Sichere Kommunikation

Zum Sichern der Kommunikation zwischen der Serverfarm und der Citrix Workspace-App für Mac können Sie Verbindungen zur Serverfarm mit zahlreichen Sicherheitsverfahren integrieren, einschließlich Citrix NetScaler Gateway. Weitere Informationen zur Konfiguration mit Citrix StoreFront finden Sie in der StoreFront-Dokumentation.

Hinweis:

Citrix empfiehlt, dass die Kommunikation zwischen StoreFront-Servern und Benutzergeräten mit NetScaler Gateway gesichert wird.

  • Ein SOCKS-Proxyserver oder sicherer Proxyserver (auch Sicherheitsproxyserver, HTTPS-Proxyserver). Mit Proxyservern schränken Sie den Zugriff auf das Netzwerk und vom Netzwerk ein und handhaben Verbindungen zwischen der Citrix Workspace-App und Servern. Die Citrix Workspace-App für Mac unterstützt die Protokolle SOCKS und Secure Proxy.
  • Secure Gateway. Secure Gateway stellt zusammen mit dem Webinterface einen einzigen sicheren, verschlüsselten Zugangspunkt über das Internet zu Servern in internen Unternehmensnetzwerken bereit.
  • SSL-Relay-Lösungen mit Transport Layer Security (TLS)-Protokollen
  • Eine Firewall. Firewalls entscheiden anhand der Zieladresse und des Zielports von Datenpaketen, ob diese Pakete weitergeleitet werden. Wenn Sie die Citrix Workspace-App für Mac mit einer Firewall verwenden, die die interne Netzwerk-IP-Adresse des Servers einer externen Internetadresse zuweist (d. h. Netzwerkadressübersetzung oder NAT), konfigurieren Sie die externe Adresse.

Informationen zu Zertifikaten

Private (selbstsignierte) Zertifikate

Wenn ein privates Zertifikat auf dem Remotegateway installiert ist, muss das Stammzertifikat der Zertifizierungsstelle des Unternehmens auf dem Benutzergerät installiert sein, um erfolgreich mit der Citrix Workspace-App für Mac auf Citrix Ressourcen zuzugreifen.

Hinweis:

Wenn das Zertifikat des Remotegateways beim Herstellen der Verbindung nicht verifiziert werden kann (da das Stammzertifikat nicht im lokalen Schlüsselspeicher vorhanden ist), wird eine Warnung über ein nicht vertrauenswürdiges Zertifikat angezeigt. Wenn der Benutzer weiterarbeitet, wird eine Liste der Anwendungen angezeigt; die Anwendungen können jedoch nicht gestartet werden.

Importieren von Stammzertifikaten auf Geräten mit Citrix Workspace-App für Mac

Rufen Sie das Stammzertifikat des Zertifikatausstellers ab und senden Sie es an ein Konto, das auf dem Gerät konfiguriert ist. Wenn Sie auf die Anlage klicken, werden Sie zum Importieren des Stammzertifikats aufgefordert.

Zertifikate mit Platzhalterzeichen

Zertifikate mit Platzhalterzeichen werden statt einzelner Serverzertifikate für jeden Server in derselben Domäne verwendet. Die Citrix Workspace-App für Mac unterstützt Zertifikate mit Platzhalterzeichen.

Zwischenzertifikate mit NetScaler Gateway

Wenn die Zertifikatkette ein Zwischenzertifikat enthält, muss das Zwischenzertifikat dem NetScaler Gateway-Serverzertifikat zugeordnet werden. Weitere Informationen hierzu finden Sie in der NetScaler Gateway-Dokumentation. Weitere Informationen zum Installieren und Verknüpfen eines Zwischenzertifikats mit einer primären ZS auf einem NetScaler Gateway-Gerät finden Sie im folgenden Artikel: How to Install and Link Intermediate Certificate with Primary CA on NetScaler Gateway.

Richtlinie für die Überprüfung gemeinsamer Serverzertifikate

Die Citrix Workspace-App für Mac hat eine strenge Validierungsrichtlinie für Serverzertifikate.

