Produktdokumentation
Citrix Workspace app for Windows
Current Release 2402 LTSR 2203.1 LTSR 1912 LTSR
PDF anzeigen

Sichere Kommunikation

April 16, 2026
Beitrag von: 
C C

  • Um die Kommunikation zwischen dem Citrix Virtual Apps and Desktops-Server und der Citrix Workspace-App zu sichern, können Sie Ihre Citrix Workspace-App-Verbindungen mithilfe einer Reihe sicherer Technologien integrieren, wie zum Beispiel:

  • Citrix Gateway: Weitere Informationen finden Sie in den Themen in diesem Abschnitt sowie in der Citrix Gateway- und StoreFront-Dokumentation.
  • Eine Firewall: Netzwerk-Firewalls können Pakete basierend auf der Zieladresse und dem Port zulassen oder blockieren.
  • Transport Layer Security (TLS) Versionen 1.0 bis 1.2 werden unterstützt.
  • Vertrauenswürdiger Server zum Aufbau von Vertrauensbeziehungen in Citrix Workspace-App-Verbindungen.
  • ICA®-Dateisignierung
  • Local Security Authority (LSA)-Schutz
  • Proxyserver nur für Citrix Virtual Apps-Bereitstellungen: Ein SOCKS-Proxyserver oder sicherer Proxyserver. Proxyserver helfen, den Zugriff auf und aus dem Netzwerk zu begrenzen. Sie verwalten auch die Verbindungen zwischen der Citrix Workspace-App und dem Server. Die Citrix Workspace-App unterstützt SOCKS- und sichere Proxy-Protokolle.
    • Ausgehender Proxy

Citrix Gateway

-  Citrix Gateway (ehemals Access Gateway) sichert Verbindungen zu StoreFront-Stores. Außerdem können Administratoren den Benutzerzugriff auf Desktops und Anwendungen detailliert steuern.

So stellen Sie eine Verbindung zu Desktops und Anwendungen über Citrix Gateway her:

-  1.  Geben Sie die Citrix Gateway-URL, die Ihr Administrator bereitstellt, auf eine der folgenden Weisen an:

-  Wenn Sie die Self-Service-Benutzeroberfläche zum ersten Mal verwenden, werden Sie aufgefordert, die URL im Dialogfeld **Konto hinzufügen** einzugeben.
-  Wenn Sie die Self-Service-Benutzeroberfläche später verwenden, geben Sie die URL ein, indem Sie auf **Einstellungen** > **Konten** > **Hinzufügen** klicken.
-  Wenn Sie eine Verbindung mit dem storebrowse-Befehl herstellen, geben Sie die URL in der Befehlszeile ein.

Die URL gibt das Gateway und optional einen bestimmten Store an:

  • Um eine Verbindung zum ersten Store herzustellen, den die Citrix Workspace-App findet, verwenden Sie eine URL im folgenden Format:

  • Um eine Verbindung zu einem bestimmten Store herzustellen, verwenden Sie eine URL der Form, zum Beispiel: https://gateway.company.com?<storename>. Diese dynamische URL hat ein nicht standardmäßiges Format; fügen Sie kein “=” (das Gleichheitszeichen) in die URL ein. Wenn Sie eine Verbindung zu einem bestimmten Store mit storebrowse herstellen, müssen Sie möglicherweise Anführungszeichen um die URL im storebrowse-Befehl setzen.

  1. Wenn Sie dazu aufgefordert werden, stellen Sie eine Verbindung zum Store (über das Gateway) her, indem Sie Ihren Benutzernamen, Ihr Kennwort und Ihr Sicherheitstoken verwenden. Weitere Informationen zu diesem Schritt finden Sie in der Citrix Gateway-Dokumentation.

Nach Abschluss der Authentifizierung werden Ihre Desktops und Anwendungen angezeigt.

Verbindung über eine Firewall

  • Netzwerk-Firewalls können Pakete basierend auf der Zieladresse und dem Port zulassen oder blockieren. Wenn Sie eine Firewall verwenden, kann die Citrix Workspace-App für Windows über die Firewall sowohl mit dem Webserver als auch mit dem Citrix-Server kommunizieren.

  • Gängige Citrix Kommunikationsports

  • Quelle Typ Port Details
  • Citrix Workspace-App TCP 80/443 Kommunikation mit StoreFront
  • ICA oder HDX TCP/UDP 1494 Zugriff auf Anwendungen und virtuelle Desktops
  • ICA oder HDX mit Sitzungszuverlässigkeit TCP/UDP 2598 Zugriff auf Anwendungen und virtuelle Desktops
  • ICA oder HDX über TLS TCP/UDP 443 Zugriff auf Anwendungen und virtuelle Desktops

Weitere Informationen zu den Ports finden Sie im Knowledge Center-Artikel CTX101810.

