Product Documentation

Verbinden mit Secure Gateway oder Citrix SSL-Relay

Apr 30, 2015

Sie können Receiver in eine Umgebung mit Secure Gateway oder dem SSL (Secure Sockets Layer)-Relay integrieren. Receiver unterstützt sowohl das SSL- als auch das TLS-Protokoll.

  • SSL bietet starke Verschlüsselung, um die Sicherheit der ICA-Verbindungen zu erhöhen, und zertifikatbasierte Serverauthentifizierung, um die Identität des Servers zu gewährleisten, zu dem Sie eine Verbindung herstellen.
  • TLS (Transport Layer Security) ist die neueste normierte Version des SSL-Protokolls. Die IETF (Internet Engineering Taskforce) hat den Standard zu TLS umbenannt, als diese Organisation die Verantwortung für die Entwicklung von SSL als offenem Standard übernahm. TLS sichert die Datenkommunikation mit Serverauthentifizierung, Verschlüsselung des Datenstroms und Prüfen der Nachrichtenintegrität. Da nur geringe technische Unterschiede zwischen SSL Version 3.0 und TLS Version 1.0 bestehen, können die für SSL in der Softwareinstallation verwendeten Zertifikate auch für TLS verwendet werden. Einige Organisationen, u. a. amerikanische Regierungsstellen, verlangen das Sichern der Datenkommunikation mit TLS. Diese Organisationen verlangen ggf. auch die Verwendung überprüfter Kryptografie, wie FIPS 140 (Federal Information Processing Standard). FIPS 140 ist ein Standard für die Kryptografie.

Verbinden mit Secure Gateway

Sie können Secure Gateway im Modus Normal oder Relay verwenden, um einen sicheren Kommunikationskanal zwischen Receiver und dem Server bereitzustellen. Receiver muss nicht konfiguriert werden, wenn Sie Secure Gateway im Normalmodus verwenden und Benutzer eine Verbindung über das Webinterface herstellen.

Für Verbindungen mit Secure Gateway-Servern verwendet Receiver Einstellungen, die remote auf dem Webinterface-Server konfiguriert wurden. Informationen zum Konfigurieren der Proxyservereinstellungen für Receiver finden Sie in der Webinterface-Dokumentation.

Wenn Secure Gateway Proxy auf einem Server im sicheren Netzwerk installiert ist, können Sie Secure Gateway Proxy im Relaymodus verwenden. Weitere Informationen finden Sie in der XenApp-Dokumentation (Secure Gateway).

Wenn Sie den Relaymodus verwenden, fungiert der Secure Gateway-Server als Proxy und Sie müssen Receiver für die Verwendung konfigurieren:

  • Vollqualifizierter Domänenname (FQDN) des Secure Gateway-Servers.
  • Portnummer des Secure Gateway-Servers. Der Relaymodus wird von Secure Gateway, Version 2.0 nicht unterstützt.
Der FQDN muss der Reihe nach die folgenden Komponenten auflisten:
  • Hostname
  • Second-Level-Domäne
  • Top-Level-Domäne

Beispiel: my_computer.my_company.com ist ein vollqualifizierter Domänenname, da er nacheinander einen Hostnamen (my_computer), einen Second-Level-Domänennamen (my_company) und einen Top-Level-Domänennamen (com) auflistet. Die Kombination von Second-Level- und Top-Level-Domäne (my_company.com) wird im Allgemeinen als Domänenname bezeichnet.

Verbinden mit dem Citrix SSL-Relay

Das Citrix SSL-Relay verwendet standardmäßig den TCP-Port 443 auf dem XenApp-Server für SSL/TLS-gesicherte Kommunikation. Wenn das SSL-Relay eine SSL-Verbindung empfängt, werden die Daten entschlüsselt und dann an den Server übergeben. Wenn der Benutzer SSL+HTTPS-Browsing gewählt hat, werden die Daten an den Citrix XML-Dienst übergeben.

