Sichere Kommunikation

Zum Sichern der Kommunikation zwischen Ihrer Site und der Citrix Workspace-App können Sie Citrix Workspace-App-Verbindungen mit Sicherheitstechnologien wie Citrix Gateway integrieren.

Hinweis:

Citrix empfiehlt die Verwendung von Citrix Gateway zwischen StoreFront-Servern und Benutzergeräten.

  • Eine Firewall: Firewalls entscheiden anhand der Zieladresse und des Zielports von Datenpaketen, ob diese Pakete weitergeleitet werden. Wenn Sie die Citrix Workspace-App mit einer Firewall verwenden, die die interne Netzwerk-IP-Adresse des Servers einer externen Internetadresse zuweist (d. h. Netzwerkadressübersetzung oder NAT), konfigurieren Sie die externe Adresse.

  • Vertrauenswürdige Server.

  • Nur Citrix Virtual Apps and Desktops bzw. Citrix DaaS (ehemals Citrix Virtual Apps and Desktops Service): (gilt nicht für XenDesktop 7) ein SOCKS-Proxyserver oder ein sicherer Proxyserver (auch Sicherheitsproxyserver, HTTPS-Proxyserver oder Tunneling-Proxyserver für Transport Layer Security (TLS)). Mit Proxyservern schränken Sie den eingehenden und ausgehenden Zugriff auf das Netzwerk ein und handhaben Verbindungen zwischen der Citrix Workspace-App und Servern. Die Citrix Workspace-App unterstützt die Protokolle SOCKS und Secure Proxy.

  • Nur Citrix Virtual Apps and Desktops- bzw. Citrix DaaS-Bereitstellungen: Citrix Secure Web Gateway- oder SSL-Relay-Lösungen mit TLS-Protokollen. Die TLS-Versionen 1.0 bis 1.2 werden unterstützt.

Citrix Gateway

Citrix Gateway (ehemals Access Gateway) sichert Verbindungen mit StoreFront-Stores. Administratoren können hiermit zudem präzise den Benutzerzugriff auf Desktops und Anwendungen steuern.

Herstellen einer Verbindung mit Desktops und Anwendungen über Citrix Gateway:

  1. Nutzen Sie eine der folgenden Methoden, um die vom Administrator erhaltene Citrix Gateway-URL einzugeben:

    • Bei der ersten Verwendung der Self-Service-Benutzeroberfläche werden Sie aufgefordert, die URL im Dialogfeld “Konto hinzufügen” einzugeben.
    • Wenn Sie die Self-Service-Benutzeroberfläche später verwenden, geben Sie die URL ein, indem Sie auf Einstellungen > Konten > Hinzufügen klicken.
    • Beim Herstellen einer Verbindung mit dem Befehl storebrowse geben Sie die URL in der Befehlszeile ein.

    Über die URL wird das Gateway und optional ein bestimmter Store angegeben:

    • Zum Herstellen einer Verbindung mit dem ersten Store, den die Citrix Workspace-App findet, verwenden Sie eine URL im Format https://gateway.company.com.
    • Zum Herstellen einer Verbindung mit einem bestimmten Store verwenden Sie eine URL im Format https://gateway.company.com?<storename>. Diese dynamische URL besitzt kein standardmäßiges Format, verwenden Sie kein = (Gleichheitszeichen) in der URL. Beim Herstellen einer Verbindung mit einem bestimmten Store mit storebrowse müssen Sie die URL im Befehl storebrowse eventuell in Anführungszeichen setzen.
  2. Wenn Sie dazu aufgefordert werden, stellen Sie eine Verbindung mit dem Store (über das Gateway) unter Verwendung Ihres Benutzernamens, Kennworts und Sicherheitstokens her. Weitere Informationen zu diesem Schritt finden Sie in der Citrix Gateway-Dokumentation.

    Wenn die Authentifizierung abgeschlossen ist, werden Ihre Desktops und Anwendungen angezeigt.

