TLS 和相容模式組態

此選項可讓 Citrix Receiver 識別伺服器內的安全連線並加密通訊。

注意: Citrix 建議使用 TLS 類型的安全連線。

以下是 Citrix 支援之 Citrix Receiver 與 XA/XD 之間的 TLS 安全連線類型:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2
針對所有連線選取所需的 TLS 以確保 Citrix Receiver 針對所有類型的連線使用 TLS。
[安全性法規遵循模式] 的值有:
- 無 - 不強制執行任何法規遵循模式
- SP800-52 - 強制執行 NIST SP800-52r1 規範
在 [安全性法規遵循模式] 下拉式功能表中選取 SP800-52 時,允許使用下列憑證撤銷檢查原則 (CRCP) :
- 需要完整存取檢查和 CRL。這是預設選項。
- 全部需要完整存取檢查和 CRL

您可限制 Citrix Receiver 僅能連線至 [允許的 TLS 伺服器] 選項中之逗點分隔清單所指定的伺服器 可在此處指定萬用字元和連接埠號碼,例如 *.citrix.com:4433 會允許連線至連接埠 4433 上通用名稱以 .citrix.com 結尾的任何伺服器。憑證簽發者會在安全性憑證中聲稱資訊的正確性。如果 Citrix Receiver 無法辨識也不信任憑證簽發者,則連線會遭到拒絕。
TLS 版本可限制為以下各項的任何組合:

- TLS 1.0, TLS 1.1 或 TLS 1.2
- TLS 1.1 或 TLS 1.2
- 僅限 TLS 1.2

TLS 加密套件可設定為以下任一項:

- 任意: 設定為 [任意] 時,會取消設定原則,並允許使用以下加密套件:

> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

- 商業: 設定為 [商業] 時,僅允許使用以下加密套件:
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_RC4_128_MD5

- 政府: 設定為 [政府] 時,僅允許使用以下加密套件:
> TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
> TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
> TLS_RSA_WITH_AES_256_GCM_SHA384
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA256
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_3DES_EDE_CBC_SHA

[憑證撤銷檢查原則] 可用於改善 Citrix 伺服器的密碼編譯驗證,以及提高用戶端與伺服器之間 TLS 連線的整體安全性。

啟用此設定時,用戶端會檢查伺服器的憑證是否已撤銷。有多個憑證撤銷清單檢查層級。例如,可將用戶端設定為僅檢查其本機憑證清單,或檢查本機與網路憑證清單。此外,可將憑證檢查設定為僅在所有 [憑證撤銷] 清單均經過驗證後,才允許使用者登入。

[憑證撤銷檢查原則] 是部分憑證簽發者支援的進階功能。此功能可讓管理員在憑證私密金鑰洩露時,撤銷安全性憑證 (在其到期日前使其失效)。

此設定的適用值包括:

- 不檢查 - 不執行任何憑證撤銷清單檢查。
- 在不存取網路的情況下檢查 - 執行憑證撤銷清單檢查。僅使用本機憑證撤銷清單存放區。會忽略所有發佈點。尋找憑證撤銷清單並非驗證目標 SSL Relay/Secure Gateway 伺服器提供之伺服器憑證的關鍵。
- 完整存取檢查 - 執行憑證撤銷清單檢查。會使用本機憑證撤銷清單存放區和所有發佈點。如果找到憑證的撤銷資訊,連線將遭到拒絕。尋找憑證撤銷清單並非驗證目標伺服器提供之伺服器憑證的關鍵。
- 需要完整存取檢查和 CRL - 執行憑證撤銷清單檢查,不包括根 CA。會使用本機憑證撤銷清單存放區和所有發佈點。如果找到憑證的撤銷資訊,連線將遭到拒絕。尋找所需的所有憑證撤銷清單是驗證的關鍵。
- 全部需要完整存取檢查和 CRL - 執行憑證撤銷清單檢查,包括根 CA。會使用本機憑證撤銷清單存放區和所有發佈點。如果找到憑證的撤銷資訊,連線將遭到拒絕。尋找所需的所有憑證撤銷清單是驗證的關鍵。

為一系列產品設定 TLS 的組織可選擇在安全性憑證中指定憑證原則 OID,來識別 Citrix Receiver 專用的伺服器。如果在此處設定原則 OID,則 Citrix Receiver 僅會接受宣告了相容原則的憑證。

透過 TLS 連線時,可能會將伺服器設定為需要 Citrix Receiver 提供識別自身的安全性憑證。使用 [用戶端驗證] 設定,可設定是否自動提供識別碼,或是否通知使用者。選項包括:

- 已停用 - 停用用戶端驗證
- 顯示憑證選取器 - 始終提示使用者選取憑證
- 如果可能,則自動選取 - 僅在提供憑證選項時才提示使用者
從不提供識別碼
- 使用指定的憑證 - 使用以下設定中指定的用戶端憑證

使用 [用戶端憑證] 設定可指定識別憑證的指紋,以避免不必要地提示使用者。

支援的作業系統: Receiver 支援的所有平台

所有連線均需要使用 TLS
Registry HiveHKEY_CURRENT_USER
Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value NameSSLEnable
Value TypeREG_SZ
Default Valuetrue
True Valuetrue
False Value*
安全性法規遵循模式



  1. Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueNONE
  2. SP800-52
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueSP800-52
  3. FIPS
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueFIPS

TLS 版本


  1. TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS12
  2. TLS1.1 | TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12
  3. TLS1.0 | TLS1.1 | TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12_TLS13

TLS 加密套件


  1. 任意
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    Value
  2. 政府
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueGOV
  3. 商業
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueCOM

憑證撤銷檢查原則


  1. NoCheck
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueNoCheck
  2. 在不存取網路的情況下檢查
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueCheckNoNetworkAccess
  3. 完整存取檢查
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheck
  4. 需要完整存取檢查和 CRL
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequired
  5. 全部需要完整存取檢查和 CRL
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequiredAll

用戶端驗證


  1. 未設定
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    Value
  2. 顯示憑證選取器
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueAlwaysPromptUser
  3. 已停用
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOff
  4. 使用指定的憑證
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOn
  5. 如果可能,則自動選取
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValuePromptUser


receiver.admx

系統管理範本 (電腦)

系統管理範本 (使用者)