Wichtig

Bestätigen Sie vor der Installation dieser Version der Citrix Workspace-App für Mac, dass die Zertifikate auf dem Server oder Gateway wie hier beschrieben konfiguriert sind. Aufgrund folgender Ursachen können Verbindungen fehlschlagen:

  • Die Server- oder Gatewaykonfiguration enthält ein falsches Stammzertifikat
  • Die Server- oder Gatewaykonfiguration enthält nicht alle Zwischenzertifikate
  • Die Server- oder Gatewaykonfiguration enthält ein abgelaufenes oder anderweitig ungültiges Zwischenzertifikat
  • Die Server- oder Gatewaykonfiguration enthält ein übergreifendes Zwischenzertifikat

Beim Validieren eines Serverzertifikats verwendet die Citrix Workspace-App für Mac jetzt alle Zertifikate, die vom Server oder Gateway bereitgestellt werden. Wie in früheren Releases der Citrix Workspace-App für Mac wird dann auch überprüft, ob die Zertifikate vertrauenswürdig sind. Wenn nicht alle Zertifikate vertrauenswürdig sind, schlägt die Verbindung fehl.

Diese Richtlinie ist strenger als die Zertifikatrichtlinie in Webbrowsern. Viele Webbrowser enthalten eine große Anzahl Stammzertifikate, denen sie vertrauen.

Der Server bzw. das Gateway muss mit den richtigen Zertifikaten konfiguriert sein. Sind nicht die richtigen Zertifikate vorhanden, schlägt die Verbindung mit der Citrix Workspace-App für Mac u. U. fehl.

Angenommen, ein Gateway ist mit gültigen Zertifikaten konfiguriert. Diese Konfiguration wird für Kunden empfohlen, die eine strengere Validierung benötigen. Dabei wird genau ermittelt, welches Stammzertifikat die Citrix Workspace-App für Mac verwendet:

  • “Beispielserverzertifikat”
  • “Beispielzwischenzertifikat”
  • “Beispielstammzertifikat”

Die Citrix Workspace-App für Mac überprüft, ob alle Zertifikate gültig sind. Die Citrix Workspace-App für Mac überprüft ebenfalls, ob dem “Beispielstammzertifikat” bereits vertraut wird. Wenn die Citrix Workspace-App für Mac dem “Beispielstammzertifikat” nicht vertraut, schlägt die Verbindung fehl.

Wichtig

Einige Zertifizierungsstellen haben mehr als ein Stammzertifikat. Wenn Sie diese strengere Validierung benötigen, stellen Sie sicher, dass Ihre Konfiguration das entsprechende Stammzertifikat verwendet. Beispielsweise gibt es derzeit zwei Zertifikate (“DigiCert”/”GTE CyberTrust Global Root” und “DigiCert Baltimore Root”/”Baltimore CyberTrust Root”), mit denen die gleichen Serverzertifikate validiert werden können. Auf einigen Benutzergeräten sind beide Stammzertifikate verfügbar. Auf anderen Geräten ist nur eins verfügbar (“DigiCert Baltimore Root”/”Baltimore CyberTrust Root”). Wenn Sie “GTE CyberTrust Global Root” auf dem Gateway konfigurieren, schlagen die Citrix Workspace-App für Mac-Verbindungen auf diesen Benutzergeräten fehl. Aus der Dokumentation der Zertifizierungsstelle erfahren Sie, welches Stammzertifikat zu verwenden ist. Beachten Sie außerdem, dass Stammzertifikate, wie alle Zertifikate, irgendwann ablaufen.

Hinweis

Einige Server und Gateways senden nie das Stammzertifikat, selbst wenn es konfiguriert ist. Ein strengere Validierung ist dann nicht möglich.

Angenommen, ein Gateway ist mit diesen gültigen Zertifikaten konfiguriert. Wir empfehlen die folgende Konfiguration ohne das Stammzertifikat:

  • “Beispielserverzertifikat”
  • “Beispielzwischenzertifikat”

Die Citrix Workspace-App für Mac verwendet dann die beiden Zertifikate. Dann sucht Receiver nach einem Stammzertifikat auf dem Benutzergerät. Wird ein gültiges Zertifikat gefunden, das auch vertrauenswürdig ist (z. B. “Beispielstammzertifikat”), ist die Verbindung erfolgreich. Andernfalls schlägt die Verbindung fehl. Beachten Sie, dass diese Konfiguration das von der Citrix Workspace-App für Mac benötigte Zwischenzertifikat zur Verfügung stellt, aber der Citrix Workspace-App für Mac auch die Wahl eines gültigen, vertrauenswürdigen Stammzertifikats ermöglicht.