Proxyserver

Proxyserver werden zur Einschränkung des Netzwerkzugriffs und für Verbindungen zwischen der Citrix Workspace-App und Citrix Virtual Apps and Desktops- bzw. Citrix DaaS-Bereitstellungen verwendet.

Die Citrix Workspace-App unterstützt das SOCKS- und HTTPS-Protokoll sowie Folgendes:

  • Citrix Secure Web Gateway und Citrix SSL-Relay, das sichere Proxy-Protokoll
  • NTLM-Authentifizierung (Windows NT Challenge/Response).

Gehen Sie wie folgt vor, um einen Proxy für den Start eines Desktops mit dem SOCKS-Protokoll zu konfigurieren:

  1. Gehen Sie zur Konfigurationsdatei ~/.ICAClient/All_Regions.ini.
  2. Aktualisieren Sie die folgenden Attribute:

    1. Aktualisieren Sie ProxyType. Sie können SocksV5 als ProxyType verwenden.
    2. Aktualisieren Sie ProxyHost. Sie können ProxyHost im folgenden Format hinzufügen:

      <IP>:<PORT>. Beispiel: 10.122.122.122:1080

Hinweis:

  • Um den Proxy zu verwenden, deaktivieren Sie EDT. Um EDT zu deaktivieren, setzen Sie das Attribut HDXoverUDP im Abschnitt [Network\UDT] der Konfigurationsdatei ~/.ICAClient/All_Regions.ini auf Off.
  • Aktivieren Sie zur Gewährleistung einer sicheren Verbindung TLS.

HTTPS-Protokollunterstützung für Proxyserver

Bisher konnten Sie nur mithilfe des SOCKS-Protokolls eine Verbindung zu einem Proxyserver herstellen. Ab der Citrix Workspace-App 2308 können Sie auch über das HTTPS-Protokoll eine Verbindung zu einem Proxyserver herstellen.

Führen Sie folgende Schritte aus, um einen Desktop mit einem HTTPS-Protokoll zu öffnen:

  1. Navigieren Sie zur Konfigurationsdatei ~/.ICAClient/All_Regions.ini.
  2. Gehen Sie zum Abschnitt [Network\UDT].
  3. Wählen Sie folgende Einstellungen:

    HDXoverUDP=Off
    <!--NeedCopy-->
    
  4. Gehen Sie zum Abschnitt [Network\Proxy].
  5. Aktualisieren Sie die folgenden Attribute:

    • Aktualisieren Sie den Wert für ProxyType. Sie können “Secure” als ProxyType verwenden.
    • Aktualisieren Sie den Wert für ProxyHost. Sie können den ProxyHost im folgenden Format hinzufügen:

    <IP>:<PORT>. Beispiel: “192.168.101.37:6153”.

Sicherer Proxyserver

Durch das Konfigurieren des Secure Proxy-Protokolls wird gleichzeitig auch Unterstützung für Windows NT Challenge/Response (NTLM)-Authentifizierung aktiviert. Wenn dieses Protokoll zur Verfügung steht, wird es beim Start erkannt und ohne zusätzliche Konfiguration ausgeführt.

Wichtig:

NTLM-Unterstützung erfordert die Bibliotheken OpenSSL 1.1.1d und libcrypto.so. Installieren Sie die Bibliotheken auf dem Benutzergerät. Diese Bibliotheken sind oft in Linux-Distributionen enthalten. Sie können sie auch von http://www.openssl.org/ herunterladen.

