TLS 및 준수 모드 구성

이 옵션을 사용하면 Citrix Receiver가 보안 연결을 식별하고, 서버 내의 통신을 암호화할 수 있습니다.

참고: TLS 유형의 보안 연결을 사용하는 것이 좋습니다.

다음은 Citrix가 지원하는 Receiver와 XA/XD 간 TLS 보안 연결의 유형입니다.
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2
Citrix Receiver가 모든 유형의 연결에 TLS를 사용하도록 하려면 모든 연결에 TLS 필요를 선택하십시오.
보안 규정 준수 모드 값은 다음과 같습니다.
- 없음: 규정 준수 모드가 적용되지 않습니다.
- SP800-52: NIST SP800-52r1 규정 준수가 적용됩니다.
보안 규정 준수 모드 드롭다운 메뉴에서 SP800-52를 선택하면 다음 CRCP(인증서 해지 검사 정책)가 허용됩니다.
- 전체 액세스 검사 및 CRL 필요: 기본 옵션입니다.
-전체 액세스 검사 및 CRL 전체 필요

"허용되는 TLS 서버" 옵션의 쉼표로 구분된 목록을 통해 Citrix Receiver가 지정된 서버에만 연결되도록 제한할 수 있습니다. 여기에 와일드카드와 포트 번호를 지정할 수 있습니다. 예를 들어, *.citrix.com:4433을 지정하면 포트 4433에서 일반 이름이 .citrix.com으로 끝나는 모든 서버에 연결할 수 있습니다. 보안 인증서에 있는 정보의 정확성은 인증서 발급자가 보장합니다. Citrix Receiver에서 인증서 발급자를 인식할 수 없거나 신뢰하지 않는 경우 연결이 거부됩니다.
TLS 버전은 다음 조합으로 제한될 수 있습니다.

- TLS 1.0, TLS 1.1 또는 TLS 1.2
- TLS 1.1 또는 TLS 1.2
- TLS 1.2만

TLS 암호화 집합은 다음 중 하나로 구성할 수 있습니다.

- 모두: "모두"를 설정하면 정책이 구성 해제되며 다음 암호화 집합이 허용됩니다.

> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

- 상용: "상용"을 설정하면 다음 암호화 집합만 허용됩니다.
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5

- 정부: "정부"를 설정하면 다음 암호화 집합만 허용됩니다.
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

인증서 해지 검사 정책을 사용하면 Citrix 서버의 암호화 인증을 개선하고 클라이언트와 서버 간 TLS 연결의 전반적인 보안을 강화할 수 있습니다.

이 설정을 사용하도록 설정하면 클라이언트는 서버의 인증서가 해지되었는지 여부를 확인합니다. 인증서 해지 목록 검사에는 몇 가지 수준이 있습니다. 예를 들어 로컬 인증서 목록만 검사하거나 로컬 및 네트워크 인증서 목록을 검사하도록 클라이언트를 구성할 수 있습니다. 또한 모든 인증서 해지 목록이 확인된 경우에만 사용자가 로그온할 수 있도록 인증서 검사를 구성할 수도 있습니다.

인증서 해지 검사 정책은 일부 인증서 발급자가 지원하는 고급 기능입니다. 이를 통해 관리자는 인증서 개인 키가 침해된 경우 보안 인증서를 해지(만료 날짜 전에 무효화)할 수 있습니다.

이 설정에 적용 가능한 값은 다음과 같습니다.

