Konfiguration von TLS und Konformitätsmodus

Mit dieser Option erkennt Citrix Receiver sichere Verbindungen und verschlüsselt die Kommunikation im Server.

Hinweis: Citrix empfiehlt sichere Verbindungen mit TLS.

Die folgenden sicheren Verbindungen mit TLS zwischen Citrix Receiver und XA/XD werden von Citrix unterstützt:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2
Wählen Sie 'TLS erforderlich' für alle Verbindungen, damit Citrix Receiver TLS für alle Verbindungstypen verwendet.
Die Werte für den Sicherheitskonformitätsmodus sind:
- Ohne: Kein Konformitätsmodus wird erzwungen
- SP800-52: Einhaltung von NIST SP800-52r1 wird erzwungen
Bei Auswahl von 'SP800-52' aus dem Dropdownmenü 'Sicherheitskonformitätsmodus' ist die folgende Richtlinie für die Zertifikatsperrüberprüfung zulässig:
- Volle Zugriffsprüfung und CRL erforderlich. Dies ist die Standardoption.
- Volle Zugriffsprüfung und alle CRL erforderlich

Unter 'Zulässige TLS-Server' können Sie mit einer durch Kommas getrennten Liste die Verbindungen von Citrix Receiver auf bestimmte Server beschränken. Es können Platzhalter und Portnummern angegeben werden, z. B. erlaubt *.citrix.com:4433 die Verbindung mit allen Servern, deren allgemeiner Name mit .citrix.com auf Port 4433 endet. Die Genauigkeit der Informationen in einem Sicherheitszertifikat wird durch den Aussteller des Zertifikats bestätigt. Wenn Citrix Receiver den Aussteller des Zertifikats nicht erkennt und ihm nicht vertraut, wird die Verbindung abgelehnt.
Die TLS-Version kann auf alle Kombinationen der folgenden Protokolle eingeschränkt werden:

- TLS 1.0, TLS 1.1 oder TLS 1.2
- TLS 1.1 oder TLS 1.2
- Nur TLS 1.2

Die TLS-Verschlüsselungssammlung kann auf eine der folgenden Einstellungen festgelegt werden:

- Beliebig : Bei Einstellung von 'Beliebig' ist die Richtlinie nicht konfiguriert und die folgenden Verschlüsselungssammlungen sind zulässig:

> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

- Kommerziell: Bei Einstellung von 'Kommerziell' sind nur die folgenden Verschlüsselungssammlungen zulässig:

> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5

- Behörden: Bei Einstellung von 'Behörden' sind nur die folgenden Verschlüsselungssammlungen zulässig:
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

Die Richtlinie 'Zertifikatsperrüberprüfung' verbessert die kryptografische Authentifizierung des Citrix Servers und die allgemeine Sicherheit der TLS-Verbindungen zwischen einem Client und einem Server.

Wenn diese Einstellung aktiviert ist, prüft der Client, ob das Zertifikat des Servers widerrufen wurde. Es gibt mehrere Prüfstufen für die Zertifikatsperrliste. Der Client kann beispielsweise so konfiguriert werden, dass er nur die lokale Zertifikatsperrliste oder die lokale und die Netzwerkzertifikatsperrliste überprüft. Außerdem können Sie die Überprüfung der Zertifikate so konfigurieren, dass Benutzer sich nur anmelden können, wenn alle Zertifikatsperrlisten überprüft wurden.

Das Prüfen der Zertifikatsperrliste ist ein erweitertes Feature, das von einigen Zertifikatausstellern unterstützt wird. Der Administrator kann Sicherheitszertifikate widerrufen (d. h. vor dem Ablaufdatum ungültig machen), wenn der private Schlüssel des Zertifikats kryptografisch kompromittiert wurde.

Gültige Werte für diese Einstellung sind u. a.:

- Keine Prüfung: Es wird keine Überprüfung der Zertifikatsperrliste durchgeführt.
- Prüfung ohne Netzwerkzugriff: Die Zertifikatsperrliste wird überprüft. Es werden nur lokale Zertifikatsperrlistenspeicher verwendet. Alle Verteilungspunkte werden ignoriert. Das Finden einer Zertifikatsperrliste ist für die Überprüfung des Serverzertifikats, das vom Ziel-SSL-Relay bzw. Secure Gateway-Server vorgelegt wird, nicht wichtig.
- Volle Zugriffsprüfung: Die Zertifikatsperrliste wird überprüft. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn für ein Zertifikat Sperrinformationen gefunden werden, wird die Verbindung abgelehnt. Das Finden einer Zertifikatsperrliste ist für die Überprüfung des Serverzertifikats, das vom Zielserver vorgelegt wird, nicht wichtig.
- Volle Zugriffsprüfung und CRL erforderlich: Die Zertifikatsperrliste wird überprüft; die Stamm-ZS ist ausgeschlossen. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn für ein Zertifikat Sperrinformationen gefunden werden, wird die Verbindung abgelehnt. Das Finden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung wichtig.
- Volle Zugriffsprüfung und alle CRL erforderlich: Die Zertifikatsperrliste und die Stamm-ZS werden überprüft. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn für ein Zertifikat Sperrinformationen gefunden werden, wird die Verbindung abgelehnt. Das Finden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung wichtig.