Secure Web Gateway und SSL

Sie können die Citrix Workspace-App in eine Umgebung mit Citrix Secure Web Gateway oder dem SSL (Secure Sockets Layer)-Relay integrieren. Die Citrix Workspace-App unterstützt das TLS-Protokoll. TLS (Transport Layer Security) ist die neueste normierte Version des SSL-Protokolls. Die IETF (Internet Engineering Taskforce) hat den Standard zu TLS umbenannt, als diese Organisation die Verantwortung für die Entwicklung von SSL als offenem Standard übernahm. TLS sichert die Datenkommunikation mit Serverauthentifizierung, Verschlüsselung des Datenstroms und Prüfen der Nachrichtenintegrität. Einige Organisationen, u. a. amerikanische Regierungsstellen, verlangen das Sichern der Datenkommunikation mit TLS. Diese Organisationen verlangen ggf. auch die Verwendung überprüfter Kryptografie, wie FIPS 140 (Federal Information Processing Standard). FIPS 140 ist ein Standard für die Kryptografie.

Secure Web Gateway

Sie können Citrix Secure Web Gateway im Normal- oder Relaymodus verwenden, um einen sicheren Kommunikationskanal zwischen der Citrix Workspace-App und dem Server bereitzustellen. Wenn Sie Citrix Secure Web Gateway im Modus Normal verwenden, muss die Citrix Workspace-App nicht konfiguriert werden.

Wenn Citrix Secure Web Gateway Proxy auf einem Server im sicheren Netzwerk installiert ist, können Sie Citrix Secure Web Gateway Proxy im Relaymodus verwenden. Wenn Sie den Relaymodus verwenden, fungiert der Citrix Secure Web Gateway-Server als Proxy und Sie müssen die Citrix Workspace-App konfigurieren:

  • Vollqualifizierter Domänenname (FQDN) des Citrix Secure Web Gateway-Servers.
  • Portnummer des Citrix Secure Web Gateway-Servers.

Hinweis:

Citrix Secure Web Gateway Version 2.0 unterstützt den Relaymodus nicht.

Der FQDN muss der Reihe nach die folgenden Komponenten auflisten:

  • Hostname
  • Second-Level-Domäne
  • Top-Level-Domäne

Beispiel: my_computer.my_company.com ist ein vollqualifizierter Domänenname, da er nacheinander einen Hostnamen (my_computer), einen Second-Level-Domänennamen (my_company) und einen Top-Level-Domänennamen (com) auflistet. Die Kombination von Second-Level- und Top-Level-Domäne (my_company.com) wird als Domänenname bezeichnet.

SSL-Relay

Das Citrix SSL-Relay verwendet standardmäßig den TCP-Port 443 auf dem Citrix Virtual Apps and Desktops- bzw. Citrix DaaS-Server für TLS-gesicherte Kommunikation. Wenn das SSL-Relay eine TLS-Verbindung empfängt, werden die Daten entschlüsselt und dann an den Server übergeben.

Wenn Sie SSL-Relay so konfigurieren, dass ein anderer Port als 443 abgehört wird, müssen Sie die Citrix Workspace-App für diese geänderte Portnummer konfigurieren.

Mit dem Citrix SSL-Relay kann folgende Kommunikation gesichert werden:

  • Zwischen einem TLS-fähigen Benutzergerät und einem Server

Weitere Informationen zum Konfigurieren und Sichern der Installation mit SSL-Relay finden Sie in der Citrix Virtual Apps-Dokumentation.

TLS

Bislang war die unterstützte TLS-Mindestversion 1.0 und die unterstützte TLS-Höchstversion 1.2. Ab Version 2203 ist die höchste unterstützte TLS-Version 1.3.

Die Versionen des TLS-Protokolls, die ausgehandelt werden können, können Sie steuern, indem Sie die folgenden Konfigurationsoptionen im Abschnitt [WFClient] hinzufügen:

  • MinimumTLS=1.1
  • MaximumTLS=1.3

Dies sind die Standardwerte, die als Code implementiert werden. Passen Sie sie nach Bedarf an.

Hinweise:

  • Diese Werte werden bei jedem Programmstart gelesen. Wenn Sie sie nach dem Start von self-service oder storebrowse ändern, geben Sie Folgendes ein: killall AuthManagerDaemon ServiceRecord selfservice storebrowse.

