Citrix

Produktdokumentation



Ganzes Dokument herunterladen

Sichern der Receiver-Kommunikation

Nov. 03, 2016

Dieser Abschnitt enthält folgende Themen:

  • Verbinden mit NetScaler Gateway oder Access Gateway Enterprise Edition
  • Verbinden mit Secure Gateway
  • Herstellen von Verbindungen über Proxyserver
  • Verbinden mit dem SSL-Relay
  • Herstellen einer Verbindung durch eine Firewall
Zum Sichern der Kommunikation zwischen der Serverfarm und Receiver können Sie Receiver-Verbindungen zur Serverfarm mit zahlreichen Sicherheitsverfahren integrieren, u. a.:
  • Citrix NetScaler Gateway oder Citrix Access Gateway. Weitere Informationen zur Konfiguration dieser Programme mit Citrix StoreFront finden Sie in der StoreFront-Dokumentation.
    Hinweis: Citrix empfiehlt, die Kommunikation zwischen StoreFront-Servern und Benutzergeräten mit NetScaler Gateway zu sichern.
  • Ein SOCKS-Proxyserver oder sicherer Proxyserver (auch Sicherheitsproxyserver, HTTPS-Proxyserver). Mit Proxyservern schränken Sie den Zugriff auf das und vom Netzwerk ein und verarbeiten Verbindungen zwischen Receiver und Servern. Receiver unterstützt die Protokolle SOCKS und Secure Proxy.
  • Secure Gateway: Secure Gateway stellt zusammen mit dem Webinterface einen einzigen sicheren, verschlüsselten Zugangspunkt über das Internet zu Servern in internen Unternehmensnetzwerken bereit.
  • SSL-Relay-Lösungen mit Transport Layer Security (TLS)-Protokollen
  • Eine Firewall. Firewalls entscheiden anhand der Zieladresse und des Zielports von Datenpaketen, ob diese Pakete weitergeleitet werden. Wenn Sie Receiver mit einer Firewall verwenden, die die interne Netzwerk-IP-Adresse des Servers einer externen Internetadresse zuweist (d. h. Netzwerkadressübersetzung oder NAT), konfigurieren Sie die externe Adresse.

Zertifikate

Private (selbstsignierte) Zertifikate

Wenn ein privates Zertifikat auf dem Remotegateway installiert ist, muss das Stammzertifikat der Zertifizierungsstelle des Unternehmens auf dem Benutzergerät installiert sein, um erfolgreich mit Receiver auf Citrix Ressourcen zuzugreifen.

Hinweis: Wenn das Zertifikat des Remote-Gateways beim Herstellen der Verbindung nicht verifiziert werden kann (da das Stammzertifikat nicht im lokalen Schlüsselspeicher vorhanden ist), wird eine Warnung über ein nicht vertrauenswürdiges Zertifikat angezeigt. Wenn der Benutzer weiterarbeitet, wird eine Liste der Anwendungen angezeigt; die Anwendungen können jedoch nicht gestartet werden.

Importieren von Stammzertifikaten auf Receiver für Mac-Geräten

Rufen Sie das Stammzertifikat des Zertifikatausstellers ab und senden Sie es an ein Konto, das auf dem Gerät konfiguriert ist. Wenn Sie auf die Anlage klicken, werden Sie zum Importieren des Stammzertifikats aufgefordert.

Zertifikate mit Platzhalterzeichen

Zertifikate mit Platzhalterzeichen werden statt einzelner Serverzertifikate für jeden Server in derselben Domäne verwendet. Receiver für Mac unterstützt Zertifikate mit Platzhalterzeichen.

Zwischenzertifikate mit Access Gateway oder NetScaler Gateway

Wenn die Zertifikatkette ein Zwischenzertifikat enthält, muss das Zwischenzertifikat dem Access Gateway- oder NetScaler Gateway-Serverzertifikat hinzugefügt werden. Weitere Informationen hierzu finden Sie in der NetScaler Gateway-Dokumentation in der Citrix Produktdokumentation.

Verbinden mit NetScaler Gateway oder Access Gateway Enterprise Edition

Damit Remotebenutzer sich mit der CloudGateway-Bereitstellung über NetScaler Gateway oder Access Gateway verbinden können, konfigurieren Sie diese für StoreFront (beide Komponenten von CloudGateway). Die Methode für das Aktivieren des Zugriffs hängt von der in der Bereitstellung verwendeten CloudGateway-Edition ab.

Wenn Sie CloudGateway Express im Netzwerk bereitstellen, lassen Sie Verbindungen von internen oder Remotebenutzern mit StoreFront über NetScaler Gateway oder Access Gateway zu, indem Sie NetScaler Gateway oder Access Gateway mit StoreFront integrieren. In dieser Bereitstellung verbinden sich Benutzer mit StoreFront und greifen auf von XenApp veröffentliche Anwendungen und auf von XenDesktop virtualisierte Desktops zu. Benutzer stellen eine Verbindung über Citrix Receiver her.