Nehmen wir nun an, ein Gateway ist mit den folgenden Zertifikaten konfiguriert:

  • “Beispielserverzertifikat”
  • “Beispielzwischenzertifikat”
  • “Falsches Stammzertifikat”

Ein Webbrowser ignoriert eventuell das falsche Stammzertifikat. Die Citrix Workspace-App für Mac ignoriert das falsche Stammzertifikat jedoch nicht und die Verbindung schlägt fehl.

Einige Zertifizierungsstellen verwenden mehr als ein Zwischenzertifikat. In diesem Fall ist das Gateway normalerweise wie folgt mit allen Zwischenzertifikaten konfiguriert, jedoch nicht mit dem Stammzertifikat:

  • “Beispielserverzertifikat”
  • “Beispielzwischenzertifikat 1”
  • “Beispielzwischenzertifikat 2”

Wichtig

Einige Zertifizierungsstellen verwenden ein übergreifendes Zwischenzertifikat. Dies ist für Situationen vorgesehen, wenn mehr als ein Stammzertifikat vorhanden ist und ein früher ausgestelltes Stammzertifikat zur gleichen Zeit wie ein später ausgestelltes Stammzertifikat verwendet wird. In diesem Fall sind mindestens zwei Zwischenzertifikate vorhanden. Beispielsweise hat das früher ausgestellte Stammzertifikat “Class 3 Public Primary Certification Authority” das entsprechende übergreifende Zwischenzertifikat “VeriSign Class 3 Public Primary Certification Authority - G5”. Ein entsprechendes später ausgestelltes Stammzertifikat “VeriSign Class 3 Public Primary Certification Authority - G5” ist ebenfalls verfügbar und es ersetzt “Class 3 Public Primary Certification Authority”. Das später ausgestellte Stammzertifikat verwendet kein übergreifendes Zwischenzertifikat.

Hinweis

Das übergreifende Zwischenzertifikat und das Stammzertifikat haben den gleichen Antragstellernamen (Ausgestellt an), aber das übergreifende Zwischenzertifikat hat einen anderen Ausstellernamen (Ausgestellt durch). Dadurch unterscheidet sich das übergreifende Zwischenzertifikat von einem normalen Zwischenzertifikat wie “Beispielzwischenzertifikat 2”.

Normalerweise empfiehlt sich die folgende Konfiguration ohne das Stammzertifikat und das übergreifende Zwischenzertifikat:

  • “Beispielserverzertifikat”
  • “Beispielzwischenzertifikat”

Konfigurieren Sie das Gateway nicht für die Verwendung des übergreifenden Zwischenzertifikats, weil es sonst das früher ausgestellte Stammzertifikat auswählt:

  • “Beispielserverzertifikat”
  • “Beispielzwischenzertifikat”
  • “Übergreifendes Beispielzwischenzertifikat” [nicht empfohlen]

Es wird nicht empfohlen, das Gateway nur mit dem Serverzertifikat zu konfigurieren:

  • “Beispielserverzertifikat”

In diesem Fall schlägt die Verbindung fehl, wenn die Citrix Workspace-App für Mac nicht alle Zwischenzertifikate finden kann.

Verbindungen mit NetScaler Gateway

Damit Remotebenutzer sich mit der XenMobile-Bereitstellung über NetScaler Gateway verbinden können, konfigurieren Sie diese für StoreFront. Die Methode für das Aktivieren des Zugriffs hängt von der in der Bereitstellung verwendeten XenMobile-Edition ab.

Wenn Sie XenMobile im Netzwerk bereitstellen, lassen Sie Verbindungen von internen oder Remotebenutzern mit StoreFront über NetScaler Gateway zu, indem Sie NetScaler Gateway mit StoreFront integrieren. In dieser Bereitstellung verbinden sich Benutzer mit StoreFront und greifen auf von XenApp veröffentliche Anwendungen und auf von XenDesktop virtualisierte Desktops zu. Benutzer stellen eine Verbindung über die Citrix Workspace-App für Mac her.

Verbinden mit Secure Gateway

Dieser Abschnitt gilt nur für Bereitstellungen mit dem Webinterface.