  • Die Verwendung des SSLv3-Protokolls ist in der Citrix Workspace-App für Linux nicht zulässig.

  • TLS 1.0/1.1 funktioniert nur mit dem älteren VDI oder Citrix Gateway, die sie unterstützen.

Zum Auswählen der Verschlüsselungssammlung fügen Sie die folgende Konfigurationsoption im Abschnitt [WFClient] hinzu:

  • SSLCiphers=GOV

Dieser Wert ist der Standardwert. Die Werte COM und ALL werden ebenfalls erkannt.

Hinweis:

Wenn Sie diese Konfiguration nach dem Start von self-service oder storebrowse ändern, müssen Sie wie bei der Konfiguration der TLS-Version Folgendes eingeben: killall AuthManagerDaemon ServiceRecord selfservice storebrowse

CryptoKit-Update

CryptoKit-Version 14.2 ist in OpenSSL 1.1.1d integriert.

Kryptographische Aktualisierung

Mit diesem Feature ändert sich das Protokoll zur sicheren Kommunikation grundlegend. Verschlüsselungssammlungen mit dem Präfix TLS_RSA_ bieten kein Forward Secrecy und werden als unsicher eingestuft.

Die TLS_RSA_-Verschlüsselungssammlungen wurden vollständig entfernt. Stattdessen werden die erweiterten TLS_ECDHE_RSA_-Verschlüsselungssammlungen unterstützt.

Wenn Ihre Umgebung nicht mit der TLS_ECDHE_RSA_-Verschlüsselungssammlung konfiguriert ist, werden die Starts von Clients aufgrund schwacher Verschlüsselung nicht unterstützt. Für die Clientauthentifizierung werden 1536-Bit-RSA-Schlüssel unterstützt.

Die folgenden erweiterten Verschlüsselungssammlungen werden unterstützt:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)

DTLS v1.0 unterstützt die folgenden Verschlüsselungssammlungen:

  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_EMPTY_RENEGOTIATION_INFO_SCSV

DTLS v1.2 unterstützt die folgenden Verschlüsselungssammlungen:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_EMPTY_RENEGOTIATION_INFO_SCSV

TLS v1.3 unterstützt die folgenden Verschlüsselungssammlungen:

  • TLS_AES_128_GCM_SHA256 (0x1301)
  • TLS_AES_256_GCM_SHA384 (0x1302)

Hinweis:

Ab Version 1903 und höher wird DTLS von Citrix Gateway 12.1 und höher unterstützt. Informationen zu mit DTLS unterstützten Verschlüsselungssammlungen für Citrix Gateway finden Sie unter Unterstützung des DTLS-Protokolls.

Verschlüsselungssammlungen

Um verschiedene Verschlüsselungssammlungen zu aktivieren, ändern Sie den Wert für den Parameter SSLCiphers in ALL, COM oder GOV. Standardmäßig ist die Option in der Datei All_Regions.ini im Verzeichnis $ICAROOT/config auf ALL festgelegt.

Die folgenden Sätze von Verschlüsselungssammlungen werden von ALL, GOV und COM bereitgestellt:

  • ALL
    • Alle 3 Verschlüsselungssammlungen werden unterstützt.
  • GOV
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030)
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (0xc028)
  • COM
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (0xc013)

Informationen zur Problembehandlung finden Sie unter Verschlüsselungssammlungen.

Verschlüsselungssammlungen mit dem Präfix TLS_RSA_ bieten Forward Secrecy nicht. Diese Verschlüsselungssammlungen gelten heute branchenweit als veraltet. Um jedoch die Abwärtskompatibilität mit älteren Versionen von Citrix Virtual Apps and Desktops bzw. Citrix DaaS zu unterstützen, kann die Citrix Workspace-App diese Verschlüsselungssammlungen optional aktivieren.

Setzen Sie das Flag Enable\_TLS\_RSA\_ auf False, um die Sicherheit weiter zu erhöhen.

