Product Documentation

Sichern

Mar 03, 2016

Dieser Abschnitt enthält folgende Themen:

Zum Sichern der Kommunikation zwischen der Serverfarm und Citrix Receiver können Sie Citrix Receiver-Verbindungen zur Serverfarm mit zahlreichen Sicherheitsverfahren integrieren, u. a.:

  • Einen SOCKS-Proxyserver oder Secure Proxyserver (auch Security Proxyserver, HTTPS-Proxyserver oder SSL-Tunneling-Proxyserver genannt) Mit Proxyservern schränken Sie den Zugriff auf das und vom Netzwerk ein und verarbeiten Verbindungen zwischen Receiver und Servern. Receiver unterstützt die Protokolle SOCKS und Secure Proxy.
  • Secure Gateway- oder SSL-Relay-Lösungen mit Transport Layer Security (TLS)-Protokollen. Die TLS-Versionen 1.0 bis 1.2 werden unterstützt.
  • Eine Firewall. Firewalls entscheiden anhand der Zieladresse und des Zielports von Datenpaketen, ob diese Pakete weitergeleitet werden. Wenn Sie Receiver mit einer Firewall verwenden, die die interne Netzwerk-IP-Adresse des Servers einer externen Internetadresse zuweist (d. h. Netzwerkadressübersetzung oder NAT), konfigurieren Sie die externe Adresse.

Herstellen von Verbindungen über Proxyserver

Proxyserver werden zur Beschränkung des Netzwerkzugriffs sowie beim Herstellen von Verbindungen zwischen Citrix Receiver und Citrix XenApp- oder Citrix XenDesktop-Bereitstellungen verwendet. Citrix Receiver unterstützt das SOCKS-Protokoll zusammen mit Secure Gateway und Citrix SSL-Relay, das Secure Proxy-Protokoll und Windows NT Challenge/Response (NTLM)-Authentifizierung.

Die unterstützten Proxytypen sind durch die Inhalte von Trusted_Regions.ini und Untrusted_Regions.ini auf die Typen "Auto", "None" und "Wpad" beschränkt. Wenn Sie die Typen "SOCKS", "Secure" oder "Script" benötigen, bearbeiten Sie die genannten Dateien und fügen Sie die zusätzlichen Typen der Liste der zulässigen Typen hinzu.

Hinweis

Aktivieren Sie zur Gewährleistung einer sicheren Verbindung TLS.

Verbinden über einen sicheren Proxyserver

Durch das Konfigurieren des Secure Proxy-Protokolls wird gleichzeitig auch Unterstützung für Windows NT Challenge/Response (NTLM)-Authentifizierung aktiviert. Wenn dieses Protokoll zur Verfügung steht, wird es beim Start erkannt und ohne zusätzliche Konfiguration ausgeführt.

Important

Um NTLM verwenden zu können, muss die OpenSSL-Bibliothek libcrypto.so auf dem Benutzergerät installiert sein. Diese Bibliothek ist häufig in Linux-Distributionen enthalten, kann aber auch von http://www.openssl.org/ heruntergeladen werden.

Verbinden mit Secure Gateway oder dem Citrix SSL-Relay

Sie können Receiver in eine Umgebung mit Secure Gateway oder dem SSL-Relay (Secure Sockets Layer) integrieren. Receiver unterstützt das TLS-Protokoll. TLS (Transport Layer Security) ist die neueste normierte Version des SSL-Protokolls. Die IETF (Internet Engineering Taskforce) hat den Standard zu TLS umbenannt, als diese Organisation die Verantwortung für die Entwicklung von SSL als offenem Standard übernahm. TLS sichert die Datenkommunikation mit Serverauthentifizierung, Verschlüsselung des Datenstroms und Prüfen der Nachrichtenintegrität. Einige Organisationen, u. a. US-Regierungsbehörden, setzen TLS zum Schutz der Datenkommunikation voraus. Diese Organisationen verlangen ggf. auch die Verwendung überprüfter Kryptografie, wie FIPS 140 (Federal Information Processing Standard). FIPS 140 ist ein ist ein Kryptografiestandard.