Organisationen, die TLS für eine Reihe von Produkten konfigurieren, können Server, die für Citrix Receiver bestimmt sind, durch Angabe einer Zertifikatrichtlinien-OID als Teil des Sicherheitszertifikats identifizieren. Wenn hier eine Richtlinien-OID konfiguriert wird, akzeptiert Citrix Receiver nur Zertifikate, die eine kompatible Richtlinie deklarieren.

Bei Verbindungen über TLS kann die Konfiguration des Servers erfordern, dass Citrix Receiver sich durch ein Sicherheitszertifikat selbst identifiziert. Mit der Einstellung 'Clientauthentifizierung' können Sie festlegen, ob die Identifikation automatisch erfolgt oder ob der Benutzer benachrichtigt wird. Die folgenden Optionen sind verfügbar:

- Deaktiviert: Die Clientauthentifizierung ist deaktiviert
- Zertifikatauswähler anzeigen: Benutzer immer zum Auswählen eines Zertifikats auffordern
- Wenn möglich automatisch auswählen: Benutzer nur auffordern, wenn mehrere Zertifikate zur Auswahl stehen. Identifikation nie bereitstellen
- Angegebenes Zertifikat verwenden: Das in der Einstellung angegebene Clientzertifikat verwenden

Geben Sie mit der Einstellung 'Clientzertifikat' den Fingerabdruck des identifizierenden Zertifikats an, damit Benutzer nicht unnötig aufgefordert werden.

TLS für alle Verbindungen verwenden

Registry Hive	HKEY_CURRENT_USER
Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value Name	SSLEnable
Value Type	REG_SZ
Default Value	true
True Value	true
False Value	*

Sicherheitskonformitätsmodus

0. Ohne
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLSecurityComplianceMode
   Value Type	REG_SZ
   Value	NONE

1. SP800-52
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLSecurityComplianceMode
   Value Type	REG_SZ
   Value	SP800-52

2. FIPS
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLSecurityComplianceMode
   Value Type	REG_SZ
   Value	FIPS

TLS-Version

0. TLS1.2
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SecureChannelProtocol
   Value Type	REG_SZ
   Value	TLS12

1. TLS1.1 | TLS1.2
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SecureChannelProtocol
   Value Type	REG_SZ
   Value	TLS11_TLS12

2. TLS1.0 | TLS1.1 | TLS1.2
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SecureChannelProtocol
   Value Type	REG_SZ
   Value	TLS11_TLS12_TLS13

TLS-Verschlüsselungssammlung

0. Beliebig
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCiphers
   Value Type	REG_SZ
   Value

1. Behörden
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCiphers
   Value Type	REG_SZ
   Value	GOV

2. Kommerziell
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCiphers
   Value Type	REG_SZ
   Value	COM

Richtlinie 'Zertifikatsperrüberprüfung'

0. Keine Prüfung
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	NoCheck

1. Prüfung ohne Netzwerkzugriff
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	CheckNoNetworkAccess

2. Volle Zugriffsprüfung
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	FullAccessCheck

3. Volle Zugriffsprüfung und CRL erforderlich
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	FullAccessCheckAndCrlRequired

4. Volle Zugriffsprüfung und alle CRL erforderlich
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLCertificateRevocationCheckPolicy
   Value Type	REG_SZ
   Value	FullAccessCheckAndCrlRequiredAll

Clientauthentifizierung

0. Nicht konfiguriert
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value

1. Zertifikatauswähler anzeigen
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	AlwaysPromptUser

2. Deaktiviert
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	Off

3. Angegebenes Zertifikat verwenden
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	On

4. Wenn möglich automatisch auswählen
   

   Registry Hive	HKEY_CURRENT_USER
   Registry Path	Software\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
   Value Name	SSLClientAuthentication
   Value Type	REG_SZ
   Value	PromptUser