Transport Layer Security

Transport Layer Security (TLS) ist der Ersatz für das SSL-Protokoll (Secure Sockets Layer). Die Internet Engineering Task Force (IETF) benannte es in TLS um, als sie die Verantwortung für die Entwicklung von TLS als offenen Standard übernahm.

TLS sichert die Datenkommunikation durch Serverauthentifizierung, Verschlüsselung des Datenstroms und Prüfungen der Nachrichtenintegrität. Einige Organisationen, einschließlich US-Regierungsorganisationen, verlangen die Verwendung von TLS zur Sicherung der Datenkommunikation. Diese Organisationen könnten auch die Verwendung von validierter Kryptografie verlangen, wie z. B. Federal Information Processing Standard (FIPS) 140. FIPS 140 ist ein Standard für Kryptografie.

Um die TLS-Verschlüsselung als Kommunikationsmedium zu verwenden, müssen Sie das Benutzergerät und die Citrix Workspace-App konfigurieren. Informationen zum Sichern der StoreFront-Kommunikation finden Sie im Abschnitt Sichern in der StoreFront-Dokumentation. Informationen zum Sichern von VDAs finden Sie unter Transport Layer Security (TLS) in der Citrix Virtual Apps and Desktops-Dokumentation.

Sie können die folgenden Richtlinien verwenden, um:

  • Die Verwendung von TLS zu erzwingen: Wir empfehlen, TLS für Verbindungen über nicht vertrauenswürdige Netzwerke, einschließlich des Internets, zu verwenden.
  • Die Verwendung von FIPS (Federal Information Processing Standards) zu erzwingen: Genehmigte Kryptografie und Befolgen der Empfehlungen in NIST SP 800-52. Diese Optionen sind standardmäßig deaktiviert.
  • Die Verwendung einer bestimmten TLS-Version und spezifischer TLS-Cipher-Suites zu erzwingen: Citrix unterstützt die Protokolle TLS 1.0, TLS 1.1 und TLS 1.2.
  • Nur mit bestimmten Servern zu verbinden.
  • Den Widerruf des Serverzertifikats zu prüfen.
  • Eine bestimmte Richtlinie zur Ausstellung von Serverzertifikaten zu prüfen.
  • Ein bestimmtes Clientzertifikat auszuwählen, wenn der Server so konfiguriert ist, dass er eines anfordert.

Die Citrix Workspace-App für Windows unterstützt die folgenden Cipher-Suites für das TLS 1.2-Protokoll:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
    • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Wichtig:

Die folgenden Cipher Suites sind aus Sicherheitsgründen veraltet:

-  Cipher Suites RC4 und 3DES
-  Cipher Suites mit dem Präfix "TLS_RSA_*"

-  > -  TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
-  > -  TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
-  > -  TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)

-  TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
-  TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)

-  > -  TLS_RSA_WITH_RC4_128_SHA (0x0005)
-  > -  TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)

-  ### TLS-Unterstützung
  1. Öffnen Sie die administrative GPO-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.

  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Workspace > Netzwerkrouting, und wählen Sie die Richtlinie TLS- und Kompatibilitätsmoduskonfiguration aus.

    • Richtlinie für TLS- und Kompatibilitätsmodus

      1. Wählen Sie Aktiviert, um sichere Verbindungen zu aktivieren und die Kommunikation auf dem Server zu verschlüsseln. Legen Sie die folgenden Optionen fest:

    Hinweis:

    Citrix empfiehlt TLS für sichere Verbindungen.

    1. Wählen Sie TLS für alle Verbindungen erforderlich, um die Citrix Workspace-App zu zwingen, TLS für Verbindungen zu veröffentlichten Anwendungen und Desktops zu verwenden.

    2. Wählen Sie im Menü Sicherheitskompatibilitätsmodus die entsprechende Option aus:

      1. Keine – Es wird kein Kompatibilitätsmodus erzwungen.
      2. SP800-52 – Wählen Sie SP800-52 für die Konformität mit NIST SP 800-52. Wählen Sie diese Option nur, wenn die Server oder das Gateway die Empfehlungen von NIST SP 800-52 befolgen.

  • Hinweis: > > Wenn Sie SP800-52 auswählen, wird die FIPS-zugelassene Kryptografie automatisch verwendet, auch wenn FIPS aktivieren nicht ausgewählt ist. Aktivieren Sie außerdem die Windows-Sicherheitsoption Systemkryptografie: FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signatur verwenden. Andernfalls kann die Citrix Workspace-App möglicherweise keine Verbindung zu den veröffentlichten Anwendungen und Desktops herstellen.

  • Wenn Sie SP800-52 auswählen, setzen Sie die Einstellung Zertifikatsperrüberprüfungsrichtlinie auf Vollständige Zugriffsprüfung und CRL erforderlich.