Verbinden mit Secure Gateway

Sie können Secure Gateway im Modus Normal oder Relay verwenden, um einen sicheren Kommunikationskanal zwischen Citrix Receiver und dem Server bereitzustellen. Citrix Receiver muss nicht konfiguriert werden, wenn Sie Secure Gateway im Normalmodus verwenden und Benutzer eine Verbindung über das Webinterface herstellen.

Für Verbindungen mit Secure Gateway-Servern verwendet Citrix Receiver Einstellungen, die remote auf dem Webinterface-Server konfiguriert wurden. Informationen zum Konfigurieren der Proxyservereinstellungen für Citrix Receiver finden Sie in der Webinterface-Dokumentation.

Wenn Secure Gateway Proxy auf einem Server im sicheren Netzwerk installiert ist, können Sie Secure Gateway Proxy im Relaymodus verwenden. Weitere Informationen finden Sie in der XenApp-Dokumentation (Secure Gateway).

Wenn Sie den Relaymodus verwenden, fungiert der Secure Gateway-Server als Proxy und Sie müssen Citrix Receiver für die Verwendung konfigurieren:

  • Vollqualifizierter Domänenname (FQDN) des Secure Gateway-Servers.
  • Portnummer des Secure Gateway-Servers. Der Relaymodus wird von Secure Gateway, Version 2.0 nicht unterstützt.
Der FQDN muss der Reihe nach die folgenden Komponenten auflisten:
  • Hostname
  • Second-Level-Domäne
  • Top-Level-Domäne

my_computer.my_company.com ist ein vollqualifizierter Domänenname, da er – in der richtigen Reihenfolge – einen Hostnamen (my_computer), einen Second-Level-Domänennamen (my_company) und einen Top-Level-Domänennamen (com) auflistet. Die Kombination von Second-Level- und Top-Level-Domäne (my_company.com) wird im Allgemeinen als Domänenname bezeichnet.

Verbinden mit dem Citrix SSL-Relay

Das Citrix SSL-Relay verwendet standardmäßig den TCP-Port 443 auf dem XenApp-Server für TLS-gesicherte Kommunikation. Wenn das SSL-Relay eine TLS-Verbindung empfängt, werden die Daten entschlüsselt und dann an den Server übergeben. Wenn der Benutzer SSL/TLS+HTTPS-Browsing gewählt hat, werden die Daten an den Citrix XML-Dienst übergeben.

Wenn Sie SSL-Relay so konfigurieren, dass ein anderer Port als 443 abgehört wird, müssen Sie Citrix Receiver für diese geänderte Portnummer konfigurieren.

Mit dem Citrix SSL-Relay kann folgende Kommunikation gesichert werden:

  • Zwischen einem TLS-fähigen Benutzergerät und einem Server
  • Mit Webinterface zwischen dem XenApp-Server und dem Webserver

Weitere Informationen zum Konfigurieren und Sichern der Installation mit SSL-Relay finden Sie in der XenApp-Dokumentation. Weitere Informationen zum Konfigurieren des Webinterface für die TLS-Verschlüsselung finden Sie in der Webinterface-Dokumentation.

Konfigurieren und Aktivieren von TLS

Die Versionen des TLS-Protokolls, die ausgehandelt werden können, können Sie steuern, indem Sie die folgenden Konfigurationsoptionen im Abschnitt [WFClient] hinzufügen:

  • MinimumTLS=1.0
  • MaximumTLS=1.2

Dies sind die Standardwerte, die als Code implementiert werden. Passen Sie sie nach Bedarf an.

Hinweis: Diese Werte werden bei jedem Programmstart gelesen. Wenn Sie sie nach dem Start von selfservice oder storebrowse ändern, geben Sie Folgendes ein: killall AuthManagerDaemon ServiceRecord selfservice storebrowse.

