Konfigurieren und Aktivieren von TLS

4. Juni 2018

Dieses Thema gilt für Citrix Virtual Apps and Desktops-Version 7.6 und höher.

Wenn Sie ausschließlich TLS-Verschlüsselung für die Kommunikation der Citrix Workspace-App verwenden möchten, konfigurieren Sie das Benutzergerät, die Citrix Workspace-App und, wenn Sie das Webinterface verwenden, den Webinterface-Server. Informationen zum Sichern der StoreFront-Kommunikation finden Sie unter Sichern in der StoreFront-Dokumentation. Weitere Informationen zum Sichern des Webinterface finden Sie im Abschnitt zur Sicherheit in der Webinterface-Dokumentation.

Voraussetzungen

Benutzergeräte müssen die in den [Systemanforderungen] angegebenen Anforderungen erfüllen.(/de-de/citrix-workspace-app-for-windows/system-requirements.html)

Diese Richtlinie ermöglicht das Konfigurieren der TLS-Optionen, sodass die Citrix Workspace-App den Server für die Verbindung sicher identifizieren kann, und sie ermöglicht die Verschlüsselung der gesamten Kommunikation mit dem Server.

Diese Optionen ermöglichen Folgendes:

  • Erzwingen der Verwendung von TLS: Citrix empfiehlt, für alle Verbindungen über nicht vertrauenswürdige Netzwerke, einschließlich für das Internet, TLS zu verwenden.
  • Erzwingen der Verwendung der für FIPS (Federal Information Processing Standards): genehmigte Kryptografie und Einhalten der Empfehlungen im Dokument NIST SP 800-52. Diese Optionen sind standardmäßig deaktiviert.
  • Erzwingen der Verwendung einer bestimmten Version von TLS und bestimmter TLS-Verschlüsselungssammlungen: Citrix unterstützt die Protokolle TLS 1.0, TLS 1.1 und TLS 1.2 zwischen der Citrix Workspace-App für Windows und Citrix Virtual Apps and Desktops.
  • Herstellen von Verbindungen mit bestimmten Servern.
  • Überprüfen, ob das Serverzertifikat widerrufen wurde.
  • Überprüfen auf eine bestimmte Serverzertifikatausstellungsrichtlinie.
  • Auswählen eines bestimmten Clientzertifikats, wenn der Server für die Anforderung konfiguriert ist.

Konfigurieren der TLS-Unterstützung über die administrative Gruppenrichtlinienobjektvorlage

  1. Öffnen Sie als Administrator die administrative Gruppenrichtlinienobjektvorlage der Citrix Workspace-App, indem Sie gpedit.msc ausführen.

    • Um die Richtlinie auf einen einzigen Computer anzuwenden, starten Sie die administrative Gruppenrichtlinienobjektvorlage von Citrix Workspace über das Startmenü.
    • Um die Richtlinie auf eine Domäne anzuwenden, starten Sie die administrative Gruppenrichtlinienobjektvorlage von Citrix Workspace in der Gruppenrichtlinien-Verwaltungskonsole.
  2. Navigieren Sie unter dem Knoten “Computerkonfiguration” zu Administrative Vorlagen > Citrix Workspace > Netzwerkrouting. Wählen Sie dann die Richtlinie Konfiguration von TLS und Konformitätsmodus.

    lokalisiertes Bild

  3. Wählen Sie Aktiviert, um sichere Verbindungen zu aktivieren und die Kommunikation auf dem Server zu verschlüsseln. Legen Sie folgende Optionen fest:

    Hinweis

    Citrix empfiehlt TLS für sichere Verbindungen.

  4. Aktivieren Sie TLS für alle Verbindungen verwenden. Damit erzwingen Sie, dass die Citrix Workspace-App TLS für alle Verbindungen mit veröffentlichten Anwendungen und Desktops verwendet.

  5. Wählen Sie im Dropdownmenü zum Sicherheitskonformitätsmodus die geeignete Option aus:

    1. Ohne: Es wird kein Konformitätsmodus erzwungen.
    2. SP800-52: Wählen Sie SP800-52 für Konformität mit NIST SP 800-52. Wählen Sie diese Option nur, wenn Server oder Gateway den Empfehlungen von NIST SP 800-52 entsprechen.

