Citrix

Produktdokumentation



Ganzes Dokument herunterladen

Verbinden mit dem SSL-Relay (Secure Sockets Layer)

Nov. 19, 2015

Diese Informationen gelten nicht für XenDesktop 7, XenDesktop 7.1, XenDesktop 7.5 und XenApp 7.5.

Sie können Receiver in eine Umgebung mit dem SSL (Secure Sockets Layer)-Relay integrieren. Receiver unterstützt das TLS-Protokoll. Receiver für Windows 4.2 unterstützt nur TLS 1.0.

  • TLS (Transport Layer Security) ist die neueste normierte Version des SSL-Protokolls. Die IETF (Internet Engineering Taskforce) hat den Standard zu TLS umbenannt, als diese Organisation die Verantwortung für die Entwicklung von SSL als offenem Standard übernahm. TLS sichert die Datenkommunikation mit Serverauthentifizierung, Verschlüsselung des Datenstroms und Prüfen der Nachrichtenintegrität. Einige Organisationen, u. a. US-Regierungsbehörden, setzen TLS zum Schutz der Datenkommunikation voraus. Diese Organisationen verlangen ggf. auch die Verwendung überprüfter Kryptografie, wie z. B. FIPS 140. FIPS (Federal Information Processing Standard) ist ein Kryptografiestandard. FIPS 140 ist ein Standard für die Kryptografie.

Das Citrix SSL-Relay verwendet standardmäßig den TCP-Port 443 auf dem XenApp-Server für TLS-gesicherte Kommunikation. Wenn das SSL-Relay eine TLS-Verbindung empfängt, werden die Daten entschlüsselt und dann an den Server übergeben. Wenn der Benutzer TLS+HTTPS-Browsing gewählt hat, werden die Daten an den Citrix XML-Dienst übergeben.

Wenn Sie SSL-Relay so konfigurieren, dass ein anderer Port (d. h. nicht Port 443) abgehört wird, müssen Sie das Plug-in für diese geänderte Portnummer konfigurieren.

Mit dem Citrix SSL-Relay kann folgende Kommunikation gesichert werden:

  • Verbindung zwischen einem TLS-fähigen Client und einem Server. Verbindungen, bei denen TLS-Verschlüsselung verwendet wird, werden im Connection Center mit einem Vorhängeschloss gekennzeichnet.
  • Bei einem Webinterface-Server die Kommunikation zwischen dem XenApp-Server und dem Webserver.

Weitere Informationen zum Konfigurieren und Sichern der Installation mit SSL-Relay finden Sie in der XenApp-Dokumentation.

Anforderungen für Benutzergeräte

Zusätzlich zu den Systemanforderungen müssen Sie Folgendes sicherstellen:

  • Das Benutzergerät unterstützt die 128-Bit-Verschlüsselung.
  • Auf dem Benutzergerät ist ein Stammzertifikat installiert, mit dem die Signatur der Zertifizierungsstelle für das Serverzertifikat verifiziert werden kann.
  • Receiver ist die Nummer des TCP-Abhörports bekannt, der vom SSL-Relaydienst in der Serverfarm verwendet wird.
  • Alle von Microsoft empfohlenen Service Packs oder Upgrades sind installiert.

Wenn Sie Internet Explorer verwenden und den Verschlüsselungsgrad nicht kennen, gehen Sie auf die Website von Microsoft unter http://www.microsoft.com und installieren Sie ein Service Pack, das 128-Bit-Verschlüsselung bietet.

Wichtig: Receiver unterstützt Zertifikatschlüssellängen von bis zu 4096 Bits. Stellen Sie sicher, dass die Bitlänge der Stamm- und Zwischenzertifikate von der Zertifizierungsstelle sowie die Bitlänge der Serverzertifikate nicht die Bitlänge überschreitet, die Receiver unterstützt wird, andernfalls könnten Verbindungen fehlschlagen.

Einstellen eines anderen Abhörports für alle Verbindungen

Wenn Sie dies auf einem lokalen Computer ändern, müssen Sie alle Receiver-Komponenten, einschließlich Connection Center, schließen.

