Sicherheit

Zum Sichern der Kommunikation zwischen der Site und der Citrix Workspace-App können Sie Citrix Workspace-App-Verbindungen zur Site mit zahlreichen Sicherheitsverfahren integrieren, u. a.:

  • Einen SOCKS-Proxyserver oder Secure Proxyserver (auch Security Proxyserver, HTTPS-Proxyserver oder TLS-Tunneling-Proxyserver genannt) Mit Proxyservern schränken Sie den eingehenden und ausgehenden Zugriff auf das Netzwerk ein und handhaben Verbindungen zwischen der Citrix Workspace-App und Servern. Die Citrix Workspace-App unterstützt die Protokolle SOCKS und Secure Proxy.
  • Citrix Secure Web Gateway- oder SSL-Relay-Lösungen mit Transport Layer Security (TLS)-Protokollen. Die TLS-Versionen 1.0 bis 1.2 werden unterstützt.
  • Eine Firewall. Firewalls entscheiden anhand der Zieladresse und des Zielports von Datenpaketen, ob diese Pakete weitergeleitet werden. Wenn Sie die Citrix Workspace-App mit einer Firewall verwenden, die die interne Netzwerk-IP-Adresse des Servers einer externen Internetadresse zuweist (d. h. Netzwerkadressübersetzung oder NAT), konfigurieren Sie die externe Adresse.

Herstellen von Verbindungen über Proxyserver

Proxyserver werden zur Beschränkung des Netzwerkzugriffs sowie beim Herstellen von Verbindungen zwischen der Citrix Workspace-App und Citrix Virtual Apps- oder Citrix Virtual Desktops-Bereitstellungen verwendet. Die Citrix Workspace-App unterstützt das SOCKS-Protokoll zusammen mit Citrix Secure Web Gateway und Citrix SSL-Relay, das Secure Proxy-Protokoll und Windows NT Challenge/Response (NTLM)-Authentifizierung.

Die unterstützten Proxytypen sind durch die Inhalte von Trusted_Regions.ini und Untrusted_Regions.ini auf die Typen “Auto”, “None” und “Wpad” beschränkt. Wenn Sie die Typen “SOCKS”, “Secure” oder “Script” verwenden, bearbeiten Sie die genannten Dateien und fügen Sie die zusätzlichen Typen der Liste der zulässigen Typen hinzu.

Hinweis:

Aktivieren Sie zur Gewährleistung einer sicheren Verbindung TLS.

Verbinden über einen sicheren Proxyserver

Durch das Konfigurieren des Secure Proxy-Protokolls wird gleichzeitig auch Unterstützung für Windows NT Challenge/Response (NTLM)-Authentifizierung aktiviert. Wenn dieses Protokoll zur Verfügung steht, wird es beim Start erkannt und ohne zusätzliche Konfiguration ausgeführt.

Wichtig:

Um NTLM verwenden zu können, muss die OpenSSL-Bibliothek libcrypto.so auf dem Benutzergerät installiert sein. Diese Bibliothek ist häufig in Linux-Distributionen enthalten, kann aber bei Bedarf auch von http://www.openssl.org/ in einem neuen Fenster heruntergeladen werden.

Verbinden mit Citrix Secure Web Gateway oder dem Citrix SSL-Relay

Sie können die Citrix Workspace-App in eine Umgebung mit Citrix Secure Web Gateway oder dem SSL (Secure Sockets Layer)-Relay integrieren. Die Citrix Workspace-App unterstützt das TLS-Protokoll. TLS (Transport Layer Security) ist die neueste normierte Version des SSL-Protokolls. Die IETF (Internet Engineering Taskforce) hat den Standard zu TLS umbenannt, als diese Organisation die Verantwortung für die Entwicklung von SSL als offenem Standard übernahm. TLS sichert die Datenkommunikation mit Serverauthentifizierung, Verschlüsselung des Datenstroms und Prüfen der Nachrichtenintegrität. Einige Organisationen, u. a. amerikanische Regierungsstellen, verlangen das Sichern der Datenkommunikation mit TLS. Diese Organisationen verlangen ggf. auch die Verwendung überprüfter Kryptografie, wie FIPS 140 (Federal Information Processing Standard). FIPS 140 ist ein Standard für die Kryptografie.

Verbinden mit Citrix Secure Web Gateway

Sie können Citrix Secure Web Gateway im Normal- oder Relaymodus verwenden, um einen sicheren Kommunikationskanal zwischen der Citrix Workspace-App und dem Server bereitzustellen. Die Citrix Workspace-App muss nicht konfiguriert werden, wenn Sie Citrix Secure Web Gateway im Normalmodus verwenden und Benutzer eine Verbindung über das Webinterface herstellen.