      Hinweis

      Bei Auswahl von SP800-52 wird automatisch FIPS-validierte Kryptografie verwendet, selbst wenn FIPS aktivieren nicht ausgewählt ist. Sie müssen auch die Windows-Sicherheitsoption Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden aktivieren. Andernfalls kann die Citrix Workspace-App u. U. keine Verbindung zu den veröffentlichten Anwendungen und Desktops herstellen.

      Wenn Sie SP800-52 auswählen, müssen Sie für die Richtlinie Zertifikatsperrüberprüfung die Einstellung Volle Zugriffsprüfung oder Volle Zugriffsprüfung und CRL erforderlich auswählen.

      Wenn Sie SP800-52 auswählen, überprüft die Citrix Workspace-App, ob das Serverzertifikat den Empfehlungen in NIST SP 800-52 entspricht. Wenn dies nicht der Fall ist, kann die Citrix Workspace-App möglicherweise keine Verbindung herstellen.

    3. FIPS aktivieren: Wählen Sie diese Option, um die Verwendung von FIPS-validierter Kryptografie zu erzwingen. Sie müssen auch die Windows-Sicherheitsoption aus der Gruppenrichtlinie des Betriebssystems Systemkryptografie: FIPS-konformen Algorithmus für Verschlüsselung, Hashing und Signatur verwenden aktivieren. Andernfalls kann die Citrix Workspace-App u. U. keine Verbindung zu veröffentlichten Anwendungen und Desktops herstellen.
  6. Wählen Sie im Dropdownmenü neben Zulässige TLS-Server die Portnummer aus. Sie können festlegen, dass die Citrix Workspace-App für Windows nur eine Verbindung zu den Servern herstellt, die in einer durch Trennzeichen getrennten Liste aufgeführt sind. Sie können Platzhalter und Portnummern angeben. Beispielsweise ermöglicht *.citrix.com:4433 die Verbindung mit allen Servern auf Port 4433, deren allgemeiner Name mit .citrix.com endet. Die Genauigkeit der Informationen in einem Sicherheitszertifikat wird durch den Aussteller des Zertifikats bestätigt. Wenn Citrix Workspace den Aussteller nicht erkennt und ihm nicht traut, wird die Verbindung abgelehnt.

  7. Wählen Sie im Dropdownmenü neben TLS-Version eine der folgenden Optionen:

    • TLS 1.0, TLS 1.1 oder TLS 1.2: Dies ist die Standardeinstellung. Diese Option wird nur empfohlen, wenn die Kompatibilität mit TLS 1.0 eine Geschäftsanforderung ist.

    • TLS 1.1, TLS 1.2: Mit dieser Option stellen Sie sicher, dass TLS 1.1 oder TLS 1.2 für ICA-Verbindungen verwendet wird.

    • TLS 1.2: Diese Option wird empfohlen, wenn TLS 1.2 eine Geschäftsanforderung ist.

  8. TLS-Verschlüsselungssatz: Um die Verwendung von bestimmten TLS-Verschlüsselungssätzen zu erzwingen, wählen Sie “Behörden” (GOV), “Kommerziell” (COM) oder “Alle” (ALLE). Bei bestimmten Citrix Gateway-Konfigurationen müssen Sie u. U. die Option “Kommerziell (COM)” wählen. Die Citrix Workspace-App unterstützt RSA-Schlüssellängen von 1024, 2048 und 3072 Bits. Darüber hinaus werden Stammzertifikate mit RSA-Schlüsseln von 4096 Bits Länge unterstützt.

    Hinweis

    RSA-Schlüssel mit einer Länge von 1024 Bits werden von Citrix nicht empfohlen.

    • Beliebig: Bei Verwendung der Einstellung “Beliebig” wird die Richtlinie nicht konfiguriert und jede der folgenden Verschlüsselungssammlungen ist zulässig:

      1. TLS_RSA_WITH_RC4_128_MD5
      2. TLS_RSA_WITH_RC4_128_SHA
      3. TLS_RSA_WITH_3DES_EDE_CBC_SHA
      4. TLS_RSA_WITH_AES_128_CBC_SHA
      5. TLS_RSA_WITH_AES_256_CBC_SHA
      6. TLS_RSA_WITH_AES_128_GCM_SHA256
      7. TLS_RSA_WITH_AES_256_GCM_SHA384
    • Kommerziell: Bei Verwendung der Einstellung “Kommerziell’ sind nur die folgenden Verschlüsselungssammlungen zulässig:

