados local, o para que compruebe la lista de certificados local y las listas que existan en la red. Además, la comprobación de certificados se puede configurar para permitir que los usuarios inicien sesiones solo si se han verificado todas las listas de revocación de certificados.

La Directiva de comprobación de revocación de certificados es una función avanzada que solo respaldan algunos emisores de certificados. Permite a los administradores revocar certificados de seguridad (invalidados antes de su fecha de caducidad) en el caso de detectarse algún riesgo para la clave privada del certificado.

Los valores de este parámetro son:

- No comprobar: No se lleva a cabo una comprobación de listas de revocación de certificados.
- Comprobar sin acceso a red: Se lleva a cabo una comprobación de listas de revocación de certificados, pero solo se usan los almacenes de listas de revocación locales y se ignoran todos los puntos de distribución. Para la verificación del certificado del servidor que presenta el servidor de destino SSL Relay/Secure Gateway no es de importancia fundamental encontrar una lista de revocación de certificados.
- Comprobar con acceso completo: Se lleva a cabo una comprobación de listas de revocación de certificados y se usan tanto los almacenes locales de listas de revocación de certificados como los de los puntos de distribución. Si se encuentra información de revocación de un certificado, la conexión se rechaza. Para la verificación del certificado de servidor que presenta el servidor de destino no es de importancia fundamental encontrar una lista de revocación de certificados.
- Requerir comprobación con acceso completo y lista de revocación de certificados: Se lleva a cabo una comprobación de listas de revocación de certificados, excluyendo la entidad de certificación (CA) raíz. Se usan tanto los almacenes locales de listas de revocación de certificados como los de los puntos de distribución. Si se encuentra información de revocación de un certificado, la conexión se rechaza. Para la verificación es de importancia fundamental encontrar todas las listas de revocación de certificados.
- Requerir comprobación con acceso completo y todas las listas de revocación de certificados: Se lleva a cabo una comprobación de listas de revocación de certificados, incluida la entidad de certificación (CA) raíz. Se usan tanto los almacenes locales de listas de revocación de certificados como los de los puntos de distribución. Si se encuentra información de revocación de un certificado, la conexión se rechaza. Para la verificación es de importancia fundamental encontrar todas las listas de revocación de certificados.

Las organizaciones que configuran TLS para una gama de productos pueden identificar los servidores dedicados a Citrix Receiver especificando un ID de objeto (OID) de directiva de certificado como parte del certificado de seguridad. Si se configura un OID de directiva aquí, Citrix Receiver acepta solo aquellos certificados que declaren una directiva compatible.

Al conectar mediante TLS, el servidor puede configurarse para requerir que Citrix Receiver suministre un certificado de seguridad para identificarse a sí mismo. Use el parámetro "Autenticación del cliente" para configurar si la identificación se proporciona automáticamente, o si se notifica al usuario. Las opciones posibles son:

- Inhabilitado: La autenticación del cliente está inhabilitada
- Mostrar selector de certificados: Se pide siempre al usuario que seleccione un certificado
- Seleccionar automáticamente, si es posible: Solo se pregunta al usuario cuando hay varios certificados que se pueden elegir
- Nunca: Nunca proporcionar identificación
- Usar un certificado especificado: Usar el certificado de cliente especificado en el parámetro más abajo

Use el parámetro "Certificado del cliente" para especificar la huella digital del certificado de identificación y evitar tener que preguntar al usuario innecesariamente.

Compatible con: Todas las plataformas compatibles con Receiver

Requerir TLS para todas las conexiones
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value NameSSLEnable
Value TypeREG_SZ
Default Valuetrue
True Valuetrue
False Value*
Modo de conformidad para la seguridad


  1. NINGUNO
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueNONE
  2. SP800-52
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueSP800-52
  3. FIPS
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueFIPS

Versión de TLS


  1. TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS12
  2. TLS1.1 | TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12
  3. TLS1.0 | TLS1.1 | TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12_TLS13

Conjunto de cifrado TLS


  1. Cualquiera
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    Value
  2. Gubernamental
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueGOV
  3. Comercial
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueCOM

Directiva de comprobación de revocación de certificados


  1. No comprobar
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueNoCheck
  2. Comprobar sin acceso a red
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueCheckNoNetworkAccess
  3. Comprobar con acceso completo
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheck
  4. Requerir comprobación con acceso completo y lista de revocación de certificados
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequired
  5. Requerir comprobación con acceso completo y todas las listas de revocación de certificados
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequiredAll

Autenticación del cliente


  1. No configurado
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    Value
  2. Mostrar selector de certificados
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueAlwaysPromptUser
  3. Inhabilitado
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOff
  4. Usar un certificado especificado
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOn
  5. Seleccionar automáticamente, si es posible
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValuePromptUser


receiver.admx

Plantillas administrativas (equipos)

Plantillas administrativas (usuarios)