Für Verbindungen mit Citrix Secure Web Gateway-Servern verwendet die Citrix Workspace-App Einstellungen, die remote auf dem Webinterface-Server konfiguriert wurden. Informationen zum Konfigurieren der Proxyservereinstellungen für die Citrix Workspace-App finden Sie in der Webinterface-Dokumentation.

Wenn Citrix Secure Web Gateway Proxy auf einem Server im sicheren Netzwerk installiert ist, können Sie Citrix Secure Web Gateway Proxy im Relaymodus verwenden. Weitere Informationen finden Sie in der Dokumentation zu Citrix Virtual Apps (Citrix Secure Web Gateway).

Wenn Sie den Relaymodus verwenden, fungiert der Citrix Secure Web Gateway-Server als Proxy und Sie müssen die Citrix Workspace-App für die Verwendung konfigurieren:

  • Vollqualifizierter Domänenname (FQDN) des Citrix Secure Web Gateway-Servers.
  • Portnummer des Citrix Secure Web Gateway-Servers. Der Relaymodus wird von Citrix Secure Web Gateway, Version 2.0 nicht unterstützt.

Der FQDN muss der Reihe nach die folgenden Komponenten auflisten:

  • Hostname
  • Second-Level-Domäne
  • Top-Level-Domäne

Beispiel: my_computer.my_company.com ist ein vollqualifizierter Domänenname, da er – in der richtigen Reihenfolge – einen Hostnamen (my_computer), einen Second-Level-Domänennamen (my_company) und einen Top-Level-Domänennamen (com) auflistet. Die Kombination von Second-Level- und Top-Level-Domäne (my_company.com) wird als Domänenname bezeichnet.

Verbinden mit dem Citrix SSL-Relay

Das Citrix SSL-Relay verwendet standardmäßig den TCP-Port 443 auf dem Citrix Virtual Apps-Server für TLS-gesicherte Kommunikation. Wenn das SSL-Relay eine TLS-Verbindung empfängt, werden die Daten entschlüsselt und dann an den Server übergeben.

Wenn Sie SSL-Relay so konfigurieren, dass ein anderer Port als 443 abgehört wird, müssen Sie die Citrix Workspace-App für diese geänderte Portnummer konfigurieren.

Mit dem Citrix SSL-Relay kann folgende Kommunikation gesichert werden:

  • Zwischen einem TLS-fähigen Benutzergerät und einem Server
  • Mit Webinterface zwischen dem Citrix Virtual Apps-Server und dem Webserver

Weitere Informationen zum Konfigurieren und Sichern der Installation mit SSL-Relay finden Sie in der Citrix Virtual Apps-Dokumentation. Weitere Informationen zum Konfigurieren des Webinterface für die TLS-Verschlüsselung finden Sie in der Webinterface-Dokumentation.

Konfigurieren und Aktivieren von TLS

Die Versionen des TLS-Protokolls, die ausgehandelt werden können, können Sie steuern, indem Sie die folgenden Konfigurationsoptionen im Abschnitt [WFClient] hinzufügen:

  • MinimumTLS=1.0
  • MaximumTLS=1.2

Diese Werte sind die Standardwerte, die als Code implementiert werden. Passen Sie sie nach Bedarf an.

Hinweis 1:

Diese Werte werden bei jedem Programmstart gelesen. Wenn Sie sie nach dem Start von selfservice oder storebrowse ändern, geben Sie Folgendes ein: killall AuthManagerDaemon ServiceRecord selfservice storebrowse.

Hinweis 2:

Die Verwendung des SSLv3-Protokolls ist in der Citrix Workspace-App für Linux nicht zulässig.