  1. Öffnen Sie als Administrator den Gruppenrichtlinien-Editor, indem Sie gpedit.msc lokal vom Startmenü ausführen, wenn Sie einen einzelnen Computer ändern, oder indem Sie die Gruppenrichtlinien-Verwaltungskonsole verwenden, wenn Sie Domänenrichtlinien anwenden.
    Hinweis: Wenn Sie die icaclient-Vorlage bereits in den Gruppenrichtlinien-Editor importiert haben, können Sie die Schritte 2 bis 5 überspringen.
  2. Wählen Sie im linken Bereich des Gruppenrichtlinien-Editors den Ordner Administrative Vorlagen aus.
  3. Klicken Sie im Menü Aktion auf Vorlagen hinzufügen/entfernen.
  4. Klicken Sie auf Hinzufügen, navigieren Sie zum Konfigurationsordner für die Plug-Ins (üblicherweise C:\Programme\Citrix\ICA Client\Configuration) und wählen Sie icaclient.adm aus.
  5. Klicken Sie auf Öffnen, um die Vorlage hinzuzufügen, und klicken Sie dann auf Schließen, um zum Gruppenrichtlinien-Editor zurückzukehren.
  6. Navigieren Sie im Gruppenrichtlinien-Editor auf Administrative Vorlagen > Klassische administrative Vorlagen (ADM) > Citrix Components > Citrix Receiver > Network routing > TLS/SSL data encryption and server identification.
  7. Klicken Sie im Menü Aktion auf Eigenschaften, wählen Sie Aktiviert und geben Sie die neue Portnummer in das Feld Allowed SSL servers in folgendem Format ein:

Server:SSL-Relay-Portnummer

wobei SSL-Relay-Portnummer die Nummer des Abhörports ist. Um mehrere Server anzugeben, können Sie einen Platzhalter verwenden. Beispiel: *.Test.com:SSL-Relay-Portnummer umfasst alle Verbindungen zu Test.com über einen angegebenen Port.

Einstellen eines anderen Abhörports für bestimmte Verbindungen

Wenn Sie dies auf einem lokalen Computer ändern, müssen Sie alle Receiver-Komponenten, einschließlich Connection Center, schließen.

  1. Öffnen Sie als Administrator den Gruppenrichtlinien-Editor, indem Sie gpedit.msc lokal vom Startmenü ausführen, wenn Sie einen einzelnen Computer ändern, oder indem Sie die Gruppenrichtlinien-Verwaltungskonsole verwenden, wenn Sie Domänenrichtlinien anwenden.
    Hinweis: Wenn Sie die icaclient-Vorlage bereits dem Gruppenrichtlinien-Editor hinzugefügt haben, können Sie die Schritte 2 bis 5 überspringen.
  2. Wählen Sie im linken Bereich des Gruppenrichtlinien-Editors den Ordner Administrative Vorlagen aus.
  3. Klicken Sie im Menü Aktion auf Vorlagen hinzufügen/entfernen.
  4. Klicken Sie auf Hinzufügen, navigieren Sie zum Konfigurationsordner für Receiver (üblicherweise C:\Programme\Citrix\ICA Client\Configuration) und wählen Sie icaclient.adm aus.
  5. Klicken Sie auf Öffnen, um die Vorlage hinzuzufügen, und klicken Sie dann auf Schließen, um zum Gruppenrichtlinien-Editor zurückzukehren.
  6. Navigieren Sie im Gruppenrichtlinien-Editor auf Administrative Vorlagen > Klassische administrative Vorlagen (ADM) > Citrix Components > Citrix Receiver > Network routing > TLS/SSL data encryption and server identification.
  7. Klicken Sie im Menü Aktion auf Eigenschaften, wählen Sie Aktiviert und geben Sie eine durch Kommas getrennte Liste vertrauenswürdiger Server sowie die neue Portnummer in folgendem Format in das Feld Allowed SSL servers ein:

    Servername:SSL-Relay-Portnummer,Servername:SSL-Relay-Portnummer

    wobei SSL-Relay-Portnummer die Nummer des Abhörports ist. Sie können eine durch Kommas getrennte Liste bestimmter vertrauenswürdiger SSL-Server ähnlich wie in folgendem Beispiel angeben:
     csghq.Test.com:443,fred.Test.com:443,csghq.Test.com:444 
    Dies führt zu folgendem Ergebnis in dieser Musterdatei von appsrv.ini:

    [Word]

    SSLProxyHost=csghq.Test.com:443

    [Excel]

    SSLProxyHost=csghq.Test.com:444

    [Editor]

    SSLProxyHost=fred.Test.com:443

Back to Top