Weitere Informationen zur Konfiguration dieser Verbindungen mit NetScaler Gateway finden Sie im Abschnitt Configuring NetScaler Gateway Settings with the Remote Access Wizard in der Citrix Produktdokumentation. Weitere Informationen zur Konfiguration dieser Verbindungen mit Access Gateway finden Sie im Abschnitt Integrating Access Gateway with CloudGateway in der Citrix Produktdokumentation.

Damit Remotebenutzer über Access Gateway eine Verbindung mit der Webinterface-Bereitstellung herstellen können, konfigurieren Sie Access Gateway für das Webinterface, wie im Abschnitt Configuring Access Gateway Enterprise Edition to Communicate with the Web Interface und in den anderen Themen in diesem Abschnitt in der Citrix Produktdokumentation beschrieben.

Verbinden mit Secure Gateway

Dieser Abschnitt gilt nur für Bereitstellungen mit dem Webinterface.

Sie können Secure Gateway im Modus Normal oder Relay verwenden, um einen sicheren Kommunikationskanal zwischen Receiver und dem Server bereitzustellen. Receiver muss nicht konfiguriert werden, wenn Sie Secure Gateway im Normalmodus verwenden und Benutzer eine Verbindung über das Webinterface herstellen.

Für Verbindungen mit Secure Gateway-Servern verwendet Receiver Einstellungen, die remote auf dem Webinterface-Server konfiguriert wurden. Informationen zum Konfigurieren der Proxyservereinstellungen für Receiver finden Sie in der Dokumentation für das Webinterface.

Wenn Secure Gateway Proxy auf einem Server im sicheren Netzwerk installiert ist, können Sie Secure Gateway Proxy im Relaymodus verwenden. Weitere Informationen zum Relaismodus finden Sie in der Dokumentation für XenApp (Secure Gateway).

Wenn Sie den Relaymodus verwenden, fungiert der Secure Gateway-Server als Proxy und Sie müssen Receiver für die Verwendung konfigurieren:
  • Vollqualifizierter Domänenname (FQDN) des Secure Gateway-Servers.
  • Portnummer des Secure Gateway-Servers. Der Relaymodus wird von Secure Gateway, Version 2.0 nicht unterstützt.
Der FQDN muss der Reihe nach die folgenden Komponenten auflisten:
  • Host name
  • Second-Level-Domäne
  • Top-Level-Domäne

Beispiel: mein_Computer.meine_Firma.com ist ein vollqualifizierter Domänenname, da er – in der richtigen Reihenfolge – einen Hostnamen (mein_Computer), eine Second-Level-Domäne (meine_Firma) und eine Top-Level-Domäne (com) auflistet. Die Kombination von Second-Level- und Top-Level-Domäne (my_company.com) wird im Allgemeinen als Domänenname bezeichnet.

Herstellen von Verbindungen über Proxyserver

Mit Proxyservern wird der eingehende und ausgehende Netzwerkzugriff beschränkt und Verbindungen zwischen Receiver und Servern gehandhabt. Receiver unterstützt die Protokolle SOCKS und Secure Proxy.

Für die Kommunikation mit dem XenApp- oder XenDesktop-Server verwendet Receiver die Proxyservereinstellungen, die remote auf dem Webinterface-Server konfiguriert sind. Informationen zum Konfigurieren der Proxyservereinstellungen für Receiver finden Sie in der Webinterface-Dokumentation.

Für die Kommunikation mit dem Webserver verwendet Receiver die Proxyservereinstellungen, die für den Standardwebbrowser auf dem Benutzergerät konfiguriert sind. Sie müssen die Proxyservereinstellungen für den Standardwebbrowser entsprechend auf dem Benutzergerät konfigurieren.

Verbinden mit dem SSL-Relay

Sie können Receiver in eine Umgebung mit dem SSL (Secure Sockets Layer)-Relay integrieren. Receiver X1 für Mac 12.0 unterstützt TLS 1.0, 1.1 und 1.2

TLS (Transport Layer Security) ist die neueste, standardisierte Version des SSL-Protokolls. Die IETF (Internet Engineering Taskforce) hat den Standard zu TLS umbenannt, als diese Organisation die Verantwortung für die Entwicklung von SSL als offenem Standard übernahm.

TLS sichert die Datenkommunikation mit Serverauthentifizierung, Verschlüsselung des Datenstroms und Prüfen der Nachrichtenintegrität. Einige Organisationen, u. a. US-Regierungsbehörden, setzen TLS zum Schutz der Datenkommunikation voraus. Diese Organisationen verlangen ggf. auch die Verwendung überprüfter Kryptografie, wie z. B. FIPS 140. FIPS 140 ist ein Standard für die Kryptografie.