Die Citrix Workspace-App für Linux unterstützt DTLS 1.0 und TLS 1.0, 1.1 und 1.2 mit den folgenden Verschlüsselungssammlungen:

  • RSA+AES256-SHA (RSA für Schlüsselaustausch, AES-256 für die Verschlüsselung, SHA-1 für Digest)
  • RSA+AES256-SHA256 (RSA für Schlüsselaustausch, AES-256 für die Verschlüsselung, SHA-256 für Digest)
  • RSA+AES128-SHA (RSA für Schlüsselaustausch, AES-128 für die Verschlüsselung, SHA-1 für Digest)
  • RSA+DES-CBC3-SHA (RSA für Schlüsselaustausch, Triple DES für die Verschlüsselung, SHA-1 für Digest)
  • RSA+RC4128-MD5 (RSA für Schlüsselaustausch, RC4-128 für die Verschlüsselung, MD5 für Digest)
  • RSA+RC4128-SHA (RSA für Schlüsselaustausch, RC4-128 für die Verschlüsselung, SHA-1 für Digest)
  • RSA+AES128_GCM-SHA256 (RSA für Schlüsselaustausch, AES-128 für die Verschlüsselung, SHA-256 für Digest)
  • RSA+AES256_GCM-SHA384 (RSA für Schlüsselaustausch, AES-256 für die Verschlüsselung, SHA-384 für Digest)
  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (Elliptic Curve Diffie-Hellman für Schlüsselaustausch, RSA für Authentifizierung, AES-256 und GCM SHA-384 für Digest)
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (Elliptic Curve Diffie-Hellman für Schlüsselaustausch, RSA für Authentifizierung, AES-256 und GCM SHA-384 für Digest)
  • TLS_RSA_AES256_CBC_SHA256 (RSA für Authentifizierung, AES-256 und CBC SHA-256 für Digest)

Die effektive Größe der Verschlüsselungsschlüssel für die oben aufgeführten SSL/TLS-Standardverschlüsselungssammlungen sind wie folgt definiert:

  • RC4-Algorithmus: 128 Bits (Stromverschlüsselung)
  • Triple DES-Algorithmus: 3 x 64 Bits (effektive Größe: 3 x 56 = 168 Bits) (Blockgröße: 64 Bits)
  • AES-Algorithmus: 128 Bits oder 256 Bits (Blockgröße: 128 Bits)
  • Für RSA-Schlüsselaustausch und Authentifizierung werden Schlüssellängen (Modulus) zwischen 1024 Bits und 4096 Bits unterstützt.
  • Für ECDH-Schlüsselaustausch werden die elliptischen Kurven NIST P-256 und NIST P-384 (256 Bits und 384 Bits Schlüssellänge) unterstützt.

Zum Auswählen der Verschlüsselungssammlung fügen Sie die folgende Konfigurationsoption im Abschnitt [WFClient] hinzu:

  • SSLCiphers=GOV

Dieser Wert ist der Standardwert. Die Werte COM und ALL werden ebenfalls erkannt. Hinweis: Wenn Sie dies nach dem Start von selfservice oder storebrowse ändern, müssen Sie wie bei der Konfiguration der TLS-Version Folgendes eingeben: killall AuthManagerDaemon ServiceRecord selfservice storebrowse

Installieren von Stammzertifikaten auf Benutzergeräten

Zur Verwendung von TLS benötigen Sie ein Stammzertifikat auf dem Benutzergerät, das die Signatur der Zertifizierungsstelle auf dem Serverzertifikat überprüfen kann. Standardmäßig unterstützt die Citrix Workspace-App die folgenden Zertifikate.

Zertifikat Zertifizierungsstelle
Class4PCA_G2_v2.pem VeriSign Trust Network
Class3PCA_G2_v2.pem VeriSign Trust Network
BTCTRoot.pem Baltimore Cyber Trust Root
GTECTGlobalRoot.pem GTE Cyber Trust Global Root
Pcs3ss_v4.pem Class 3 Public Primary Certification Authority
GeoTrust_Global_CA.pem GeoTrust
DigiCertGlobalRootCA.pem DigiCert Global Root CA

Für die Verwendung der Zertifikate von diesen Zertifizierungsstellen ist es nicht erforderlich, Stammzertifikate zu beziehen und auf dem Benutzergerät zu installieren. Wenn Sie sich jedoch entscheiden, eine andere Zertifizierungsstelle zu verwenden, müssen Sie ein Stammzertifikat dieser Zertifizierungsstelle haben und es auf jedem Benutzergerät installieren.

Die Citrix Workspace-App für Linux unterstützt RSA-Schlüssellängen von 1024, 2048 und 3072 Bits. Darüber hinaus werden Stammzertifikate mit RSA-Schlüsseln von 4096 Bits Länge unterstützt.

Hinweis:

Die Citrix Workspace-App für Linux 1808 und höher verwendet das Tool ctx_rehash wie in den folgenden Schritten beschrieben.

Verwenden eines Stammzertifikats

Wenn Sie ein Serverzertifikat authentifizieren, das von einer Zertifizierungsstelle ausgestellt wurde und dem von dem Benutzergerät noch nicht vertraut wird, befolgen Sie die nachfolgenden Anweisungen, bevor Sie einen StoreFront-Store hinzufügen.

