Конфигурация TLS и режима совместимости

Этот параметр позволяет решению Citrix Receiver определять безопасные подключения и шифровать обмен данных в сервере..

Примечание. Для безопасного подключения корпорация Citrix рекомендует использовать протокол TLS.

Ниже приведены типы безопасного соединения TLS между Receiver и XA/XD, которые поддерживает Citrix:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2
Выберите нужный тип TLS для всех подключений, чтобы решение Citrix Receiver использовало его для подключений всех типов.
Значения параметра "Режим соответствия требованиям безопасности":
- "Нет" — режим соответствия требованиям не применяется;
- SP800-52 — применяется режим соответствия требованиям NIST SP800-52r1.
Если выбрать SP800-52 из раскрывающегося меню "Режим соответствия безопасности", разрешаются следующие политики проверки отзыва сертификатов:
- "Проверять с полным доступом и требовать список отзыва сертификатов". Это значение по умолчанию.
- "Проверять с полным доступом и требовать список отзыва сертификатов (для всех)".

Вы можете настроить в Citrix Receiver подключение только к серверам, указанным в списке через запятую в параметре "Разрешенные серверы TLS". В нем можно указать подстановочные знаки и номера портов, например обозначение *.citrix.com:4433 позволяет подключаться к любому серверу, общее имя которого заканчивается символами .citrix.com и который использует порт 4433. Точность информации в сертификате безопасности гарантирует издатель сертификата. Если Citrix Receiver не распознает и не доверяет издателю сертификата, то подключение отклоняется.
Вы можете указать следующие сочетания версий TLS: :

- TLS 1.0, TLS 1.1 или TLS 1.2;
- TLS 1.1 или TLS 1.2;
- только TLS 1.2.

Комплект шифров TLS может быть таким:

- "Любой": если выбрать вариант "Любой", политика не настраивается и разрешаются следующие комплекты шифров:
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

- "Коммерческий": когда выбран вариант "Коммерческий", разрешены только следующие комплекты шифров:
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5

- "Государственный": когда выбран вариант "Государственный", разрешены только следующие комплекты шифров:
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

Политика проверки отзыва сертификатов используется для улучшения криптографической проверки подлинности сервера Citrix. Кроме того, она улучшает общую безопасность TLS-соединений между клиентом и сервером.

Если включить этот параметр, клиент будет проверять, отозван или нет сертификат сервера. Есть несколько уровней проверки списка отзыва сертификатов. Например, клиент может проверять только свой локальный список сертификатов или как локальные, так и сетевые списки. Кроме того, проверку сертификатов можно настроить так, чтобы пользователи могли входить только после проверки всех списков отзыва сертификатов.

Политика проверки отзыва сертификатов является расширенной функцией, которую поддерживают только некоторые издатели сертификатов. С ее помощью администраторы могут отзывать сертификаты безопасности (аннулированные прежде истечения срока действия) в случае компрометации закрытого ключа сертификата.

Для этого параметра можно выбрать следующие значения:
- "Не проверять" — списки отзыва сертификатов не проверяются.
- "Проверять без доступа к сети" — проверяются списки отзыва сертификатов. Проверка выполняется только в локальных хранилищах этих списков. Все точки распространения игнорируются. Для проверки сертификата целевого сервера, представленного сервером SSL Relay/Secure Gateway, нахождение списка отзыва сертификатов не является критически важным.
- "Проверять с полным доступом" — проверяются списки отзыва сертификатов. Проверка выполняется в локальных хранилищах списков и всех точках распространения. Если найдена информация об отзыве сертификата, подключение отклоняется. Finding a Для проверки сертификата сервера, представленного целевым сервером, нахождение списка отзыва сертификатов не является критически важным.
- "Проверять с полным доступом и требовать список отзыва сертификатов" — проверяются списки отзыва сертификатов, за исключением корневого ЦС. Проверка выполняется во всех локальных хранилищах списков и всех точках распространения. Если найдена информация об отзыве сертификата, подключение отклоняется. Для проверки критически важно найти все требуемые списки отзыва сертификатов.
- "Проверять с полным доступом и требовать список отзыва сертификатов (для всех)" — проверяются списки отзыва сертификатов, в том числе корневой ЦС. Проверка выполняется в локальных хранилищах списков и всех точках распространения. Если найдена информация об отзыве сертификата, подключение отклоняется. Для проверки критически важно найти все требуемые списки отзыва сертификатов.

Чтобы определить серверы, предназначенные для решения Citrix Receiver, организации, настраивающие протокол TLS для ряда продуктов, могут указывать идентификатор OID политики сертификата в качестве сертификата безопасности. Если идентификатор OID политики задается именно так, Citrix Receiver принимает только сертификаты, в которых заявляется о совместимой политике.

При подключении по протоколу TLS сервер (если его соответствующим образом настроить) может требовать у решения Citrix Receiver предъявить сертификат безопасности. С помощью параметра "Проверка подлинности клиента" укажите, следует ли предъявлять удостоверение автоматически или нужно уведомлять пользователя. Вы можете выбрать следующие значения этого параметра:

- "Отключено" — проверка подлинности клиента отключена.
- "Отобразить средство выбора сертификатов" — всегда просить пользователя выбрать сертификат.
- "Если возможно, выбирать автоматически" — отображать запрос, только если есть несколько сертификатов на выбор. Никогда не предъявлять удостоверение
- "Использовать указанный сертификат" — использовать сертификат клиента, указанный в упомянутом ниже параметре.

Указать отпечаток сертификата-удостоверения (чтобы запрос для пользователя не отображался без необходимости) можно с помощью параметра "Сертификат клиента".

Требовать TLS для всех подключений

Registry Hive	HKEY_LOCAL_MACHINE
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLEnable
Value Type	REG_SZ
Default Value	true
True Value	true
False Value	*

Режим соответствия требованиям безопасности

0. НЕТ
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLSecurityComplianceMode
   Value Type	REG_SZ
   Value	NONE

1. SP800-52
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLSecurityComplianceMode
   Value Type	REG_SZ
   Value	SP800-52

2. FIPS
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLSecurityComplianceMode
   Value Type	REG_SZ
   Value	FIPS

Версия TLS

0. TLS1.2
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SecureChannelProtocol
   Value Type	REG_SZ
   Value	TLS12

1. TLS1.1 | TLS1.2
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SecureChannelProtocol
   Value Type	REG_SZ
   Value	TLS11_TLS12

2. TLS1.0 | TLS1.1 | TLS1.2
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SecureChannelProtocol
   Value Type	REG_SZ
   Value	TLS11_TLS12_TLS13

Комплект шифров TLS

0. Любой
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCiphers
   Value Type	REG_SZ
   Value

1. Государственный
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCiphers
   Value Type	REG_SZ
   Value	GOV

2. Коммерческий
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCiphers
   Value Type	REG_SZ
   Value	COM

Политика проверки отзыва сертификатов

0. NoCheck
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	NoCheck

1. Проверять без доступа к сети
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	CheckNoNetworkAccess

2. Проверять с полным доступом
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	FullAccessCheck

3. Проверять с полным доступом и требовать список отзыва сертификатов
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	FullAccessCheckAndCrlRequired

4. Проверять с полным доступом и требовать список отзыва сертификатов (для всех)
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	FullAccessCheckAndCrlRequiredAll

Проверка подлинности клиента

0. Не настроено
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value

1. Отобразить средство выбора сертификатов
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	AlwaysPromptUser

2. Отключено
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	Off

3. Использовать указанный сертификат
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	On

4. Если возможно, выбирать автоматически
   

   Registry Hive	HKEY_LOCAL_MACHINE
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	PromptUser