Sie können Secure Gateway im Modus Normal oder Relay verwenden, um einen sicheren Kommunikationskanal zwischen der Citrix Workspace-App für Mac und dem Server bereitzustellen. Die Citrix Workspace-App für Mac muss nicht konfiguriert werden, wenn Sie Secure Gateway im Normalmodus verwenden und Benutzer eine Verbindung über das Webinterface herstellen.

Für Verbindungen mit Secure Gateway-Servern verwendet die Citrix Workspace-App für Mac Einstellungen, die remote auf dem Webinterface-Server konfiguriert wurden. Weitere Informationen zum Konfigurieren der Proxyservereinstellungen für die Citrix Workspace-App für Mac finden Sie in der Webinterface-Dokumentation.

Wenn Secure Gateway Proxy auf einem Server im sicheren Netzwerk installiert ist, können Sie Secure Gateway Proxy im Relaymodus verwenden. Weitere Informationen zum Relaymodus finden Sie in der Dokumentation unter XenApp and Secure Gateway.

Wenn Sie den Relaymodus verwenden, fungiert der Secure Gateway-Server als Proxy und Sie müssen die Citrix Workspace-App für Mac für die Verwendung konfigurieren:

  • Vollqualifizierter Domänenname (FQDN) des Secure Gateway-Servers.
  • Portnummer des Secure Gateway-Servers. Der Relaymodus wird von Secure Gateway, Version 2.0 nicht unterstützt.

Der FQDN muss der Reihe nach die folgenden Komponenten auflisten:

  • Hostname
  • Second-Level-Domäne
  • Top-Level-Domäne

Beispiel: eigener_Computer.Beispiel.com ist ein vollqualifizierter Domänenname, da er – in der richtigen Reihenfolge – einen Hostnamen (eigener_Computer), eine Second-Level-Domäne (Beispiel) und eine Top-Level-Domäne (com) auflistet. Die Kombination von Second-Level- und Top-Level-Domäne (example.com) wird im Allgemeinen als Domänenname bezeichnet.

Herstellen von Verbindungen über Proxyserver

Mit Proxyservern wird der eingehende und ausgehende Netzwerkzugriff beschränkt und Verbindungen zwischen der Citrix Workspace-App für Mac und Servern gehandhabt. Die Citrix Workspace-App für Mac unterstützt die Protokolle SOCKS und Secure Proxy.

Für die Kommunikation mit dem XenApp- oder XenDesktop-Server verwendet die Citrix Workspace-App für Mac die Proxyservereinstellungen, die remote auf dem Webinterface-Server konfiguriert sind. Informationen zum Konfigurieren der Proxyservereinstellungen für Citrix Workspace finden Sie in der Webinterface-Dokumentation.

Für die Kommunikation mit dem Webserver verwendet die Citrix Workspace-App für Mac die Proxyservereinstellungen, die für den Standardwebbrowser auf dem Benutzergerät konfiguriert sind. Sie müssen die Proxyservereinstellungen für den Standardwebbrowser entsprechend auf dem Benutzergerät konfigurieren.

Herstellen einer Verbindung durch eine Firewall

Firewalls entscheiden anhand der Zieladresse und des Zielports von Datenpaketen, ob diese Pakete weitergeleitet werden. Wenn Sie eine Firewall in der Bereitstellung verwenden, muss die Citrix Workspace-App für Mac über die Firewall mit dem Webserver und dem Citrix Server kommunizieren können. Die Firewall muss HTTP-Datenübertragungen für die Kommunikation zwischen Benutzergerät und Webserver zulassen (meist über den HTTP-Standardport 80 oder 443, wenn ein sicherer Webserver verwendet wird). Für die Kommunikation zwischen Citrix Workspace und dem Citrix-Server muss die Firewall eingehende ICA-Datenübertragungen an den Ports 1494 und 2598 zulassen.

Wenn die Firewall für die Netzwerkadressenübersetzung konfiguriert ist, verwenden, können Sie im Webinterface Zuordnungen von internen Adressen zu externen Adressen und Ports definieren. Beispiel: Wenn der XenApp-Server oder XenDesktop-Server nicht mit einer alternativen Adresse konfiguriert ist, kann das Webinterface der Citrix Workspace-App für Mac eine alternative Adresse bereitstellen. Die Citrix Workspace-App für Mac stellt dann mit der externen Adresse und der Portnummer eine Verbindung mit dem Server her. Weitere Informationen finden Sie in der Dokumentation zum Webinterface.