  1. Beziehen Sie das Stammzertifikat im PEM-Format. Tipp: Wenn Sie kein Zertifikat in diesem Format finden, konvertieren Sie mit dem Hilfsprogramm openssl ein Zertifikat im CRT-Format in eine PEM-Datei.
  2. Als Benutzer, der das Paket installiert hat (normalerweise root):
    1. Kopieren Sie die Datei in $ICAROOT/keystore/cacerts.

    2. Führen Sie den folgenden Befehl aus:

      $ICAROOT/util/ctx_rehash

Verwenden Sie ein Zwischenzertifikat

Wenn der StoreFront-Server keine Zwischenzertifikate bereitstellen kann, die dem verwendeten Zertifikat entsprechen, oder wenn Sie Zwischenzertifikate für die Unterstützung von Smartcard-Benutzern installieren, führen Sie diese Schritte aus, bevor Sie einen StoreFront-Store hinzufügen.

  1. Besorgen Sie sich die einzelnen Zwischenzertifikate im PEM-Format. Tipp: Wenn Sie kein Zertifikat in diesem Format finden, konvertieren Sie mit dem Hilfsprogramm openssl ein Zertifikat im CRT-Format in eine PEM-Datei.
  2. Als Benutzer, der das Paket installiert hat (normalerweise root):
    1. Kopieren Sie eine oder mehrere Dateien zu $ICAROOT/keystore/intcerts.

    2. Führen Sie den folgenden Befehl als Benutzer, der das Paket installiert hat, aus:

      $ICAROOT/util/ctx_rehash

Aktivieren der Smartcardunterstützung

Die Citrix Workspace-App für Linux unterstützt verschiedene Smartcardleser. Wenn die Smartcard-Unterstützung sowohl auf dem Server als auch in der Citrix Workspace-App aktiviert ist, können Smartcards zu folgenden Zwecken eingesetzt werden:

  • Smartcard-Anmeldeauthentifizierung: Verwendung von Smartcards zur Authentifizierung von Benutzern an Citrix Virtual Apps-Servern.
  • Smartcard-Anwendungsunterstützung: Zugriff auf lokale Smartcardgeräte über smartcardfähige veröffentlichte Anwendungen.

Die sicherheitsrelevanten Smartcarddaten sollten über einen sicheren, authentifizierten Kanal, z. B. TLS, übertragen werden.

Für die Smartcardunterstützung müssen folgende Voraussetzungen erfüllt sein:

  • Die Smartcardleser und die veröffentlichten Anwendungen müssen dem PC/SC-Industriestandard entsprechen.
  • Installieren Sie den passenden Treiber für die Smartcard.
  • Installieren Sie das PCSC Lite-Paket.
  • Installieren Sie den pcscd Daemon, der Middleware für den Zugriff auf die Smartcard mit PC/SC bereitstellt, und führen Sie ihn aus.
  • Auf einem 64-Bit-System muss die 64-Bit- und 32-Bit-Version des “libpscslite1”-Pakets vorhanden sein.

Wichtig: Wenn Sie das Sun Ray-Terminal mit Sun Ray-Serversoftware (Version 2.0 oder höher) verwenden, installieren Sie zunächst das PC/SC SRCOM-Bypass-Paket, das unter http://www.sun.com/ zur Verfügung steht.

Weitere Informationen zur Konfiguration der Smartcardunterstützung auf den Servern finden Sie in der Dokumentation zu Citrix Virtual Apps and Desktops.

Verbindung über Citrix Gateway

Citrix Gateway (früher Access Gateway) sichert Verbindungen mit StoreFront-Stores und ermöglicht Administratoren eine genaue Steuerung des Benutzerzugriffs auf Desktops und Anwendungen.

Herstellen einer Verbindung mit Desktops und Anwendungen über Citrix Gateway

  1. Geben Sie die vom Administrator erhaltene Citrix Gateway-URL ein. Dafür stehen folgende Methoden zur Auswahl:

    • Bei der ersten Verwendung der Self-Service-Benutzeroberfläche werden Sie aufgefordert, die URL im Dialogfeld Konto hinzufügen einzugeben.
    • Wenn Sie die Self-Service-Benutzeroberfläche später verwenden, geben Sie die URL ein, indem Sie auf Einstellungen > Konten > Hinzufügen klicken.
    • Beim Herstellen einer Verbindung mit dem Befehl “storebrowse” geben Sie die URL in der Befehlszeile ein.