     Wenn Sie **SP800-52** auswählen, überprüft die Citrix Workspace-App, ob das Serverzertifikat den Empfehlungen in NIST SP 800-52 entspricht. Wenn das Serverzertifikat nicht konform ist, kann die Citrix Workspace-App möglicherweise keine Verbindung herstellen.

 1.  **FIPS aktivieren** – Wählen Sie diese Option, um die Verwendung von FIPS-zugelassener Kryptografie zu erzwingen. Aktivieren Sie außerdem die Windows-Sicherheitsoption aus der Gruppenrichtlinie des Betriebssystems, **Systemkryptografie: FIPS-kompatible Algorithmen für Verschlüsselung, Hashing und Signatur verwenden**. Andernfalls kann die Citrix Workspace-App möglicherweise keine Verbindung zu veröffentlichten Anwendungen und Desktops herstellen.

    1. Wählen Sie im Dropdown-Menü Zugelassene TLS-Server die Portnummer aus. Verwenden Sie eine durch Kommas getrennte Liste, um sicherzustellen, dass die Citrix Workspace-App nur eine Verbindung zu einem bestimmten Server herstellt. Sie können Platzhalter und Portnummern angeben. Zum Beispiel erlaubt *.citrix.com: 4433 Verbindungen zu jedem Server, dessen allgemeiner Name mit .citrix.com auf Port 4433 endet. Der Aussteller des Zertifikats bestätigt die Richtigkeit der Informationen in einem Sicherheitszertifikat. Wenn Citrix Workspace den Aussteller nicht erkennt oder ihm nicht vertraut, wird die Verbindung abgelehnt.

    2. Wählen Sie im Menü TLS-Version eine der folgenden Optionen aus:

    • TLS 1.0, TLS 1.1 oder TLS 1.2 – Dies ist die Standardeinstellung. Diese Option wird nur empfohlen, wenn eine geschäftliche Anforderung für TLS 1.0 zur Kompatibilität besteht.

    • TLS 1.1 oder TLS 1.2 – Verwenden Sie diese Option, um sicherzustellen, dass die Verbindungen entweder TLS 1.1 oder TLS 1.2 verwenden.

    • TLS 1.2 – Diese Option wird empfohlen, wenn TLS 1.2 eine geschäftliche Anforderung ist.

      1. TLS-Cipher-Suite – Um die Verwendung einer bestimmten TLS-Cipher-Suite zu erzwingen, wählen Sie Government (GOV), Commercial (COM) oder All (ALL). 1. Wählen Sie im Menü Zertifikatsperrüberprüfungsrichtlinie eine der folgenden Optionen aus:

    • Prüfung ohne Netzwerkzugriff – Die Prüfung der Zertifikatsperrliste wird durchgeführt. Es werden nur lokale Zertifikatsperrlistenspeicher verwendet. Alle Verteilungspunkte werden ignoriert. Eine Prüfung der Zertifikatsperrliste, die das vom Ziel-SSL-Relay/Citrix Secure Web Gateway-Server verfügbare Serverzertifikat überprüft, ist nicht zwingend erforderlich.

    • Vollständige Zugriffsprüfung – Die Prüfung der Zertifikatsperrliste wird durchgeführt. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn Sperrinformationen für ein Zertifikat gefunden werden, wird die Verbindung abgelehnt. Die Prüfung der Zertifikatsperrliste zur Überprüfung des vom Zielserver verfügbaren Serverzertifikats ist nicht kritisch.

    • Vollständige Zugriffsprüfung und CRL erforderlich – Die Prüfung der Zertifikatsperrliste wird durchgeführt, mit Ausnahme der Stammzertifizierungsstelle. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn Sperrinformationen für ein Zertifikat gefunden werden, wird die Verbindung abgelehnt. Das Auffinden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung entscheidend.

    • Vollständige Zugriffsprüfung und CRL für alle erforderlich – Die Prüfung der Zertifikatsperrliste wird durchgeführt, einschließlich der Stammzertifizierungsstelle. Lokale Zertifikatsperrlistenspeicher und alle Verteilungspunkte werden verwendet. Wenn Sperrinformationen für ein Zertifikat gefunden werden, wird die Verbindung abgelehnt. Das Auffinden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung entscheidend.

    • Keine Prüfung – Es wird keine Prüfung der Zertifikatsperrliste durchgeführt.

    1. Mithilfe der Richtlinienerweiterungs-OID können Sie die Citrix Workspace-App darauf beschränken, nur Verbindungen zu Servern mit einer bestimmten Zertifikatsausstellungsrichtlinie herzustellen. Wenn Sie Richtlinienerweiterungs-OID auswählen, akzeptiert die Citrix Workspace-App nur Serverzertifikate, die die Richtlinienerweiterungs-OID enthalten.

    2. Wählen Sie im Menü Clientauthentifizierung eine der folgenden Optionen aus:

    • Deaktiviert – Die Clientauthentifizierung ist deaktiviert.