- NoCheck: 인증서 해지 목록 검사를 수행하지 않습니다.
- 네트워크 액세스 없이 검사: 인증서 해지 목록 검사를 수행합니다. 로컬 인증서 해지 목록 저장소만 사용됩니다. 모든 배포 지점이 무시됩니다. 대상 SSL 릴레이/Secure Gateway 서버가 제공하는 서버 인증서 확인 시 인증서 해지 목록 검색은 중요하지 않습니다.
- 전체 액세스 검사: 인증서 해지 목록 검사를 수행합니다. 로컬 인증서 해지 목록 저장소 및 모든 배포 지점이 사용됩니다. 인증서에 대한 해지 정보가 발견되면 연결이 거부됩니다. 대상 서버가 제공하는 서버 인증서 확인 시 인증서 해지 목록 검색은 중요하지 않습니다.
- 전체 액세스 검사 및 CRL 필요: 루트 CA를 제외하고 인증서 해지 목록 검사를 수행합니다. 로컬 인증서 해지 목록 저장소 및 모든 배포 지점이 사용됩니다. 인증서에 대한 해지 정보가 발견되면 연결이 거부됩니다. 확인 작업 시 인증서 해지 목록 검색이 중요합니다.
- 전체 액세스 검사 및 CRL 전체 필요: 루트 CA를 포함하여 인증서 해지 목록 검사를 수행합니다. 로컬 인증서 해지 목록 저장소 및 모든 배포 지점이 사용됩니다. 인증서에 대한 해지 정보가 발견되면 연결이 거부됩니다. 확인 작업 시 모든 필수 인증서 해지 목록 검색이 중요합니다.

다양한 제품에 대해 TLS를 구성하는 조직은 보안 인증서의 일부로 인증서 정책 OID를 지정하여 Citrix Receiver용 서버를 식별하도록 선택할 수 있습니다. 여기서 정책 OID를 구성하는 경우 Citrix Receiver는 호환되는 정책을 선언하는 인증서만 허용합니다.

TLS를 통해 연결될 경우 Citrix Receiver에서 자체를 식별하는 보안 인증서를 제공해야 하도록 서버를 구성할 수 있습니다. "클라이언트 인증" 설정을 사용하여 ID를 자동으로 제공할지 아니면 사용자에게 알림을 제공할지 구성합니다. 옵션은 다음과 같습니다.

- 사용 안 함: 클라이언트 인증을 사용하지 않도록 설정합니다.
- 인증서 선택기 표시: 항상 사용자에게 인증서를 선택하도록 메시지를 표시합니다.
- 가능한 경우 자동 선택: 제공할 인증서 선택 옵션이 있는 경우에만 사용자에게 메시지를 표시합니다.
ID 제공 안 함
- 지정된 인증서 사용: 아래 설정에서 지정된 클라이언트 인증서를 사용합니다.

사용자에게 불필요하게 메시지를 표시하지 않기 위해 "클라이언트 인증서" 설정을 사용하여 식별 중인 인증서의 지문을 지정합니다.

지원: 모든 Receiver 지원 플랫폼

모든 연결에 TLS 필요
Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value NameSSLEnable
Value TypeREG_SZ
Default Valuetrue
True Valuetrue
False Value*
보안 준수 모드


  1. 없음
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueNONE
  2. SP800-52
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueSP800-52
  3. FIPS
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueFIPS

TLS 버전


  1. TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS12
  2. TLS1.1 | TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12
  3. TLS1.0 | TLS1.1 | TLS1.2
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12_TLS13

TLS 암호화 집합


  1. 모두
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    Value
  2. 정부
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueGOV
  3. 상용
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueCOM

인증서 해지 검사 정책


  1. NoCheck
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueNoCheck
  2. 네트워크 액세스 없이 검사
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueCheckNoNetworkAccess
  3. 전체 액세스 검사
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheck
  4. 전체 액세스 검사 및 CRL 필요
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequired
  5. 전체 액세스 검사 및 CRL 전체 필요
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequiredAll

클라이언트 인증


  1. 구성되지 않음
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    Value
  2. 인증서 선택기 표시
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueAlwaysPromptUser
  3. 사용 안 함
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOff
  4. 지정한 인증서 사용
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOn
  5. 가능한 경우 자동 선택
    Registry HiveHKEY_LOCAL_MACHINE
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValuePromptUser


receiver.admx

관리 템플릿(컴퓨터)

관리 템플릿(사용자)