TLS およびコンプライアンス モードの構成

このオプションを使用して Citrix Receiver が保護された接続を指定し、サーバーとの通信を暗号化できます。

注: 保護された接続で、TLS の種類を使用することをお勧めします。

以下は、Receiver と XA/XD 間でサポートされる保護された接続の TLS 種類です。
1. TLS 1.0 2.
2. TLS 1.1 3.
3. TLS 1.2

[すべての接続に TLS を使用] を選択して、Receiver がすべての接続の種類に TLS を使用するようにできます。
以下は、[セキュリティ コンプライアンス モード] の値です。
- なし – コンプライアンス モードが適用されません
- SP800-52 - NIST SP800-52r1 コンプライアンスが適用されます
[セキュリティ コンプライアンス モード] ドロップダウン メニューで SP800-52 を選択すると、以下の証明書失効チェックのポリシー (CRCP) が許可されます。
-完全なアクセス権のチェックとCRLが必要です (デフォルトのオプション)
-すべてに完全なアクセス権のチェックとCRLが必要です

Receiver が、[許可された TLS サーバー] オプションのコンマで区切られた一覧で指定された特定のサーバーのみに接続するよう制限できます。ワイルドカードとポート番号はここで指定できます。たとえば、*.citrix.com:4433 は共通名が .citrix.com で終わる ポート 4433 の任意のサーバーへの接続を許可します。セキュリティ証明書の情報の正確さは、証明書の発行者によります。Receiver が証明書の発行者を認識して信頼しないと、接続は拒否されます。

TLS バージョンは次の組み合わせに制限できます。

- TLS 1.0、TLS 1.1、または TLS 1.2
- TLS 1.1 または TLS 1.2
- TLS 1.2 のみ

TLS 暗号の組み合わせは次のうちの 1 つのサーバーに構成できます。

- 任意: 「任意」が設定されると、ポリシーは構成されず次の暗号の組み合わせが許可されます。

> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

- 商用: 「商用」が設定されると、次の暗号の組み合わせのみが許可されます。
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5

- 自治体: 「自治体」が設定されると、暗号の組み合わせのみが許可されます。
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

「証明書失効チェックのポリシー」は、Citrix サーバーの暗号化認証の向上に使用され、クライアントとサーバー間の TLS 接続の全体的なセキュリティを向上させます。

この設定を有効にすると、クライアントはサーバーの証明書が失効しているかどうかをチェックします。証明書失効チェック用の一覧には、さまざまなレベルがあります。 たとえば、クライアントはローカルの証明書一覧のみをチェックしたり、ローカルとネットワークの証明書一覧をチェックするように構成できます。また、すべての証明書失効一覧が検証された場合のみ、証明書チェックはユーザーのログオンを許可するように構成できます。

「証明書失効チェックのポリシー」は、いくつかの証明書発行者がサポートする高度な機能です。これによって、証明書秘密キーが危害を受けた場合、管理者はセキュリティ証明書を無効にする (期限切れ前に無効にする) ことができます。

この設定では、次の値が使用されます。

- チェックなし -証明書失効一覧チェックは実行されません。
- ネットワーク アクセスなしでチェックします - 証明書失効一覧チェックが実行されます。ローカル証明書失効一覧のストアのみが使用されます。すべての配布ポイントが無視されます。証明書失効一覧の検出は、ターゲット SSL Relay/Secure Gateway サーバーによって提示されるサーバー証明書の検証に必要ではありません。
- 完全なアクセス権のチェック - 証明書失効一覧チェックが実行されます。ローカル証明書失効一覧のストアとすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。証明書失効一覧の検出は、ターゲット サーバーで提示されるサーバー証明書の検証に必要ではありません。
- 完全なアクセス権のチェックとCRLが必要です - ルート CA を除いて証明書失効一覧チェックが実行されます。ローカル証明書失効一覧のストアとすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。証明書失効一覧の検出が、ターゲット サーバーで提示されるサーバー証明書の検証に必要です。
- すべてに完全なアクセス権のチェックとCRLが必要です - ルート CA を除いて証明書失効一覧チェックが実行されます。ローカル証明書失効一覧のストアとすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。証明書失効一覧の検出が、ターゲット サーバーで提示されるサーバー証明書の検証に必要です。

さまざまな製品の TLS を構成する組織は、証明書のポリシー OID をセキュリティ証明書の一部として指定することで Citrix Receiver を対象のサーバーを識別できます。ポリシー OID がここで構成されると、Receiver は互換性のあるポリシーを宣言する証明書のみを受け入れます。

TLS で接続すると、Receiver が自身を識別するセキュリティ証明書を提供できるようにサーバーを構成できます。[クライアント認証] 設定を使用して、ID を自動的に提供するかどうか、またユーザーに通知するかどうかを構成できます。 オプションは次になります。

- 無効- クライアント認証が無効になります
- 証明書セレクタを表示します - 常にユーザーが証明書を選択するよう求めます
- 可能な場合、自動的に選択します - 証明書に選択肢がある場合のみ、ユーザーにID を提供するかしないかを確認します
- 指定された証明書を使用します - 次の設定で指定された「クライアント証明書」を使用します

[クライアント証明書] 設定を使用して証明書のサムプリントの識別を指定し、ユーザーに不必要に提供を求めないようにします。

receiver.admx