Das Citrix SSL-Relay verwendet standardmäßig den TCP-Port 443 auf dem Citrix Server für TLS-gesicherte Kommunikation. Wenn das SSL-Relay eine TLS-Verbindung empfängt, werden die Daten entschlüsselt und dann an den Server übergeben. Wenn der Benutzer TLS+HTTPS-Browsing gewählt hat, werden die Daten an den Citrix XML-Dienst übergeben.

Mit dem Citrix SSL-Relay kann folgende Kommunikation gesichert werden:
  • Verbindung zwischen einem TLS-fähigen Receiver und einem Server.
  • Bei einem Webinterface-Server die Kommunikation zwischen dem XenApp-Server und dem Webserver.

Weitere Informationen zum Konfigurieren und Verwenden von SSL-Relay zum Sichern der Installation oder zum Konfigurieren des Webinterface-Servers für die TLS-Verschlüsselung finden Sie in der Dokumentation für XenApp und für das Webinterface.

Konfigurieren und Aktivieren von Receiver für TLS

Das Setup von TLS besteht aus zwei Hauptschritten:
  1. Setup von SSL-Relay auf dem XenApp- oder XenDesktop-Server und dem Webinterface-Server und abrufen und installieren des benötigten Serverzertifikats. Weitere Informationen finden Sie in der Dokumentation für XenApp und das Webinterface.
  2. Installieren Sie das entsprechende Stammzertifikat auf dem Benutzergerät.

Installieren von Stammzertifikaten auf Benutzergeräten

Für das Sichern der Kommunikation mit TLS zwischen TLS-aktivierten Receivern und der Serverfarm muss auf dem Benutzergerät ein Stammzertifikat vorhanden sein, mit dem die Signatur der Zertifizierungsstelle für das Serverzertifikat bestätigt wird.

Mac OS X hat ungefähr 100 installierte kommerzielle Stammzertifikate; wenn Sie ein anderes Zertifikat verwenden möchten, können sie es von einer Zertifizierungsstelle abrufen und auf jedem Benutzergerät installieren.

Abhängig von den Richtlinien und Abläufen in Ihrem Unternehmen möchten Sie das Stammzertifikat ggf. auf jedem Benutzergerät installieren und die Installation nicht den Benutzern überlassen. Am einfachsten und sichersten ist es, wenn Sie die Stammzertifikate der Mac OS X-Schlüsselkette hinzufügen.

So fügen Sie ein Stammzertifikat der Schlüsselkette hinzu

  1. Doppelklicken Sie auf die Datei, die das Zertifikat enthält. Die Anwendung für den Schlüsselkettenzugriff wird automatisch gestartet.
  2. Wählen Sie im Dialogfeld Add Certificates eine Option im Popupmenü Keychain:
    • login (Das Zertifikat gilt nur für den aktuellen Benutzer.)
    • System (Das Zertifikat gilt für alle Benutzer eines Geräts.)
  3. Klicken Sie auf OK.
  4. Geben Sie Ihr Kennwort in das Dialogfeld Authenticate ein und klicken Sie auf OK.

Das Stammzertifikat ist installiert und kann von SSL-fähigen Clients und anderen Anwendungen, die SSL einsetzen, verwendet werden.

Herstellen einer Verbindung durch eine Firewall

Firewalls entscheiden anhand der Zieladresse und des Zielports von Datenpaketen, ob diese Pakete weitergeleitet werden. Wenn Sie eine Firewall in der Bereitstellung verwenden, muss Receiver über die Firewall mit dem Webserver und dem Citrix Server kommunizieren können. Die Firewall muss HTTP-Datenübertragungen für die Kommunikation zwischen Benutzergerät und Webserver zulassen (meist über den HTTP-Standardport 80 oder 443, wenn ein sicherer Webserver verwendet wird). Für die Kommunikation zwischen Receiver und dem Citrix Server muss die Firewall eingehende ICA-Datenübertragungen an den Ports 1494 und 2598 zulassen.

Wenn die Firewall für die Netzwerkadressenübersetzung konfiguriert ist, verwenden, können Sie im Webinterface Zuordnungen von internen Adressen zu externen Adressen und Ports definieren. Beispiel: Wenn der XenApp-Server oder XenDesktop-Server nicht mit einer alternativen Adresse konfiguriert ist, kann das Webinterface Receiver eine alternative Adresse bereitstellen. Receiver stellt dann mit der externen Adresse und der Portnummer eine Verbindung mit dem Server her. Weitere Informationen finden Sie in der Webinterface-Dokumentation.

Back to Top