      1. TLS_RSA_WITH_RC4_128_MD5
      2. TLS_RSA_WITH_RC4_128_SHA
      3. TLS_RSA_WITH_AES_128_CBC_SHA
      4. TLS_RSA_WITH_AES_128_GCM_SHA256
    • Behörden: Bei Verwendung der Einstellung “Behörden” sind nur die folgenden Verschlüsselungssammlungen zulässig:

      1. TLS_RSA_WITH_AES_256_CBC_SHA
      2. TLS_RSA_WITH_3DES_EDE_CBC_SHA
      3. TLS_RSA_WITH_AES_128_GCM_SHA256
      4. TLS_RSA_WITH_AES_256_GCM_SHA384
  9. Wählen Sie im Dropdownmenü zur Richtlinie Zertifikatsperrüberprüfung eine der folgenden Optionen aus:

    • Prüfung ohne Netzwerkzugriff: Es wird eine Überprüfung der Zertifikatsperrliste durchgeführt. Es werden nur lokale Zertifikatsperrlisten-Stores verwendet. Alle Verteilungspunkte werden ignoriert. Das Finden einer Zertifikatsperrliste ist für die Überprüfung des Serverzertifikats, das vom Ziel-SSL-Relay bzw. Citrix Secure Web Gateway-Server vorgelegt wird, nicht obligatorisch.

    • Volle Zugriffsprüfung: Es wird eine Überprüfung der Zertifikatsperrliste durchgeführt. Lokale Zertifikatsperrlisten-Stores und alle Verteilungspunkte werden verwendet. Wenn Sperrinformationen für ein Zertifikat gefunden werden, wird die Verbindung abgelehnt. Das Finden einer Zertifikatsperrliste ist für die Überprüfung des Serverzertifikats, das vom Zielserver vorgelegt wird, nicht wichtig.

    • Volle Zugriffsprüfung und CRL erforderlich: Die Zertifikatsperrliste wird ohne Stamm-Zertifizierungsstelle überprüft. Lokale Zertifikatsperrlisten-Stores und alle Verteilungspunkte werden verwendet. Wenn Sperrinformationen für ein Zertifikat gefunden werden, wird die Verbindung abgelehnt. Das Finden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung wichtig.

    • Volle Zugriffsprüfung und alle CRL erforderlich: Die Zertifikatsperrliste und die Stamm-Zertifizierungsstelle werden überprüft. Lokale Zertifikatsperrlisten-Stores und alle Verteilungspunkte werden verwendet. Wenn Sperrinformationen für ein Zertifikat gefunden werden, wird die Verbindung abgelehnt. Das Finden aller erforderlichen Zertifikatsperrlisten ist für die Überprüfung wichtig.

    • Keine Prüfung: Es wird keine Überprüfung der Zertifikatsperrliste durchgeführt.

  10. Mit der Richtlinienerweiterungs-OID können Sie die Citrix Workspace-App auf Verbindungen mit Servern beschränken, auf denen eine bestimmte Zertifikatausstellungsrichtlinie festgelegt ist. Wenn Sie Richtlinienerweiterungs-OID auswählen, akzeptiert die Citrix Workspace-App nur Serverzertifikate mit dieser Richtlinienerweiterungs-OID.

  11. Wählen Sie im Dropdownmenü zur Clientauthentifizierung eine der folgenden Optionen aus:

    • Deaktiviert: Die Clientauthentifizierung ist deaktiviert.

    • Zertifikatauswähler anzeigen: Der Benutzer wird immer aufgefordert, ein Zertifikat auszuwählen.

    • Wenn möglich automatisch auswählen: Die Aufforderung wird nur angezeigt, wenn mehrere Zertifikate zur Identifizierung ausgewählt werden können.

    • Nicht konfiguriert: Gibt an, dass die Clientauthentifizierung nicht konfiguriert ist.

    • Angegebenes Zertifikat verwenden: Verwenden Sie das unter “Clientzertifikat” festgelegte Clientzertifikat.

  12. Geben Sie mit der Einstellung Clientzertifikat den Fingerabdruck des Zertifikats an, damit der Benutzer nicht unnötige Aufforderungen erhält.

  13. Klicken Sie auf Anwenden und auf OK, um die Richtlinie zu speichern.

Die folgende Tabelle enthält die Verschlüsselungssammlungen in jeder Gruppe:

lokalisiertes Bild

Konfigurieren und Aktivieren von TLS