Verbinden mit TLS

Die Citrix Workspace-App für Mac unterstützt TLS 1.0, 1.1 und 1.2 mit den folgenden Verschlüsselungssammlungen für TLS-Verbindungen mit XenApp/XenDesktop:

TLS:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

DTLS:

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Hinweis:

Die Citrix Workspace-App für Mac, die auf Mac OS Sierra ausgeführt wird, unterstützt nicht die folgenden TLS-Verschlüsselungssammlungen:

  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

TLS (Transport Layer Security) ist die neueste, standardisierte Version des TLS-Protokolls. Die IETF (Internet Engineering Taskforce) hat den Standard zu TLS umbenannt, als diese Organisation die Verantwortung für die Entwicklung von TLS als offenem Standard übernahm.

TLS sichert die Datenkommunikation mit Serverauthentifizierung, Verschlüsselung des Datenstroms und Prüfen der Nachrichtenintegrität. Einige Organisationen, u. a. amerikanische Regierungsstellen, verlangen das Sichern der Datenkommunikation mit TLS. Diese Organisationen verlangen ggf. auch die Verwendung überprüfter Kryptografie, wie z. B. FIPS 140. FIPS 140 ist ein Standard für die Kryptografie.

Die Citrix Workspace-App für Mac unterstützt RSA-Schlüssellängen von 1024, 2048 und 3072 Bits. Darüber hinaus werden Stammzertifikate mit RSA-Schlüsseln von 4096 Bits Länge unterstützt.

Hinweis

Die Citrix Workspace-App für Mac verwendet plattformeigene Kryptografie (OS X) für Verbindungen zwischen der Citrix Workspace-App für Mac und StoreFront.

Konfigurieren und Aktivieren der Citrix Workspace-App für Mac für TLS

Das Setup von TLS besteht aus zwei Hauptschritten:

  1. Setup von SSL-Relay auf dem XenApp- oder XenDesktop-Server und dem Webinterface-Server und abrufen und installieren des benötigten Serverzertifikats.

  2. Installieren Sie das entsprechende Stammzertifikat auf dem Benutzergerät.

Installieren von Stammzertifikaten auf Benutzergeräten

Für das Sichern der Kommunikation mit TLS zwischen TLS-aktivierter Citrix Workspace-App für Mac und der Serverfarm muss auf dem Clientgerät ein Stammzertifikat vorhanden sein, mit dem die Signatur der Zertifizierungsstelle für das Serverzertifikat bestätigt wird.

Mac OS X hat ungefähr 100 installierte kommerzielle Stammzertifikate; wenn Sie ein anderes Zertifikat verwenden möchten, können sie es von einer Zertifizierungsstelle abrufen und auf jedem Benutzergerät installieren.

Abhängig von den Richtlinien und Abläufen in Ihrem Unternehmen möchten Sie das Stammzertifikat ggf. auf jedem Benutzergerät installieren und die Installation nicht den Benutzern überlassen. Am einfachsten und sichersten ist es, wenn Sie die Stammzertifikate der Mac OS X-Schlüsselkette hinzufügen.

Hinzufügen eines Stammzertifikats zur Schlüsselkette

  1. Doppelklicken Sie auf die Datei, die das Zertifikat enthält. Die Anwendung für den Schlüsselkettenzugriff wird automatisch gestartet.
  2. Wählen Sie im Dialogfeld “Add Certificates” eine Option im Popupmenü “Keychain”:
    • “login” (das Zertifikat gilt nur für den aktuellen Benutzer.)
    • “System” (das Zertifikat gilt für alle Benutzer eines Geräts.)
  3. Klicken Sie auf OK.
  4. Geben Sie Ihr Kennwort in das Dialogfeld “Authenticate” ein und klicken Sie auf “OK”.

Das Stammzertifikat ist installiert und kann von TLS-fähigen Clients und anderen Anwendungen, die TLS einsetzen, verwendet werden.

Informationen über TLS-Richtlinien

In diesem Abschnitt finden Sie Informationen zur Konfiguration von Sicherheitsrichtlinien für ICA-Sitzungen über TLS in der Citrix Workspace-App für Mac. Sie können bestimmte TLS-Einstellungen, die für ICA-Verbindungen verwendet werden, in der Citrix Workspace-App für Mac konfigurieren. Diese Einstellungen werden nicht auf der Benutzeroberfläche angezeigt. Für das Ändern müssen Sie einen Befehl auf dem Citrix Workspace-App für Mac-Gerät ausführen.