    • Zertifikatsauswahl anzeigen – Fordert den Benutzer immer auf, ein Zertifikat auszuwählen.

    • Automatisch auswählen, wenn möglich – Fordert den Benutzer nur auf, wenn eine Auswahl des zu identifizierenden Zertifikats besteht.

    • Nicht konfiguriert – Zeigt an, dass die Clientauthentifizierung nicht konfiguriert ist.

    • Angegebenes Zertifikat verwenden – Verwendet das Clientzertifikat, wie in der Option Clientzertifikat festgelegt.

  1. Verwenden Sie die Einstellung Clientzertifikat, um den Fingerabdruck des identifizierenden Zertifikats anzugeben, um unnötige Benutzeraufforderungen zu vermeiden.

  2. Klicken Sie auf Übernehmen und OK, um die Richtlinie zu speichern.

Vertrauenswürdiger Server

Vertrauenswürdige Serververbindungen erzwingen

Die Richtlinie zur Konfiguration vertrauenswürdiger Server identifiziert und erzwingt Vertrauensbeziehungen in Citrix Workspace-App-Verbindungen.

Mithilfe dieser Richtlinie können Administratoren steuern, wie der Client die veröffentlichte Anwendung oder den Desktop identifiziert, mit der/dem er sich verbindet. Der Client bestimmt eine Vertrauensstufe, die als Vertrauensregion mit einer Verbindung bezeichnet wird. Die Vertrauensregion bestimmt dann, wie der Client für die Verbindung konfiguriert wird.

Das Aktivieren dieser Richtlinie verhindert Verbindungen zu Servern, die sich nicht in den vertrauenswürdigen Regionen befinden.

Standardmäßig basiert die Regionsidentifikation auf der Adresse des Servers, mit dem sich der Client verbindet. Um Mitglied der vertrauenswürdigen Region zu sein, muss der Server Mitglied der Windows-Zone Vertrauenswürdige Sites sein. Sie können dies über die Einstellung Windows-Internetzone konfigurieren.

Alternativ kann für die Kompatibilität mit Nicht-Windows-Clients die Serveradresse mithilfe der Einstellung Adresse in der Gruppenrichtlinie explizit als vertrauenswürdig eingestuft werden. Die Serveradresse muss eine durch Kommas getrennte Liste von Servern sein, die die Verwendung von Platzhaltern unterstützen, z. B. cps*.citrix.com.

Voraussetzung:

-  Stellen Sie sicher, dass Sie die Citrix Workspace-App für Windows Version 2402 LTSR CU1 oder höher installiert haben.

  • Stellen Sie die DNS-Auflösung auf True auf dem DDC ein, wenn Sie einen internen Storefront und Host-FQDN in den Windows-Internetoptionen verwenden. Weitere Informationen finden Sie im Knowledge Center-Artikel CTX135250.

    Hinweis:

    Es sind keine Änderungen am DDC erforderlich, wenn die IP-Adresse in den Windows-Internet-Sicherheitszonenoptionen verwendet wird.

  • Kopieren Sie die neueste ICA-Clientrichtlinienvorlage gemäß der folgenden Tabelle und fügen Sie sie ein:

Dateityp Kopieren von Kopieren nach
receiver.admx Installation Directory\ICA Client\Configuration\receiver.admx %systemroot%\policyDefinitions
CitrixBase.admx Installation Directory\ICA Client\Configuration\CitrixBase.admx %systemroot%\policyDefinitions
receiver.adml Installation Directory\ICA Client\Configuration[MUIculture]receiver.adml %systemroot%\policyDefinitions[MUIculture]
CitrixBase.adml Installation Directory\ICA Client\Configuration[MUIculture]\CitrixBase.adml %systemroot%\policyDefinitions[MUIculture]

Hinweis:

  • Stellen Sie sicher, dass Sie die neuesten .admx- und .adml-Dateien verwenden, die in der Citrix Workspace-App für Windows Version 2402 LTSR CU1 oder höher enthalten sind. Weitere Konfigurationsdetails finden Sie in der Gruppenrichtlinien-Dokumentation.

  • Schließen Sie alle laufenden Instanzen der Citrix Workspace-App und beenden Sie diese über die Taskleiste.

    Beenden über die Taskleiste

Führen Sie die folgenden Schritte aus, um die Konfiguration vertrauenswürdiger Server mithilfe der administrativen Vorlage für Gruppenrichtlinienobjekte zu aktivieren:

  1. Öffnen Sie die administrative Vorlage für Gruppenrichtlinienobjekte der Citrix Workspace-App, indem Sie gpedit.msc ausführen.

  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten > Citrix Workspace > Netzwerk-Routing :

    • Wählen Sie für x64-Bereitstellungen Konfiguration vertrauenswürdiger Server auf x64-Maschinen konfigurieren.
    • Wählen Sie für x86-Bereitstellungen Konfiguration vertrauenswürdiger Server auf x86-Maschinen konfigurieren.

