Citrix

Produktdokumentation



Ganzes Dokument herunterladen

Verbinden mit Secure Gateway oder Citrix SSL-Relay

Nov. 20, 2015

Sie können Receiver in eine Umgebung mit Secure Gateway oder dem SSL (Secure Sockets Layer)-Relay integrieren. Receiver unterstützt das TLS-Protokoll. TLS (Transport Layer Security) ist die neueste normierte Version des SSL-Protokolls. Die IETF (Internet Engineering Taskforce) hat den Standard zu TLS umbenannt, als diese Organisation die Verantwortung für die Entwicklung von SSL als offenem Standard übernahm. TLS sichert die Datenkommunikation mit Serverauthentifizierung, Verschlüsselung des Datenstroms und Prüfen der Nachrichtenintegrität. Einige Organisationen, u. a. US-Regierungsbehörden, setzen TLS zum Schutz der Datenkommunikation voraus. Diese Organisationen verlangen ggf. auch die Verwendung überprüfter Kryptografie, wie z. B. FIPS 140. FIPS (Federal Information Processing Standard) ist ein Kryptografiestandard. FIPS 140 ist ein Standard für die Kryptografie.

Verbinden mit Secure Gateway

Sie können Secure Gateway im Modus Normal oder Relay verwenden, um einen sicheren Kommunikationskanal zwischen Receiver und dem Server bereitzustellen. Receiver muss nicht konfiguriert werden, wenn Sie Secure Gateway im Normalmodus verwenden und Benutzer eine Verbindung über das Webinterface herstellen.

Für Verbindungen mit Secure Gateway-Servern verwendet Receiver Einstellungen, die remote auf dem Webinterface-Server konfiguriert wurden. Informationen zum Konfigurieren der Proxyservereinstellungen für Receiver finden Sie in der Webinterface-Dokumentation.

Wenn Secure Gateway Proxy auf einem Server im sicheren Netzwerk installiert ist, können Sie Secure Gateway Proxy im Relaymodus verwenden. Weitere Informationen finden Sie in der XenApp-Dokumentation (Secure Gateway).

Wenn Sie den Relaymodus verwenden, fungiert der Secure Gateway-Server als Proxy und Sie müssen Receiver für die Verwendung konfigurieren:

  • Vollqualifizierter Domänenname (FQDN) des Secure Gateway-Servers.
  • Portnummer des Secure Gateway-Servers. Der Relaymodus wird von Secure Gateway, Version 2.0 nicht unterstützt.
Der FQDN muss der Reihe nach die folgenden Komponenten auflisten:
  • Host name
  • Second-Level-Domäne
  • Top-Level-Domäne

my_computer.my_company.com ist ein vollqualifizierter Domänenname, da er – in der richtigen Reihenfolge – einen Hostnamen (my_computer), einen Second-Level-Domänennamen (my_company) und einen Top-Level-Domänennamen (com) auflistet. Die Kombination von Second-Level- und Top-Level-Domäne (my_company.com) wird im Allgemeinen als Domänenname bezeichnet.

Verbinden mit dem Citrix SSL-Relay

Das Citrix SSL-Relay verwendet standardmäßig den TCP-Port 443 auf dem XenApp-Server für TLS-gesicherte Kommunikation. Wenn das SSL-Relay eine TLS-Verbindung empfängt, werden die Daten entschlüsselt und dann an den Server übergeben. Wenn der Benutzer SSL/TLS+HTTPS-Browsing gewählt hat, werden die Daten an den Citrix XML-Dienst übergeben.

Wenn Sie SSL-Relay so konfigurieren, dass ein anderer Port als 443 abgehört wird, müssen Sie Receiver für diese geänderte Portnummer konfigurieren.

Mit dem Citrix SSL-Relay kann folgende Kommunikation gesichert werden:

  • Zwischen einem TLS-fähigen Benutzergerät und einem Server
  • Mit Webinterface zwischen dem XenApp-Server und dem Webserver

Weitere Informationen zum Konfigurieren und Sichern der Installation mit SSL-Relay finden Sie in der XenApp-Dokumentation. Weitere Informationen zum Konfigurieren des Webinterface für die TLS-Verschlüsselung finden Sie in der Webinterface-Dokumentation.