Hinweis

TLS-Richtlinien können mit anderen Methoden verwaltet werden, z. B. wenn Geräte von OS X-Server oder einer anderen Mobilgeräteverwaltungslösung gesteuert werden.

TLS-Richtlinien enthalten die folgenden Einstellungen:

SecurityComplianceMode: Stellt den Sicherheitskompatibilitätsmodus für die Richtlinie ein. Wenn Sie “SecurityComplianceMode” nicht konfigurieren, wird standardmäßig FIPS verwendet. Gültige Werte für diese Einstellung sind u. a.:

  • Kein Wert. Kein Kompatibilitätsmodus wird erzwungen
  • FIPS: FIPS-Kryptografiemodule werden verwendet
  • SP800-52: NIST SP800-52r1-Kompatibilität wird erzwungen

defaults write com.citrix.receiver.nomas SecurityComplianceMode SP800-52

SecurityAllowedTLSVersions: Mit dieser Einstellung geben Sie die TLS-Protokollversionen an, die bei der Protokollaushandlung akzeptiert werden. Diese Informationen werden als Array dargestellt; jede Kombination der möglichen Werte wird unterstützt. Wenn diese Einstellung nicht konfiguriert ist, werden als Standardwerte TLS10, TLS11 und TLS12 verwendet. Gültige Werte für diese Einstellung sind u. a.:

  • TLS10: Gibt an, dass das TLS 1.0-Protokoll zugelassen ist.
  • TLS11: Gibt an, dass das TLS 1.1-Protokoll zugelassen ist.
  • TLS12: Gibt an, dass das TLS 1.2-Protokoll zugelassen ist.

defaults write com.citrix.receiver.nomas SecurityAllowedTLSVersions -array TLS11 TLS12

SSLCertificateRevocationCheckPolicy: Dieses Feature verbessert die kryptografische Authentifizierung des Citrix Servers und die allgemeine Sicherheit der SSL/TLS-Verbindungen zwischen einem Client und einem Server. Diese Einstellung steuert, wie eine bestimmte vertrauenswürdige Stammzertifizierungsstelle bei dem Versuch behandelt wird, eine Remotesitzung über SSL mit dem Client für OS X zu öffnen.

Wenn diese Einstellung aktiviert ist, prüft der Client, ob das Zertifikat des Servers widerrufen wurde. Es gibt mehrere Prüfstufen für die Zertifikatsperrliste. Der Client kann beispielsweise so konfiguriert werden, dass er nur die lokale Zertifikatsperrliste oder die lokale und die Netzwerkzertifikatsperrliste überprüft. Außerdem können Sie die Überprüfung der Zertifikate so konfigurieren, dass Benutzer sich nur anmelden können, wenn alle Zertifikatsperrlisten überprüft wurden.

Das Prüfen der Zertifikatsperrliste ist ein fortschrittliches Feature, das von einigen Zertifikatausstellern unterstützt wird. Der Administrator kann Sicherheitszertifikate widerrufen (d. h. vor dem Ablaufdatum ungültig machen), wenn der private Schlüssel des Zertifikats kryptografisch kompromittiert oder der DNS-Name unerwartet geändert werden muss.

Gültige Werte für diese Einstellung sind u. a.:

  • NoCheck: Es wird keine Überprüfung der Zertifikatsperrliste durchgeführt.
  • CheckWithNoNetworkAccess: Es wird eine Überprüfung der Zertifikatsperrliste durchgeführt. Es werden nur lokale Zertifikatsperrlisten-Stores verwendet. Alle Verteilungspunkte werden ignoriert. Das Finden einer Zertifikatsperrliste ist für die Überprüfung des Serverzertifikats, das vom Ziel-SSL-Relay bzw. Secure Gateway-Server vorgelegt wird, nicht wichtig.
  • FullAccessCheck: Es wird eine Überprüfung der Zertifikatsperrliste durchgeführt. Lokale Zertifikatsperrlisten-Stores und alle Verteilungspunkte werden verwendet. Das Finden einer Zertifikatsperrliste ist für die Überprüfung des Serverzertifikats, das vom Ziel-SSL-Relay bzw. Secure Gateway-Server vorgelegt wird, nicht wichtig.
  • FullAccessCheckAndCRLRequired: Die Zertifikatsperrliste wird überprüft; die Stamm-CA ist ausgeschlossen. Lokale Zertifikatsperrlisten-Stores und alle Verteilungspunkte werden verwendet. Das Finden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung wichtig.
  • FullAccessCheckAndCRLRequiredAll: Die Zertifikatsperrliste und die Stamm-CA werden überprüft. Lokale Zertifikatsperrlisten-Stores und alle Verteilungspunkte werden verwendet. Das Finden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung wichtig.