    Konfiguration vertrauenswürdiger Server konfigurieren

  3. Aktivieren Sie die ausgewählte Richtlinie und aktivieren Sie das Kontrollkästchen Konfiguration vertrauenswürdiger Server erzwingen.

  4. Wählen Sie im Dropdown-Menü Windows-Internetzone die Option Vertrauenswürdig aus.

    Windows-Internetzone

    Hinweis:

    • Sie können die Auswahl von Optionen aus der Dropdown-Liste Adresse überspringen.

  5. Klicken Sie auf OK und Übernehmen.
    1. Wenn derselbe angemeldete Benutzer Citrix-Ressourcen veröffentlicht hat, können Sie mit den folgenden Schritten fortfahren oder sich mit einem anderen Benutzer anmelden.
      1. Öffnen Sie die Internetoptionen von Windows und navigieren Sie zu Vertrauenswürdige Sites > Sites, um eine Domänenadresse oder den VDA-FQDN hinzuzufügen.

    Hinweis:

  • Sie können eine ungültige Domäne *.test.com oder einen spezifischen ungültigen oder gültigen VDA-FQDN hinzufügen, um die Funktion zu testen.

    • Windows-Internetoptionen

  1. Ändern Sie je nach Präferenz zu Vertrauenswürdige Sites oder Lokales Intranet basierend auf der Zonenauswahl in der Windows-Internetzoneneinstellung innerhalb der Richtlinie Vertrauenswürdige Serverkonfiguration konfigurieren.

    Weitere Informationen finden Sie unter Internet Explorer-Einstellungen ändern im Abschnitt Authentifizierung.

    1. Aktualisieren Sie die Gruppenrichtlinie auf dem Zielgerät, auf dem die Citrix Workspace-App installiert ist, über eine Administrator-Eingabeaufforderung oder starten Sie das System neu.
    1. Stellen Sie sicher, dass der interne StoreFront-FQDN der Zone „Lokales Intranet“ oder den Zonen „Vertrauenswürdige Sites“ hinzugefügt wird, basierend auf der Zonenauswahl in der Windows-Internetzoneneinstellung innerhalb der Richtlinie Vertrauenswürdige Serverkonfiguration konfigurieren. Weitere Informationen finden Sie unter Internet Explorer-Einstellungen ändern im Abschnitt Authentifizierung. Stellen Sie außerdem sicher, dass bei Gateway-Stores die Gateway-URL zu den vertrauenswürdigen Sites hinzugefügt werden muss.
  1. Öffnen Sie die Citrix Workspace-App oder veröffentlichte Ressourcen und überprüfen Sie die Funktion.

Hinweis:

  • Wenn Sie die vorhergehenden Schritte nicht konfiguriert haben, kann der Sitzungsstart fehlschlagen und Sie erhalten möglicherweise die folgende Fehlermeldung:

  • Fehler bei vertrauenswürdigem Server

Als Workaround können Sie die Richtlinie Vertrauenswürdige Serverkonfiguration konfigurieren in der GPO deaktivieren.

Selektive Client-Vertrauensstellung

Zusätzlich zum Zulassen oder Verhindern von Verbindungen zu den Servern verwendet der Client auch die Regionen, um den Zugriff auf Dateien, Mikrofone oder Webcams sowie SSO zu identifizieren.

Regionen Ressourcen Zugriffsebene
Internet Datei, Mikrofon, Web Benutzer zur Bestätigung auffordern, SSO nicht erlaubt
Intranet Mikrofon, Web Benutzer zur Bestätigung auffordern, SSO erlaubt
Eingeschränkte Sites Alle Kein Zugriff und Verbindung möglicherweise verhindert
Vertrauenswürdig Mikrofon, Web Lesen oder Schreiben, SSO erlaubt

Wenn der Benutzer den Standardwert für eine Region ausgewählt hat, wird möglicherweise das folgende Dialogfeld angezeigt:

HDX-Dateizugriff

Citrix Workspace-Zugriff

HDX-Mikrofon-Webcam-Zugriff

Administratoren können dieses Standardverhalten ändern, indem sie die Registrierungsschlüssel für die Selektive Client-Vertrauensstellung entweder über die Gruppenrichtlinie oder in der Registrierung erstellen und konfigurieren. Weitere Informationen zum Konfigurieren der Registrierungsschlüssel für die Selektive Client-Vertrauensstellung finden Sie im Knowledge Center-Artikel CTX133565.