Hinweis: Diese Version von Citrix Receiver für Linux deaktiviert die Verwendung des SSLv3-Protokolls.
Für TCP-Verbindungen zwischen Citrix Receiver und XenApp/XenDesktop unterstützt Citrix Receiver für Linux TLS 1.0, 1.1 und 1.2 mit den folgenden Verschlüsselungssammlungen:
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA
Für UDP-Verbindungen zwischen Citrix Receiver und XenApp/XenDesktop unterstützt Citrix Receiver für Linux DTLS 1.0 mit den folgenden Verschlüsselungssammlungen:
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Installieren von Stammzertifikaten auf Benutzergeräten

Zur Verwendung von TLS benötigen Sie ein Stammzertifikat auf dem Benutzergerät, das die Signatur der Zertifizierungsstelle auf dem Serverzertifikat überprüfen kann. Standardmäßig unterstützt Citrix Receiver die folgenden Zertifikate.
ZertifikatZertifizierungsstelle
Class4PCA_G2_v2.pemVeriSign Trust Network
Class3PCA_G2_v2.pemVeriSign Trust Network
BTCTRoot.pemBaltimore Cyber Trust Root
GTECTGlobalRoot.pemGTE Cyber Trust Global Root
Pcs3ss_v4.pemClass 3 Public Primary Certification Authority
GeoTrust_Global_CA.pemGeoTrust

Für die Verwendung der Zertifikate von diesen Zertifizierungsstellen ist es nicht erforderlich, Stammzertifikate zu beziehen und auf dem Benutzergerät zu installieren. Wenn Sie sich jedoch entscheiden, eine andere Zertifizierungsstelle zu verwenden, müssen Sie ein Stammzertifikat dieser Zertifizierungsstelle haben und es auf jedem Benutzergerät installieren.

Wichtig: Citrix Receiver unterstützt nur Schlüssel mit maximal 4096 Bits. Sie müssen sicherstellen, dass die Stamm- und Zwischenzertifikate der Zertifizierungsstellen sowie ihre Serverzertifikate maximal 4096 Bits lang sind.
Hinweis: Receiver für Linux 13.0 verwendet c_rehash vom lokalen Gerät. Version 13.1 und höhere Versionen verwenden das Tool ctx_rehash wie in den folgenden Schritten beschrieben.

Verwenden eines Stammzertifikats

Wenn Sie ein Serverzertifikat authentifizieren müssen, das von einer Zertifizierungsstelle ausgestellt wurde und dem von dem Benutzergerät noch nicht vertraut wird, befolgen Sie die nachfolgenden Anweisungen, bevor Sie einen StoreFront-Store hinzufügen.

  1. Beziehen Sie das Stammzertifikat im PEM-Format.
    Tipp: Wenn Sie kein Zertifikat in diesem Format finden, konvertieren Sie mit dem Hilfsprogramm openssl ein Zertifikat im CRT-Format in eine PEM- Datei.
  2. Als Benutzer, der das Paket installiert hat (normalerweise root):
    1. Kopieren Sie die Datei in $ICAROOT/keystore/cacerts.
    2. Führen Sie den folgenden Befehl aus:
      $ICAROOT/util/ctx_rehash

Verwenden Sie ein Zwischenzertifikat

Wenn der StoreFront-Server keine Zwischenzertifikate bereitstellen kann, die dem verwendeten Zertifikat entsprechen, oder Sie Zwischenzertifikate für die Unterstützung von Smartcard-Benutzern installieren müssen, führen Sie die diese Schritte aus, bevor Sie einen StoreFront-Store hinzufügen.