Im Folgenden finden Sie eine Liste der veralteten Verschlüsselungssammlungen:

  • TLS_RSA_AES256_GCM_SHA384
  • TLS_RSA_AES128_GCM_SHA256
  • TLS_RSA_AES256_CBC_SHA256
  • TLS_RSA_AES256_CBC_SHA
  • TLS_RSA_AES128_CBC_SHA
  • TLS_RSA_3DES_CBC_EDE_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_RC4_128_SHA

Hinweis:

Die beiden letzten Verschlüsselungssammlungen verwenden den RC4-Algorithmus und sind veraltet, weil sie unsicher sind. Sie könnten auch die Verschlüsselungssammlung TLS_RSA_3DES_CBC_EDE_SHA als veraltet betrachten. Mit Flags können Sie alle Kategorisierungen durchsetzen.

Weitere Informationen zum Konfigurieren von DTLS v1.2 finden Sie unter Adaptiver Transport in der Dokumentation zu Citrix Virtual Apps and Desktops.

Voraussetzung:

Wenn Sie Version 1901 oder früher verwenden, führen Sie die folgenden Schritte aus:

Wenn .ICAClient bereits im Basisverzeichnis des aktuellen Benutzers vorhanden ist:

  • Löschen Sie die Datei All\_Regions.ini

Oder

  • Fügen Sie folgende Zeilen am Ende des Abschnitts [Network\SSL] hinzu, um die Datei AllRegions.ini beizubehalten:
    • Enable_RC4-MD5=
    • Enable_RC4_128_SHA=
    • Enable_TLS_RSA_=

Wenn der Ordner .ICAClient nicht im Basisordner des aktuellen Benutzers vorhanden ist, weist dies auf eine Neuinstallation der Citrix Workspace-App hin. In diesem Fall wird die Standardeinstellung für die Features beibehalten.

Die folgende Tabelle enthält die Verschlüsselungssammlungen jeder Gruppe: Tabelle 1 – Unterstützungsmatrix für Verschlüsselungssammlungen

Bild der Unterstützungsmatrix für die Verschlüsselungssammlungen

Hinweis:

Alle bisherigen Verschlüsselungssammlungen sind FIPS-- und SP800-52--konform. Die ersten beiden Sammlungen sind nur für (D)TLS1.2-Verbindungen zulässig. Umfassende Informationen zur Unterstützung von Verschlüsselungssammlungen finden Sie in Tabelle 1 – Unterstützungsmatrix für Verschlüsselungssammlungen.

Zertifikate

Wenn Sie einen Store mit SAML-Authentifizierung (mit AUTHv3-Protokoll) verwenden, wird die folgende Fehlermeldung angezeigt: “Unacceptable TLS Certificate”.

Dieses Problem tritt auf, wenn Sie die Citrix Workspace-App 1906 und höher verwenden. Informationen zur Fehlerbehebung finden Sie in den folgenden Knowledge Center-Artikeln:

Wenn der StoreFront-Server keine Zwischenzertifikate bereitstellen kann, die dem verwendeten Zertifikat entsprechen, oder wenn Sie Zwischenzertifikate für die Unterstützung von Smartcard-Benutzern installieren, führen Sie diese Schritte aus, bevor Sie einen StoreFront-Store hinzufügen:

  1. Rufen Sie separat ein oder mehr Zwischenzertifikate im PEM-Format ab.

    Tipp:

    Wenn Sie kein Zertifikat im PEM-Format finden, konvertieren Sie mit dem Hilfsprogramm openssl ein Zertifikat im CRT-Format in eine PEM-Datei.