ICA-Dateisignierung

Die ICA-Dateisignierung schützt Sie vor dem Start einer nicht autorisierten Anwendung oder eines Desktops. Die Citrix Workspace-App überprüft, ob eine vertrauenswürdige Quelle den Anwendungs- oder Desktopstart basierend auf einer administrativen Richtlinie generiert hat, und schützt vor Starts von nicht vertrauenswürdigen Servern. Sie können die ICA-Dateisignierung mithilfe der administrativen Vorlage für Gruppenrichtlinienobjekte oder StoreFront konfigurieren. Die Funktion zur ICA-Dateisignierung ist standardmäßig nicht aktiviert.

Informationen zum Aktivieren der ICA-Dateisignierung für StoreFront finden Sie unter ICA-Dateisignierung aktivieren in der StoreFront-Dokumentation.

ICA-Dateisignatur konfigurieren

Hinweis:

Wenn die CitrixBase.admx\adml nicht zur lokalen GPO hinzugefügt wurde, ist die Richtlinie ICA-Dateisignierung aktivieren möglicherweise nicht vorhanden.

  1. Öffnen Sie die administrative Vorlage für Gruppenrichtlinienobjekte der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Komponenten.
  3. Wählen Sie die Richtlinie ICA-Dateisignierung aktivieren und wählen Sie eine der erforderlichen Optionen aus:
    1. Aktiviert – Zeigt an, dass Sie den Fingerabdruck des Signaturzertifikats zur Zulassungsliste vertrauenswürdiger Zertifikatsfingerabdrücke hinzufügen können.
    2. Zertifikate vertrauen – Klicken Sie auf Anzeigen, um den vorhandenen Fingerabdruck des Signaturzertifikats aus der Zulassungsliste zu entfernen. Sie können die Fingerabdrücke des Signaturzertifikats aus den Eigenschaften des Signaturzertifikats kopieren und einfügen.
    3. Sicherheitsrichtlinie – Wählen Sie eine der folgenden Optionen aus dem Menü aus.
      1. Nur signierte Starts zulassen (sicherer): Erlaubt nur signierte Anwendungs- und Desktopstarts von einem vertrauenswürdigen Server. Eine Sicherheitswarnung wird angezeigt, wenn eine ungültige Signatur vorliegt. Der Sitzungsstart schlägt aufgrund fehlender Autorisierung fehl.
      2. Benutzer bei unsignierten Starts auffordern (weniger sicher) – Eine Meldung wird angezeigt, wenn eine unsignierte oder ungültig signierte Sitzung gestartet wird. Sie können wählen, ob Sie den Start fortsetzen oder abbrechen möchten (Standard).
  4. Klicken Sie auf Übernehmen und OK, um die Richtlinie zu speichern.
  5. Starten Sie die Citrix Workspace-App-Sitzung neu, damit die Änderungen wirksam werden.

So wählen und verteilen Sie ein digitales Signaturzertifikat:

Bei der Auswahl eines digitalen Signaturzertifikats empfehlen wir Ihnen, aus der folgenden Prioritätenliste zu wählen:

  1. Kaufen Sie ein Code-Signaturzertifikat oder SSL-Signaturzertifikat von einer öffentlichen Zertifizierungsstelle (CA).
  2. Wenn Ihr Unternehmen eine private CA besitzt, erstellen Sie ein Code-Signaturzertifikat oder SSL-Signaturzertifikat mithilfe der privaten CA.
  3. Verwenden Sie ein vorhandenes SSL-Zertifikat.
  4. Erstellen Sie ein Stamm-CA-Zertifikat und verteilen Sie es über GPO oder manuelle Installation an Benutzergeräte.

Schutz der lokalen Sicherheitsautorität (LSA)

Die Citrix Workspace-App unterstützt den Windows Local Security Authority (LSA)-Schutz, der Informationen über alle Aspekte der lokalen Sicherheit auf einem System verwaltet. Diese Unterstützung bietet den LSA-Schutz für gehostete Desktops.

Verbindung über einen Proxy-Server

Proxy-Server werden verwendet, um den Zugriff auf und von Ihrem Netzwerk zu beschränken und Verbindungen zwischen der Citrix Workspace-App für Windows und Servern zu verwalten. Die Citrix Workspace-App unterstützt SOCKS- und sichere Proxy-Protokolle.

Bei der Kommunikation mit dem Server verwendet die Citrix Workspace-App die Proxy-Server-Einstellungen, die remote auf dem Server konfiguriert sind, auf dem Workspace für Web ausgeführt wird.

Bei der Kommunikation mit dem Webserver verwendet die Citrix Workspace-App die Proxy-Server-Einstellungen, die über die Internet-Einstellungen des Standard-Webbrowsers auf dem Benutzergerät konfiguriert sind. Konfigurieren Sie die Internet-Einstellungen des Standard-Webbrowsers auf dem Benutzergerät entsprechend.

Informationen zum Erzwingen von Proxy-Einstellungen über die ICA-Datei in StoreFront finden Sie im Knowledge Center-Artikel CTX136516.