Wenn Sie SSL-Relay so konfigurieren, dass ein anderer Port als 443 abgehört wird, müssen Sie Receiver für diese geänderte Portnummer konfigurieren.

Mit dem Citrix SSL-Relay kann folgende Kommunikation gesichert werden:

  • Zwischen einem SSL/TLS-fähigen Benutzergerät und einem Server
  • Mit Webinterface zwischen dem XenApp-Server und dem Webserver

Weitere Informationen zum Konfigurieren und Sichern der Installation mit SSL-Relay finden Sie in der XenApp-Dokumentation. Weitere Informationen zum Konfigurieren des Webinterface für die SSL/TLS-Verschlüsselung finden Sie in der Webinterface-Dokumentation.

Konfigurieren und Aktivieren von SSL und TLS

SSL und TLS werden auf gleiche Art und Weise konfiguriert, verwenden dieselben Zertifikate und sind gleichzeitig aktiviert.

Wenn Sie SSL und TLS aktivieren, versucht Receiver beim Herstellen einer Verbindung zuerst TLS und dann SSL zu verwenden. Wenn die Verbindung mit SSL fehlschlägt, wird eine Fehlermeldung angezeigt.

Damit Receiver Verbindungen nur mit TLS herstellt, müssen Sie TLS auf dem Secure Gateway-Server oder dem SSL-Relay angeben. Weitere Informationen finden Sie in der Secure Gateway- oder SSL-Relay-Dienst-Dokumentation.

Weitere Informationen über Secure Gateway für Windows oder Citrix SSL-Relay finden Sie in der XenApp-Dokumentation.

Installieren von Stammzertifikaten auf Benutzergeräten

Zur Verwendung von SSL oder TLS benötigen Sie ein Stammzertifikat auf dem Benutzergerät, das die Signatur der Zertifizierungsstelle auf dem Serverzertifikat überprüfen kann. Standardmäßig unterstützt Receiver die folgenden Zertifikate.
Zertifikat Zertifizierungsstelle
Class4PCA_G2_v2.pem VeriSign Trust Network
Class3PCA_G2_v2.pem VeriSign Trust Network
BTCTRoot.pem Baltimore Cyber Trust Root
GTECTGlobalRoot.pem GTE Cyber Trust Global Root
Pcs3ss_v4.pem Class 3 Public Primary Certification Authority

Für die Verwendung der Zertifikate von diesen Zertifizierungsstellen ist es nicht erforderlich, Stammzertifikate zu beziehen und auf dem Benutzergerät zu installieren. Wenn Sie sich jedoch entscheiden, eine andere Zertifizierungsstelle zu verwenden, müssen Sie ein Stammzertifikat dieser Zertifizierungsstelle haben und es auf jedem Benutzergerät installieren.

Wichtig: Receiver unterstützt nur Schlüssel mit maximal 4096 Bits. Sie müssen sicherstellen, dass die Stamm- und Zwischenzertifikate der Zertifizierungsstellen sowie ihre Serverzertifikate maximal 4096 Bits lang sind.

Verwenden eines Stammzertifikats

Wenn Sie ein Serverzertifikat authentifizieren müssen, das von einer Zertifizierungsstelle ausgestellt wurde und dem von dem Benutzergerät noch nicht vertraut wird, befolgen Sie die nachfolgenden Anweisungen, bevor Sie einen StoreFront-Store hinzufügen.

  1. Beziehen Sie das Stammzertifikat im PEM-Format.
    Tipp: Wenn Sie kein Zertifikat in diesem Format finden, konvertieren Sie mit dem Hilfsprogramm openssl ein Zertifikat im CRT-Format in eine PEM- Datei.
  2. Führen Sie als der Benutzer, der das Paket installiert hat, folgende Schritte durch:
    1. Kopieren Sie die Datei nach $ICAROOT/keystore/cacerts.
    2. Führen Sie den folgenden Befehl aus:
      c_rehash $ICAROOT/keystore/cacerts