    Über die URL wird das Gateway und optional ein bestimmter Store angegeben:

    • Zum Herstellen einer Verbindung mit dem ersten Store, den die Citrix Workspace-App findet, verwenden Sie eine URL im Format wie beispielsweise https://gateway.company.com.
    • Zum Herstellen einer Verbindung mit einem bestimmten Store verwenden Sie eine URL im Format wie beispielsweise https://gateway.company.com? <storename>. Diese dynamische URL besitzt kein standardmäßiges Format, verwenden Sie kein = (Gleichheitszeichen) in der URL. Beim Herstellen einer Verbindung mit einem bestimmten Store mit storebrowse müssen Sie die URL im storebrowse-Befehl wahrscheinlich in Anführungszeichen setzen.
  2. Wenn Sie dazu aufgefordert werden, stellen Sie eine Verbindung mit dem Store (über das Gateway) unter Verwendung Ihres Benutzernamens, Kennworts und Sicherheitstokens her. Weitere Informationen zu diesem Schritt finden Sie in der Citrix Gateway-Dokumentation.

    Wenn die Authentifizierung abgeschlossen ist, werden Ihre Desktops und Anwendungen angezeigt.

Kryptographische Aktualisierung

Mit diesem Feature ändert sich das Protokoll zur sicheren Kommunikation grundlegend. Verschlüsselungssammlungen mit dem Präfix TLS_RSA_ bieten kein Forward Secrecy und werden als unsicher eingestuft. Diese Verschlüsselungssammlungen wurden in Citrix Receiver Version 13.10 als veraltet klassifiziert. Abwärtskompatibilität ist jedoch vorhanden.

In diesem Release wurden die TLS_RSA_-Verschlüsselungssammlungen vollständig entfernt. Stattdessen unterstützt dieses Release die erweiterten TLS_ECDHE_RSA_-Verschlüsselungssammlungen. Wenn Ihre Umgebung nicht mit den TLS_ECDHE_RSA_-Verschlüsselungssammlungen konfiguriert ist, werden die Starts von Clients aufgrund schwacher Verschlüsselung nicht unterstützt. Dieses Release unterstützt 1536-Bit-RSA-Schlüssel für die Clientauthentifizierung.

Die folgenden erweiterten Verschlüsselungssammlungen werden unterstützt:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)

Konfigurieren von Verschlüsselungssammlungen

Um verschiedene Verschlüsselungssammlungen zu aktivieren, ändern Sie den Parameter SSLCiphers in ALL, COM oder GOV. Standardmäßig ist die Option in der Datei All_Regions.ini im Verzeichnis $ICAROOT/config auf ALL festgelegt.

Die folgenden Sätze von Verschlüsselungssammlungen werden von ALL, GOV und COM bereitgestellt:

  • ALL
    • Alle 3 Verschlüsselungssammlungen werden unterstützt.
  • GOV
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
  • COM
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)

Informationen zur Fehlerbehebung finden Sie unter Verschlüsselungssammlungen.

Konfigurieren von veralteten Verschlüsselungssammlungen

Wichtig:

Ab Version 1903 wird Citrix nur die folgenden drei Verschlüsselungssammlungen unterstützen:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 – GOV/ALL
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 – GOV/ALL
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA – COM/ALL

Der Abschnitt Konfigurieren veralteter Verschlüsselungssammlungen gilt nur für Version 1901 und früher. Ab Version 1903 werden nur die erweiterten TLS_ECDHE_RSA_-Verschlüsselungssammlungen unterstützt. Weitere Informationen, siehe Kryptographische Aktualisierung. Dieser Abschnitt dient nur als Referenz und ist nur für Kunden, die Version 1901 und ältere Versionen des Clients verwenden. Die unten genannten Verschlüsselungssammlungen sind veraltet und es besteht keine Abwärtskompatibilität.

Verschlüsselungssammlungen mit dem Präfix TLS_RSA_ bieten Forward Secrecy nicht. Diese Verschlüsselungssammlungen werden von der Branche mittlerweile allgemein als veraltet eingestuft. Um die Abwärtskompatibilität mit älteren Versionen von Citrix Virtual Apps and Desktops zu unterstützen, kann die Citrix Workspace-App für Linux diese Verschlüsselungssammlungen aktivieren.