Unterstützung für ausgehende Proxys

SmartControl ermöglicht Administratoren das Konfigurieren und Erzwingen von Richtlinien, die sich auf die Umgebung auswirken. Beispielsweise möchten Sie Benutzern möglicherweise verbieten, Laufwerke ihren Remotedesktops zuzuordnen. Diese Granularität erreichen Sie mit der SmartControl-Funktion auf dem Citrix Gateway.

Das Szenario ändert sich, wenn die Citrix Workspace-App und das Citrix Gateway zu separaten Unternehmenskonten gehören. In solchen Fällen kann die Client-Domäne die SmartControl-Funktion nicht anwenden, da das Gateway nicht in der Domäne existiert. Sie können dann den Outbound ICA Proxy verwenden. Die Outbound ICA Proxy-Funktion ermöglicht es Ihnen, die SmartControl-Funktion zu nutzen, selbst wenn die Citrix Workspace-App und das Citrix Gateway in verschiedenen Organisationen bereitgestellt werden.

Die Citrix Workspace-App unterstützt Sitzungsstarts über den NetScaler LAN-Proxy. Verwenden Sie das Outbound Proxy-Plug-in, um einen einzelnen statischen Proxy zu konfigurieren oder einen Proxy-Server zur Laufzeit auszuwählen.

Sie können ausgehende Proxys mit den folgenden Methoden konfigurieren:

  • Statischer Proxy: Der Proxy-Server wird durch Angabe eines Proxy-Hostnamens und einer Portnummer konfiguriert.
  • Dynamischer Proxy: Ein einzelner Proxy-Server kann aus einem oder mehreren Proxy-Servern mithilfe der Proxy-Plug-in-DLL ausgewählt werden.

Sie können den ausgehenden Proxy über die administrative Gruppenrichtlinienobjekt-Vorlage oder den Registrierungs-Editor konfigurieren.

Weitere Informationen zum ausgehenden Proxy finden Sie unter Outbound ICA Proxy support in der Citrix Gateway-Dokumentation.

Unterstützung für ausgehende Proxys – Konfiguration

Hinweis:

Wenn sowohl statische als auch dynamische Proxys konfiguriert sind, hat die dynamische Proxy-Konfiguration Vorrang.

Konfigurieren des ausgehenden Proxys mithilfe der administrativen GPO-Vorlage:

  1. Öffnen Sie die administrative Gruppenrichtlinienobjekt-Vorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.
  2. Navigieren Sie unter dem Knoten Computerkonfiguration zu Administrative Vorlagen > Citrix Workspace > Netzwerkrouting.
  3. Wählen Sie eine der folgenden Optionen:
    • Für statischen Proxy: Wählen Sie die Richtlinie NetScaler® LAN-Proxy manuell konfigurieren. Wählen Sie Aktiviert und geben Sie dann den Hostnamen und die Portnummer an.
    • Für dynamischen Proxy: Wählen Sie die Richtlinie NetScaler LAN-Proxy mithilfe von DLL konfigurieren. Wählen Sie Aktiviert und geben Sie dann den vollständigen Pfad zur DLL-Datei an. Zum Beispiel: C:\Workspace\Proxy\ProxyChooser.dll.
  4. Klicken Sie auf Übernehmen und OK.

Konfigurieren des ausgehenden Proxys mithilfe des Registrierungs-Editors:

  • Für statischen Proxy:
    • Starten Sie den Registrierungs-Editor und navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler.

    • Erstellen Sie DWORD-Wertschlüssel wie folgt:

      "StaticProxyEnabled"=dword:00000001 "ProxyHost"="testproxy1.testdomain.com "ProxyPort"=dword:000001bb

  • Für dynamischen Proxy:

    • Starten Sie den Registrierungs-Editor und navigieren Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxy.
    • Erstellen Sie DWORD-Wertschlüssel wie folgt: "DynamicProxyEnabled"=dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"

Verbindungen und Zertifikate

Verbindungen

  • HTTP-Store
  • HTTPS-Store
  • Citrix Gateway 10.5 und höher

Zertifikate

Hinweis:

Die Citrix Workspace-App für Windows ist digital signiert. Die digitale Signatur ist mit einem Zeitstempel versehen. Daher ist das Zertifikat auch nach Ablauf seiner Gültigkeit weiterhin gültig.

  • Privat (selbstsigniert)
  • Stamm
  • Platzhalter
  • Zwischen

Private (selbstsignierte) Zertifikate

Wenn ein privates Zertifikat auf dem Remote-Gateway vorhanden ist, installieren Sie das Stammzertifikat der Zertifizierungsstelle des Unternehmens auf dem Benutzergerät, das auf die Citrix-Ressourcen zugreift.