Weitere Informationen zum Konfigurieren und Sichern der Installation mit SSL-Relay finden Sie in der XenApp-Dokumentation. Weitere Informationen zum Konfigurieren des Webinterface für die TLS-Verschlüsselung finden Sie in der Webinterface-Dokumentation.

Konfigurieren und Aktivieren von TLS

Damit Receiver Verbindungen nur mit TLS herstellt, müssen Sie TLS auf dem Secure Gateway-Server oder dem SSL-Relay angeben. Weitere Informationen finden Sie in der Secure Gateway- oder SSL-Relay-Dienst-Dokumentation.
Hinweis: Diese Version von Receiver für Linux deaktiviert die Verwendung des SSLv3-Protokolls.

Weitere Informationen über Secure Gateway für Windows oder Citrix SSL-Relay finden Sie in der XenApp-Dokumentation.

Installieren von Stammzertifikaten auf Benutzergeräten

Zur Verwendung von TLS benötigen Sie ein Stammzertifikat auf dem Benutzergerät, das die Signatur der Zertifizierungsstelle auf dem Serverzertifikat überprüfen kann. Standardmäßig unterstützt Receiver die folgenden Zertifikate.
Zertifikat Zertifizierungsstelle
Class4PCA_G2_v2.pem VeriSign Trust Network
Class3PCA_G2_v2.pem VeriSign Trust Network
BTCTRoot.pem Baltimore Cyber Trust Root
GTECTGlobalRoot.pem GTE Cyber Trust Global Root
Pcs3ss_v4.pem Class 3 Public Primary Certification Authority
GeoTrust_Global_CA.pem GeoTrust

Für die Verwendung der Zertifikate von diesen Zertifizierungsstellen ist es nicht erforderlich, Stammzertifikate zu beziehen und auf dem Benutzergerät zu installieren. Wenn Sie sich jedoch entscheiden, eine andere Zertifizierungsstelle zu verwenden, müssen Sie ein Stammzertifikat dieser Zertifizierungsstelle haben und es auf jedem Benutzergerät installieren.

Wichtig: Receiver unterstützt nur Schlüssel mit maximal 4096 Bits. Sie müssen sicherstellen, dass die Stamm- und Zwischenzertifikate der Zertifizierungsstellen sowie ihre Serverzertifikate maximal 4096 Bits lang sind.
Hinweis: Receiver für Linux 13.0 verwendet c_rehash vom lokalen Gerät. Version 13.1 und höhere Versionen verwenden das Tool ctx_rehash wie in den folgenden Schritten beschrieben.

Verwenden eines Stammzertifikats

Wenn Sie ein Serverzertifikat authentifizieren müssen, das von einer Zertifizierungsstelle ausgestellt wurde und dem von dem Benutzergerät noch nicht vertraut wird, befolgen Sie die nachfolgenden Anweisungen, bevor Sie einen StoreFront-Store hinzufügen.

  1. Beziehen Sie das Stammzertifikat im PEM-Format.
    Tipp: Wenn Sie kein Zertifikat in diesem Format finden, konvertieren Sie mit dem Hilfsprogramm openssl ein Zertifikat im CRT-Format in eine PEM- Datei.
  2. Als Benutzer, der das Paket installiert hat (normalerweise root):
    1. Kopieren Sie die Datei in $ICAROOT/keystore/cacerts.
    2. Führen Sie den folgenden Befehl aus:
      $ICAROOT/util/ctx_rehash

Verwenden Sie ein Zwischenzertifikat

  1. Besorgen Sie sich die einzelnen Zwischenzertifikate im PEM-Format.
    Tipp: Wenn Sie kein Zertifikat in diesem Format finden, konvertieren Sie mit dem Hilfsprogramm openssl ein Zertifikat im CRT-Format in eine PEM- Datei.
  2. Als Benutzer, der das Paket installiert hat (normalerweise root):
    1. Kopieren Sie die Datei(en) zu $ICAROOT/keystore/intcerts.
    2. Führen Sie den folgenden Befehl als Benutzer, der das Paket installiert hat, aus:
      $ICAROOT/util/ctx_rehash
Back to Top