  2. Als Benutzer, der das Paket installiert (normalerweise root):

    1. Kopieren Sie eine oder mehrere Dateien zu $ICAROOT/keystore/intcerts.

    2. Führen Sie den folgenden Befehl als Benutzer, der das Paket installiert hat, aus:

      $ICAROOT/util/ctx_rehash

Wenn Sie ein Serverzertifikat einer Zertifizierungsstelle authentifizieren, dem von Benutzergeräten noch nicht vertraut wird, folgen Sie die nachfolgenden Anweisungen, bevor Sie einen StoreFront-Store hinzufügen.

  1. Rufen Sie ein Stammzertifikat im PEM-Format ab. Tipp: Wenn Sie kein Zertifikat in diesem Format finden, konvertieren Sie mit dem Hilfsprogramm openssl ein Zertifikat im CRT-Format in eine PEM-Datei.
  2. Als Benutzer, der das Paket installiert hat (normalerweise root):
    1. Kopieren Sie die Datei in $ICAROOT/keystore/cacerts.

    2. Führen Sie den folgenden Befehl aus:

      $ICAROOT/util/ctx_rehash

Verbesserungen am HDX Enlightened Data Transport-Protokoll (EDT)

Wenn HDXoverUDP in älteren Releases auf Preferred festgelegt ist, erfolgt der Datentransport über EDT. Wenn dies nicht möglich ist, erfolgt er über TCP.

Ab Version 2103 der Citrix Workspace-App werden bei aktivierter Sitzungszuverlässigkeit EDT und TCP bei folgenden Schritten parallel versucht:

  • Erste Verbindung
  • Sitzungszuverlässigkeitswiederverbindung
  • Automatische Wiederverbindung von Clients

Diese Verbesserung verkürzt die Verbindungszeit, wenn EDT bevorzugt wird. Ist der erforderliche zugrunde liegende UDP-Transport jedoch nicht verfügbar, muss TCP verwendet werden.

Nach dem Fallback auf TCP sucht der adaptive Transport standardmäßig alle fünf Minuten nach EDT.

MTU-Discovery durch EDT (Enlightened Data Transport)

Die Citrix Workspace-App Version 2109 unterstützt nun MTU-Discovery (Maximum Transmission Unit = maximale Übertragungseinheit) für Enlightened Data Transport (EDT). Das Feature erhöht die Zuverlässigkeit und Kompatibilität des EDT-Protokolls und bietet eine verbesserte Benutzererfahrung.

Weitere Informationen finden Sie im Abschnitt MTU-Discovery durch EDT in der Dokumentation zu Citrix Virtual Apps and Desktops.

Unterstützung für EDT IPv6

Ab Version 2203 der Citrix Workspace-App wird EDT IPv6 unterstützt.

Hinweis:

IPv6 wird sowohl mit TCP als auch EDT unterstützt. IPv6 wird jedoch mit TCP über TLS und mit EDT über DTLS nicht unterstützt.

Unterstützung für IPv6 UDP mit DTLS

Bisher wurden DTLS-Verbindungen zwischen der Citrix Workspace-App für Linux und Virtual Delivery Agents (VDAs) nur über das IPv4-Netzwerk unterstützt.

Ab Release 2311 unterstützt die Citrix Workspace-App DTLS-Verbindungen über IPv4 und IPv6.

Dieses Feature ist standardmäßig aktiviert.

Zur Verwendung der IPv6-DTLS-Direktverbindung mit VDA in der Citrix Workspace-App für Linux ist keine zusätzliche Konfiguration erforderlich.

Unterstützung für IPv6 TCP mit TLS

Bisher wurden TLS-Verbindungen zwischen der Citrix Workspace-App für Linux und Virtual Delivery Agents (VDAs) nur über das IPv4-Netzwerk unterstützt.

Ab Release 2311 unterstützt die Citrix Workspace-App TLS-Verbindungen über IPv4 und IPv6.

Dieses Feature ist standardmäßig aktiviert.

Zur Verwendung der IPv6-TLS-Direktverbindung mit VDA in der Citrix Workspace-App für Linux ist keine zusätzliche Konfiguration erforderlich.

Sichere Kommunikation