  1. Besorgen Sie sich die einzelnen Zwischenzertifikate im PEM-Format.
    Tipp: Wenn Sie kein Zertifikat in diesem Format finden, konvertieren Sie mit dem Hilfsprogramm openssl ein Zertifikat im CRT-Format in eine PEM- Datei.
  2. Als Benutzer, der das Paket installiert hat (normalerweise root):
    1. Kopieren Sie die Datei(en) zu $ICAROOT/keystore/intcerts.
    2. Führen Sie den folgenden Befehl als Benutzer, der das Paket installiert hat, aus:
      $ICAROOT/util/ctx_rehash

Aktivieren der Smartcard-Unterstützung

Citrix Receiver für Linux unterstützt zahlreiche Smartcardleser. Wenn Smartcard-Unterstützung sowohl auf dem Server als auch Receiver aktiviert ist, können Smartcards zu folgenden Zwecken eingesetzt werden:

  • Smartcard-Anmeldeauthentifizierung: Verwendung von Smartcards zur Authentifizierung von Benutzern an Citrix XenApp-Servern.
  • Smartcard-Anwendungsunterstützung: Zugriff auf lokale Smartcardgeräte über smartcard-fähige veröffentlichte Anwendungen.

Die sicherheitsrelevanten Smartcarddaten sollten über einen sicheren, authentifizierten Kanal, wie z. B. TLS, übertragen werden.

Für die Smartcard-Unterstützung müssen folgende Voraussetzungen erfüllt sein:

  • Die Smartcardleser und die veröffentlichten Anwendungen müssen dem PC/SC-Industriestandard entsprechen.
  • Für den Smartcardleser muss der geeignete Treiber installiert werden.
  • Sie müssen das PC/SC Lite-Paket installieren.
  • Sie müssen den pcscd Daemon installieren und ausführen, der Middleware für den Zugriff auf die Smartcard mit PC/SC bereitstellt.
  • Auf einem 64-Bit-System muss die 64-Bit- und 32-Bit-Version des "libpscslite1"-Pakets vorhanden sein.
Wichtig: Wenn Sie das Sun Ray-Terminal mit Sun Ray-Serversoftware (Version 2.0 oder höher) verwenden, müssen Sie das PC/SC SRCOM-Bypass-Paket installieren, das unter http://www.sun.com/ zum Download zur Verfügung steht.

Weitere Informationen zur Konfiguration der Smartcard-Unterstützung auf den Servern finden Sie in der Dokumentation für XenDesktop und XenApp.

Verbindungen über NetScaler Gateway

Citrix NetScaler Gateway (früher Access Gateway) sichert Verbindungen mit StoreFront-Stores und ermöglicht Administratoren eine genaue Steuerung des Benutzerzugriffs auf Desktops und Anwendungen.

Herstellen einer Verbindung mit Desktops und Anwendungen über NetScaler Gateway

  1. Geben Sie die vom Administrator erhaltene NetScaler Gateway-URL ein. Dafür stehen folgende Methoden zur Auswahl:
    • Bei der ersten Verwendung der Self-Service-Benutzeroberfläche werden Sie aufgefordert, die URL im Dialogfeld Konto hinzufügen einzugeben.
    • Wenn Sie die Self-Service-Benutzeroberfläche später verwenden, geben Sie die URL ein, indem Sie auf Einstellungen > Konten > Hinzufügen klicken.
    • Beim Herstellen einer Verbindung mit dem Befehl "storebrowse" geben Sie die URL in der Befehlszeile ein.

    Über die URL wird das Gateway und optional ein bestimmter Store angegeben:

    • Zum Herstellen einer Verbindung mit dem ersten Store, den Receiver findet, verwenden Sie eine URL des Formats https://gateway.company.com.
    • Zum Herstellen einer Verbindung mit einem bestimmten Store verwenden Sie eine URL im Format https://gateway.company.com?. Diese dynamische URL besitzt kein standardmäßiges Format, verwenden Sie kein = (Gleichheitszeichen) in der URL. Beim Herstellen einer Verbindung mit einem bestimmten Store mit storebrowse müssen Sie die URL im storebrowse-Befehl wahrscheinlich in Anführungszeichen setzen.
  2. Wenn Sie dazu aufgefordert werden, stellen Sie eine Verbindung mit dem Store (über das Gateway) unter Verwendung Ihres Benutzernamens, Kennworts und Sicherheitstokens her. Weitere Informationen zu diesem Schritt finden Sie in der NetScaler Gateway-Dokumentation.

    Wenn die Authentifizierung abgeschlossen ist, werden Ihre Desktops und Anwendungen angezeigt.