Конфигурация TLS и режима совместимости

Этот параметр позволяет решению Citrix Receiver определять безопасные подключения и шифровать обмен данных в сервере..

Примечание. Для безопасного подключения корпорация Citrix рекомендует использовать протокол TLS.

Ниже приведены типы безопасного соединения TLS между Receiver и XA/XD, которые поддерживает Citrix:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2
Выберите нужный тип TLS для всех подключений, чтобы решение Citrix Receiver использовало его для подключений всех типов.
Значения параметра "Режим соответствия требованиям безопасности":
- "Нет" — режим соответствия требованиям не применяется;
- SP800-52 — применяется режим соответствия требованиям NIST SP800-52r1.
Если выбрать SP800-52 из раскрывающегося меню "Режим соответствия безопасности", разрешаются следующие политики проверки отзыва сертификатов:
- "Проверять с полным доступом и требовать список отзыва сертификатов". Это значение по умолчанию.
- "Проверять с полным доступом и требовать список отзыва сертификатов (для всех)".

Вы можете настроить в Citrix Receiver подключение только к серверам, указанным в списке через запятую в параметре "Разрешенные серверы TLS". В нем можно указать подстановочные знаки и номера портов, например обозначение *.citrix.com:4433 позволяет подключаться к любому серверу, общее имя которого заканчивается символами .citrix.com и который использует порт 4433. Точность информации в сертификате безопасности гарантирует издатель сертификата. Если Citrix Receiver не распознает и не доверяет издателю сертификата, то подключение отклоняется.
Вы можете указать следующие сочетания версий TLS: :

- TLS 1.0, TLS 1.1 или TLS 1.2;
- TLS 1.1 или TLS 1.2;
- только TLS 1.2.

Комплект шифров TLS может быть таким:

- "Любой": если выбрать вариант "Любой", политика не настраивается и разрешаются следующие комплекты шифров:
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

- "Коммерческий": когда выбран вариант "Коммерческий", разрешены только следующие комплекты шифров:
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5

- "Государственный": когда выбран вариант "Государственный", разрешены только следующие комплекты шифров:
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

Политика проверки отзыва сертификатов используется для улучшения криптографической проверки подлинности сервера Citrix. Кроме того, она улучшает общую безопасность TLS-соединений между клиентом и сервером.

Если включить этот параметр, клиент будет проверять, отозван или нет сертификат сервера. Есть несколько уровней проверки списка отзыва сертификатов. Например, клиент может проверять только свой локальный список сертификатов или как локальные, так и сетевые списки. Кроме того, проверку сертификатов можно настроить так, чтобы пользователи могли входить только после проверки всех списков отзыва сертификатов.

Политика проверки отзыва сертификатов является расширенной функцией, которую поддерживают только некоторые издатели сертификатов. С ее помощью администраторы могут отзывать сертификаты безопасности (аннулированные прежде истечения срока действия) в случае компрометации закрытого ключа сертификата.

Для этого параметра можно выбрать следующие значения:
- "Не проверять" — списки отзыва сертификатов не проверяются.
- "Проверять без доступа к сети" — проверяются списки отзыва сертификатов. Проверка выполняется только в локальных хранилищах этих списков. Все точки распространения игнорируются. Для проверки сертификата целевого сервера, представленного сервером SSL Relay/Secure Gateway, нахождение списка отзыва сертификатов не является критически важным.
- "Проверять с полным доступом" — проверяются списки отзыва сертификатов. Проверка выполняется в локальных хранилищах списков и всех точках распространения. Если найдена информация об отзыве сертификата, подключение отклоняется. Finding a Для проверки сертификата сервера, представленного целевым сервером, нахождение списка отзыва сертификатов не является критически важным.
- "Проверять с полным доступом и требовать список отзыва сертификатов" — проверяются списки отзыва сертификатов, за исключением корневого ЦС. Проверка выполняется во всех локальных хранилищах списков и всех точках распространения. Если найдена информация об отзыве сертификата, подключение отклоняется. Для проверки критически важно найти все требуемые списки отзыва сертификатов.
- "Проверять с полным доступом и требовать список отзыва сертификатов (для всех)" — проверяются списки отзыва сертификатов, в том числе корневой ЦС. Проверка выполняется в локальных хранилищах списков и всех точках распространения. Если найдена информация об отзыве сертификата, подключение отклоняется. Для проверки критически важно найти все требуемые списки отзыва сертификатов.

Чтобы определить серверы, предназначенные для решения Citrix Receiver, организации, настраивающие протокол TLS для ряда продуктов, могут указывать идентификатор OID политики сертификата в качестве сертификата безопасности. Если идентификатор OID политики задается именно так, Citrix Receiver принимает только сертификаты, в которых заявляется о совместимой политике.

При подключении по протоколу TLS сервер (если его соответствующим образом настроить) может требовать у решения Citrix Receiver предъявить сертификат безопасности. С помощью параметра "Проверка подлинности клиента" укажите, следует ли предъявлять удостоверение автоматически или нужно уведомлять пользователя. Вы можете выбрать следующие значения этого параметра:

- "Отключено" — проверка подлинности клиента отключена.
- "Отобразить средство выбора сертификатов" — всегда просить пользователя выбрать сертификат.
- "Если возможно, выбирать автоматически" — отображать запрос, только если есть несколько сертификатов на выбор. Никогда не предъявлять удостоверение
- "Использовать указанный сертификат" — использовать сертификат клиента, указанный в упомянутом ниже параметре.

Указать отпечаток сертификата-удостоверения (чтобы запрос для пользователя не отображался без необходимости) можно с помощью параметра "Сертификат клиента".

Поддерживается: Все поддерживаемые приложением Receiver платформы

Требовать TLS для всех подключений
Registry HiveHKEY_CURRENT_USER
Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value NameSSLEnable
Value TypeREG_SZ
Default Valuetrue
True Valuetrue
False Value*
Режим соответствия требованиям безопасности


  1. НЕТ
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueNONE
  2. SP800-52
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueSP800-52
  3. FIPS
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueFIPS

Версия TLS


  1. TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS12
  2. TLS1.1 | TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12
  3. TLS1.0 | TLS1.1 | TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12_TLS13

Комплект шифров TLS


  1. Любой
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    Value
  2. Государственный
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueGOV
  3. Коммерческий
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueCOM

Политика проверки отзыва сертификатов


  1. NoCheck
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueNoCheck
  2. Проверять без доступа к сети
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueCheckNoNetworkAccess
  3. Проверять с полным доступом
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheck
  4. Проверять с полным доступом и требовать список отзыва сертификатов
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequired
  5. Проверять с полным доступом и требовать список отзыва сертификатов (для всех)
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequiredAll

Проверка подлинности клиента


  1. Не настроено
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    Value
  2. Отобразить средство выбора сертификатов
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueAlwaysPromptUser
  3. Отключено
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOff
  4. Использовать указанный сертификат
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOn
  5. Если возможно, выбирать автоматически
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValuePromptUser


receiver.admx

Административные шаблоны (компьютеры)

Административные шаблоны (пользователи)