Hinweis:

Wenn das Zertifikat des Remote-Gateways bei der Verbindung nicht überprüft werden kann, wird eine Warnung vor einem nicht vertrauenswürdigen Zertifikat angezeigt. Diese Warnung wird angezeigt, wenn das Stammzertifikat im lokalen Keystore fehlt. Wenn ein Benutzer die Warnung ignoriert und fortfährt, werden die Apps zwar angezeigt, können aber nicht gestartet werden.

Stammzertifikate

Für in eine Domäne eingebundene Computer können Sie eine administrative Vorlage für Gruppenrichtlinienobjekte verwenden, um CA-Zertifikate zu verteilen und ihnen zu vertrauen.

Für nicht in eine Domäne eingebundene Computer kann das Unternehmen ein benutzerdefiniertes Installationspaket erstellen, um das CA-Zertifikat zu verteilen und zu installieren. Wenden Sie sich an Ihren Systemadministrator, um Unterstützung zu erhalten.

Platzhalterzertifikate

Platzhalterzertifikate werden auf einem Server innerhalb derselben Domäne verwendet.

Die Citrix Workspace-App unterstützt Platzhalterzertifikate. Verwenden Sie Platzhalterzertifikate gemäß der Sicherheitsrichtlinie Ihres Unternehmens. Eine Alternative zu Platzhalterzertifikaten ist ein Zertifikat mit der Liste der Servernamen und der Erweiterung Subject Alternative Name (SAN). Private und öffentliche Zertifizierungsstellen stellen diese Zertifikate aus.

Zwischenzertifikate

Wenn Ihre Zertifikatkette ein Zwischenzertifikat enthält, muss das Zwischenzertifikat an das Citrix Gateway-Serverzertifikat angehängt werden. Weitere Informationen finden Sie unter Konfigurieren von Zwischenzertifikaten.

Zertifikatsperrliste

Die Zertifikatsperrliste (Certificate Revocation List, CRL) ermöglicht der Citrix Workspace-App zu überprüfen, ob das Serverzertifikat widerrufen wurde. Die Zertifikatsprüfung verbessert die kryptografische Authentifizierung des Servers und die allgemeine Sicherheit der TLS-Verbindung zwischen dem Benutzergerät und einem Server.

Sie können die CRL-Prüfung auf mehreren Ebenen aktivieren. Es ist beispielsweise möglich, die Citrix Workspace-App so zu konfigurieren, dass sie nur ihre lokale Zertifikatsliste oder sowohl die lokale als auch die Netzwerkzertifikatsliste überprüft. Sie können die Zertifikatsprüfung auch so konfigurieren, dass sich Benutzer nur anmelden können, wenn alle CRLs überprüft wurden.

Wenn Sie die Zertifikatsprüfung auf Ihrem lokalen Computer konfigurieren, beenden Sie die Citrix Workspace-App. Überprüfen Sie, ob alle Citrix Workspace-Komponenten, einschließlich des Verbindungszentrums, geschlossen sind.

Weitere Informationen finden Sie im Abschnitt Transport Layer Security.

Unterstützung zur Abwehr von Man-in-the-Middle-Angriffen

Die Citrix Workspace-App für Windows hilft Ihnen, das Risiko eines Man-in-the-Middle-Angriffs mithilfe der Funktion Enterprise Certificate Pinning von Microsoft Windows zu reduzieren. Ein Man-in-the-Middle-Angriff ist eine Art von Cyberangriff, bei dem der Angreifer Nachrichten zwischen zwei Parteien, die glauben, direkt miteinander zu kommunizieren, heimlich abfängt und weiterleitet.

Zuvor gab es beim Kontakt mit dem Store-Server keine Möglichkeit zu überprüfen, ob die empfangene Antwort tatsächlich von dem Server stammt, den Sie kontaktieren wollten. Mithilfe der Funktion Enterprise Certificate Pinning von Microsoft Windows können Sie die Gültigkeit und Integrität des Servers überprüfen, indem Sie dessen Zertifikat anheften (pinnen).

Die Citrix Workspace-App für Windows ist vorkonfiguriert, um zu wissen, welches Serverzertifikat sie für eine bestimmte Domäne oder Site anhand der Regeln für das Zertifikats-Pinning erwarten muss. Wenn das Serverzertifikat nicht mit dem vorkonfigurierten Serverzertifikat übereinstimmt, verhindert die Citrix Workspace-App für Windows, dass die Sitzung stattfindet.

Informationen zur Bereitstellung der Funktion Enterprise Certificate Pinning finden Sie in der Microsoft-Dokumentation.

Hinweis:

Sie müssen sich des Ablaufs des Zertifikats bewusst sein und die Gruppenrichtlinien und Zertifikatsvertrauenslisten korrekt aktualisieren. Andernfalls kann es vorkommen, dass Sie die Sitzung nicht starten können, selbst wenn kein Angriff vorliegt.

Sichere Kommunikation
April 16, 2026
Beitrag von: 
C C
April 16, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.