Hinweis

Wenn Sie “SSLCertificateRevocationCheckPolicy” nicht festlegen, wird standardmäßig “FullAccessCheck” verwendet. defaults write com.citrix.receiver.nomas SSLCertificateRevocationCheckPolicy FullAccessCheckAndCRLRequired

Konfigurieren von TLS-Richtlinien

Führen Sie zum Konfigurieren von TLS-Einstellungen auf einem nicht verwalteten Computer den Befehl defaults in Terminal.app aus.

defaults ist eine Befehlszeilenanwendung, mit der Sie App-Einstellungen in einer Plistdatei der OS X-Einstellungen hinzufügen, bearbeiten und löschen können.

Ändern der Einstellungen

  1. Öffnen Sie “Applications” > “Utilities” > “Terminal”.

  2. Führen Sie in “Terminal” folgenden Befehl aus:

defaults write com.citrix.receiver.nomas \<name\> \<type\> \<value\>

Wobei Folgendes gilt:

<name>: Der Name der Einstellung, wie oben beschrieben.

<type>: Eine Option zum Identifizieren des Typs der Einstellung, entweder -string oder -array. Wenn der Einstellungstyp “string” ist kann dies ausgelassen werden.

<value>: Der Wert für die Einstellung. Wenn der Wert ein Array ist und Sie mehrere Werte eingeben, müssen die Werte durch eine Leerstelle getrennt werden.

defaults write com.citrix.receiver.nomas SecurityAllowedTLSVersions -array TLS11 TLS12

Wiederherstellen der Standardkonfiguration

Zurücksetzen einer Einstellung auf den Standard

  1. Öffnen Sie “Applications” > “Utilities” > “Terminal”.

  2. Führen Sie in “Terminal” folgenden Befehl aus:

defaults delete com.citrix.receiver.nomas \<name\>

Wobei Folgendes gilt:

<name>: Der Name der Einstellung, wie oben beschrieben.

defaults delete com.citrix.receiver.nomas SecurityAllowedTLSVersions

Konfigurieren von Sicherheitseinstellungen mit der Benutzeroberfläche

Mit Citrix Receiver für Mac-Version 12.3 wurden zahlreiche Sicherheitsverbesserungen eingeführt, u. a.:

  • Verbesserte Benutzeroberfläche für die Sicherheitskonfiguration: In vorherigen Releases war die Befehlszeile die bevorzugte Methode zum Vornehmen sicherheitsrelevanter Änderungen. Nun können Konfigurationseinstellungen für die Sitzungssicherheit einfach über die Benutzeroberfläche vorgenommen werden. Diese nahtlose Methode zum Festlegen von Sitzungseinstellungen führt zu einer besseren Benutzererfahrung.
  • Anzeigen von TLS-Verbindungen: Mit der Citrix Receiver für Mac können Sie Verbindungen mit Servern, die eine bestimmte TLS-Version verwenden, durch zusätzliche Informationen verifizieren, einschließlich dem für die Verbindung verwendeten Verschlüsselungsalgorithmus, Modus, Schlüsselgröße und Aktivierung von SecureICA. Darüber hinaus können Sie das Serverzertifikat für TLS-Verbindungen anzeigen.

Die neue Registerkarte TLS im erweiterten Bildschirm Sicherheit und Datenschutz enthält die folgenden neuen Optionen:

  • Konformitätsmodus festlegen
  • Kryptografiemodul konfigurieren
  • Geeignete TLS-Version auswählen
  • Zertifikatsperrliste auswählen
  • Einstellungen für alle TLS-Verbindungen aktivieren

Im Bild unten sehen Sie die Einstellungen für Sicherheit und Datenschutz, auf die über die Benutzeroberfläche zugegriffen werden kann:

TLS-Einstellungen