TLS 和相容模式組態

此選項可讓 Citrix Receiver 識別伺服器內的安全連線並加密通訊。

注意: Citrix 建議使用 TLS 類型的安全連線。

以下是 Citrix 支援之 Citrix Receiver 與 XA/XD 之間的 TLS 安全連線類型:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2
針對所有連線選取所需的 TLS 以確保 Citrix Receiver 針對所有類型的連線使用 TLS。
[安全性法規遵循模式] 的值有:
- 無 - 不強制執行任何法規遵循模式
- SP800-52 - 強制執行 NIST SP800-52r1 規範
在 [安全性法規遵循模式] 下拉式功能表中選取 SP800-52 時，允許使用下列憑證撤銷檢查原則 (CRCP) :
- 需要完整存取檢查和 CRL。這是預設選項。
- 全部需要完整存取檢查和 CRL

您可限制 Citrix Receiver 僅能連線至 [允許的 TLS 伺服器] 選項中之逗點分隔清單所指定的伺服器 可在此處指定萬用字元和連接埠號碼，例如 *.citrix.com:4433 會允許連線至連接埠 4433 上通用名稱以 .citrix.com 結尾的任何伺服器。憑證簽發者會在安全性憑證中聲稱資訊的正確性。如果 Citrix Receiver 無法辨識也不信任憑證簽發者，則連線會遭到拒絕。
TLS 版本可限制為以下各項的任何組合:

- TLS 1.0, TLS 1.1 或 TLS 1.2
- TLS 1.1 或 TLS 1.2
- 僅限 TLS 1.2

TLS 加密套件可設定為以下任一項:

- 任意: 設定為 [任意] 時，會取消設定原則，並允許使用以下加密套件:

> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

- 商業: 設定為 [商業] 時，僅允許使用以下加密套件:
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5

- 政府: 設定為 [政府] 時，僅允許使用以下加密套件:
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

[憑證撤銷檢查原則] 可用於改善 Citrix 伺服器的密碼編譯驗證，以及提高用戶端與伺服器之間 TLS 連線的整體安全性。

啟用此設定時，用戶端會檢查伺服器的憑證是否已撤銷。有多個憑證撤銷清單檢查層級。例如，可將用戶端設定為僅檢查其本機憑證清單，或檢查本機與網路憑證清單。此外，可將憑證檢查設定為僅在所有 [憑證撤銷] 清單均經過驗證後，才允許使用者登入。

[憑證撤銷檢查原則] 是部分憑證簽發者支援的進階功能。此功能可讓管理員在憑證私密金鑰洩露時，撤銷安全性憑證 (在其到期日前使其失效)。

此設定的適用值包括:

- 不檢查 - 不執行任何憑證撤銷清單檢查。
- 在不存取網路的情況下檢查 - 執行憑證撤銷清單檢查。僅使用本機憑證撤銷清單存放區。會忽略所有發佈點。尋找憑證撤銷清單並非驗證目標 SSL Relay/Secure Gateway 伺服器提供之伺服器憑證的關鍵。
- 完整存取檢查 - 執行憑證撤銷清單檢查。會使用本機憑證撤銷清單存放區和所有發佈點。如果找到憑證的撤銷資訊，連線將遭到拒絕。尋找憑證撤銷清單並非驗證目標伺服器提供之伺服器憑證的關鍵。
- 需要完整存取檢查和 CRL - 執行憑證撤銷清單檢查，不包括根 CA。會使用本機憑證撤銷清單存放區和所有發佈點。如果找到憑證的撤銷資訊，連線將遭到拒絕。尋找所需的所有憑證撤銷清單是驗證的關鍵。
- 全部需要完整存取檢查和 CRL - 執行憑證撤銷清單檢查，包括根 CA。會使用本機憑證撤銷清單存放區和所有發佈點。如果找到憑證的撤銷資訊，連線將遭到拒絕。尋找所需的所有憑證撤銷清單是驗證的關鍵。

為一系列產品設定 TLS 的組織可選擇在安全性憑證中指定憑證原則 OID，來識別 Citrix Receiver 專用的伺服器。如果在此處設定原則 OID，則 Citrix Receiver 僅會接受宣告了相容原則的憑證。

透過 TLS 連線時，可能會將伺服器設定為需要 Citrix Receiver 提供識別自身的安全性憑證。使用 [用戶端驗證] 設定，可設定是否自動提供識別碼，或是否通知使用者。選項包括:

- 已停用 - 停用用戶端驗證
- 顯示憑證選取器 - 始終提示使用者選取憑證
- 如果可能，則自動選取 - 僅在提供憑證選項時才提示使用者
從不提供識別碼
- 使用指定的憑證 - 使用以下設定中指定的用戶端憑證

使用 [用戶端憑證] 設定可指定識別憑證的指紋，以避免不必要地提示使用者。

receiver.admx