Configuration de TLS et du mode de conformité

Cette option permet à Citrix Receiver d'identifier les connexions sécurisées et de crypter les communications avec le serveur.

Remarque : Citrix recommande d'utiliser TLS pour sécuriser les connexions.

Types de connexions sécurisées TLS entre Citrix Receiver et XenApp/XenDesktop prises en charge par Citrix :
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2
Sélectionnez Exiger TLS pour toutes les connexions pour vous assurer que Citrix Receiver utilise TLS pour tous les types de connexions.
Les valeurs du Mode de conformité aux normes de sécurité sont les suivantes :
- Aucun : aucun mode de conformité n'est appliqué
- SP800-52 : la conformité à la norme NIST SP800-52r1 est appliquée
Lorsque vous sélectionnez SP800-52 dans le menu déroulant Mode de conformité aux normes de sécurité, la stratégie de vérification de la liste de révocation de certificats (CRCP) suivante est autorisée :
- Exiger vérification avec accès complet et liste de révocation de certificats. Option par défaut.
- Exiger vérification avec accès complet et toutes les listes de révocation de certificats

Vous pouvez configurer Citrix Receiver de manière à ce qu'il se connecte uniquement à des serveurs spécifiés dans une liste séparée par des virgules dans l'option « Serveurs TLS autorisés ». Vous pouvez y spécifier des caractères génériques et des numéros de port. Par exemple, *.citrix.com:4433 autorise les connexions à tout serveur dont le nom commun se termine par .citrix.com sur le port 4433. L'exactitude des informations contenues dans un certificat de sécurité est certifiée par l'émetteur du certificat. Si Citrix Receiver ne reconnaît pas et n'approuve pas l'émetteur d'un certificat, la connexion est refusée.
La version de TLS peut être limitée à l'une des combinaisons suivantes :

- TLS 1.0, TLS 1.1 ou TLS 1.2
- TLS 1.1 ou TLS 1.2
- TLS 1.2 uniquement

La suite de chiffrement TLS peut être configurée sur l'une des valeurs suivantes :

- Quelconque : lorsque « Quelconque » est sélectionnée, la stratégie n'est pas configurée et les suites de chiffrement suivantes sont autorisées :

> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

- Commerciale : lorsque « Commerciale » est sélectionnée, seules les suites de chiffrement suivantes sont autorisées :
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5

- Gouvernementale : lorsque « Gouvernementale » est sélectionnée, seules les suites de chiffrement suivantes sont autorisées :
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

La stratégie de vérification de révocation de certificats est utilisée pour améliorer l'authentification cryptographique du serveur Citrix et elle contribue à améliorer la sécurité générale des connexions TLS entre un client et un serveur.

Lorsque vous activez ce paramètre, le client vérifie si le certificat du serveur est révoqué ou non. Il existe plusieurs niveaux de vérification des listes de révocation de certificats. Par exemple, le client peut être configuré pour vérifier uniquement sa liste de certificats locaux ou pour vérifier les listes de certificats locaux et de réseau. En outre, la vérification des certificats peut être configurée pour autoriser les utilisateurs à se connecter uniquement si toutes les listes de révocation de certificats ont été vérifiées.

La stratégie de vérification de la liste de révocation de certificats est une fonctionnalité avancée prise en charge par certains émetteurs de certificats. Elle permet à un administrateur de révoquer des certificats de sécurité (invalidés avant leur date d'expiration) dans le cas où la clé privée du certificat est corrompue.

Valeurs applicables à ce paramètre :

- Aucune vérification : la liste de révocation des certificats n'est pas vérifiée.
- Vérifier sans accès au réseau : la liste de révocation des certificats est vérifiée. Seuls les magasins de la liste de révocation de certificats locaux sont utilisés. Tous les points de distribution sont ignorés. L'utilisation d'une liste de révocation de certificats n'est pas indispensable à la vérification du certificat serveur présenté par le serveur Relais SSL/Secure Gateway cible.
- Vérifier avec accès complet : la liste de révocation de certificats est vérifiée. Les magasins locaux de la liste de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation sont trouvées pour un certificat, la connexion sera refusée. L'utilisation d'une liste de révocation de certificats n'est pas indispensable à la vérification du certificat serveur présenté par le serveur cible.
- Exiger vérification avec accès complet et liste de révocation de certificats : la liste de révocation de certificats est vérifiée, à l'exception de l'autorité de certification racine. Les magasins locaux de la liste de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation sont trouvées pour un certificat, la connexion sera refusée. L'utilisation de toutes les listes de révocation de certificats requises est essentielle à la vérification.
- Exiger vérification avec accès complet et toutes les listes de révocation de certificats : la liste de révocation de certificats est vérifiée, y compris l'autorité de certification racine. Les magasins locaux de la liste de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation sont trouvées pour un certificat, la connexion sera refusée. L'utilisation de toutes les listes de révocation de certificats requises est essentielle à la vérification.

Les organisations qui configurent TLS pour une gamme de produits peuvent choisir d'identifier les serveurs conçus pour Citrix Receiver en spécifiant un identificateur d'objet de stratégie de certificat dans le cadre du certificat de sécurité. Si un identificateur d'objet de stratégie est configuré ici, Citrix Receiver n'accepte que les certificats qui déclarent une stratégie compatible.

Lors de la connexion à l'aide de TLS, le serveur peut être configuré pour exiger que Citrix Receiver fournisse un certificat de sécurité d'identification. Utilisez le paramètre « Authentification client » pour configurer si l'identification est fournie automatiquement ou si l'utilisateur est notifié. Options possibles :

- Désactivé : l'authentification client est désactivée
- Afficher sélecteur de certificats : toujours demander à l'utilisateur de sélectionner un certificat
- Sélectionner automatiquement si possible : demander à l'utilisateur uniquement lorsque plusieurs certificats sont disponibles
ne jamais fournir d'identification
- Utiliser certificat spécifié : utiliser le certificat client spécifié dans le paramètre ci-dessous

Utilisez le paramètre « Certificat client » pour spécifier l'empreinte numérique du certificat d'identification et éviter une intervention inutile de l'utilisateur.

Pris en charge sur : Toutes les plates-formes Receiver prises en charge

Exiger TLS pour toutes les connexions
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value NameSSLEnable
Value TypeREG_SZ
Default Valuetrue
True Valuetrue
False Value*
Mode de conformité aux normes de sécurité


  1. AUCUN
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueNONE
  2. SP800-52
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueSP800-52
  3. FIPS
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueFIPS

Version TLS


  1. TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS12
  2. TLS1.1 | TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12
  3. TLS1.0 | TLS1.1 | TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12_TLS13

Suite de chiffrement TLS


  1. Quelconque
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    Value
  2. Gouvernement
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueGOV
  3. Commercial
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueCOM

Stratégie de vérification de la liste de révocation de certificats


  1. Aucune vérification
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueNoCheck
  2. Vérifier sans accès au réseau
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueCheckNoNetworkAccess
  3. Vérifier avec accès complet
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheck
  4. Exiger vérification avec accès complet et liste de révocation de certificats
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequired
  5. Exiger vérification avec accès complet et toutes les listes de révocation de certificats
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequiredAll

Authentification client


  1. Non configuré
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    Value
  2. Afficher sélecteur de certificats
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueAlwaysPromptUser
  3. Désactivé
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOff
  4. Utiliser certificat spécifié
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOn
  5. Sélectionner automatiquement si possible
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValuePromptUser


receiver.admx

Modèles d'administration (ordinateurs)

Modèles d'administration (utilisateurs)