Flags wurden erstellt, um die Verwendung veralteter Verschlüsselungssammlungen zu ermöglichen. In der Citrix Workspace-App 1808 für Linux sind diese Flags standardmäßig aktiviert. Die Kategorisierung der Verschlüsselungssammlungen als veraltet mit den AES- oder 3DES-Algorithmen wird jedoch nicht standardmäßig erzwungen. Sie können diese Flags jedoch ändern und verwenden, um die Kategorisierung strenger durchzusetzen.

Setzen Sie das Flag Enable_TLS_RSA_ auf False, um die Sicherheit weiter zu erhöhen.

Im Folgenden finden Sie eine Liste der veralteten Verschlüsselungssammlungen:

  • TLS_RSA_AES256_GCM_SHA384
  • TLS_RSA_AES128_GCM_SHA256
  • TLS_RSA_AES256_CBC_SHA256
  • TLS_RSA_AES256_CBC_SHA
  • TLS_RSA_AES128_CBC_SHA
  • TLS_RSA_3DES_CBC_EDE_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA

Hinweis:

Die beiden letzten Verschlüsselungssammlungen verwenden den RC4-Algorithmus und sind veraltet, weil sie unsicher sind. Sie könnten auch die Verschlüsselungssammlung TLS_RSA_3DES_CBC_EDE_SHA als veraltet betrachten. Mit Flags können Sie alle Kategorisierungen durchsetzen.

Informationen zum Konfigurieren von DTLS v1.2 finden Sie unter Adaptiver Transport.

Voraussetzung

Mit dem folgenden Schritt konfigurieren Sie dieses Feature auf dem Client:

Wenn .ICAClient bereits im Home-Verzeichnis des aktuellen Benutzers vorhanden ist:

  • Löschen Sie die Datei All_Regions.ini.

Oder

  • Fügen Sie folgende Zeilen am Ende des Abschnitts [Network\SSL] hinzu, um die Datei AllRegions.ini beizubehalten:
    • Enable_RC4-MD5=
    • Enable_RC4_128_SHA=
    • Enable_TLS_RSA_=

Wenn der Ordner .ICAClient nicht im Basisordner des aktuellen Benutzers vorhanden ist, weist dies auf eine Neuinstallation der Citrix Workspace-App hin. In diesem Fall wird die Standardeinstellung für die Features beibehalten.

Konfigurieren von veralteten Verschlüsselungssammlungen

  1. Öffnen Sie die Datei $ICAROOT/config/All_Regions.ini.
  2. Verwenden Sie im Abschnitt Network\SSL folgende drei Flags, um die veralteten Verschlüsselungssammlungen zu aktivieren oder zu deaktivieren:

    • Enable_TLS_RSA_: Die Standardeinstellung für das Flag Enable_TLS_RSA_ ist True. Legen Sie das Flag Enable_TLS_RSA_ auf True fest, um folgende Verschlüsselungssammlungen anzuzeigen:

      • TLS_RSA_AES256_GCM_SHA384
      • TLS_RSA_AES128_GCM_SHA256
      • TLS_RSA_AES256_CBC_SHA256
      • TLS_RSA_AES256_CBC_SHA
      • TLS_RSA_AES128_CBC_SHA
      • TLS_RSA_3DES_CBC_EDE_SHA

    Wichtig:

    Legen Sie das Flag Enable_TLS_RSA_ auf True fest, um die anderen beiden Verschlüsselungssammlungen Enable_RC4-MD5 und Enable_RC4_128_SHA zu verwenden.

    • Enable_RC4-MD5: Die Standardeinstellung für das Flag Enable_RC4-MD5 ist False. Legen Sie dieses Flag auf True fest, um die Verschlüsselungssammlung RC4-MD5 zu aktivieren.
    • Enable_RC4_128_SHA: Die Standardeinstellung für das Flag Enable_RC4_128_SHA ist False. Legen Sie dieses Flag auf True fest, um die Verschlüsselungssammlung RC4_128_SHA zu aktivieren.
  3. Speichern Sie die Datei.

Die folgende Tabelle enthält die Verschlüsselungssammlungen in jeder Gruppe:

Bild der Unterstützungsmatrix für die Verschlüsselungssammlungen

Tabelle 1 – Unterstützungsmatrix für Verschlüsselungssammlungen

Hinweis:

Alle oben genannten Verschlüsselungssammlungen sind FIPS- und SP800-52-konform. Die ersten beiden Sammlungen sind nur für (D)TLS1.2-Verbindungen zulässig. Umfassende Informationen zur Unterstützung von Verschlüsselungssammlungen finden Sie in Tabelle 1 – Unterstützungsmatrix für Verschlüsselungssammlungen.