Citrix

Produktdokumentation



Ganzes Dokument herunterladen

Konfigurieren und Aktivieren von TLS

Apr. 07, 2017

Dieses Thema gilt für XenApp- und XenDesktop-Version 7.6 und höher.

Wenn Sie für Citrix Receiver für Windows eine Verbindung mit TLS erzwingen möchten, müssen Sie TLS auf dem Secure Gateway-Server oder im SSL-Relaydienst angeben. Weitere Informationen finden Sie in den Abschnitten über Secure Gateway oder in der Dokumentation für den SSL-Relaydienst.

Stelle Sie außerdem sicher, dass das Benutzergerät alle Systemanforderungen erfüllt.

Wenn Sie ausschließlich TLS-Verschlüsselung für die Citrix Receiver für Windows-Kommunikation verwenden möchten, konfigurieren Sie das Benutzergerät, Citrix Receiver für Windows und, wenn Sie das Webinterface verwenden, den Webinterface-Server. Informationen zum Sichern der StoreFront-Kommunikation finden Sie in den Abschnitten unter Sicherung in der StoreFront-Dokumentation.Weitere Informationen zum Sichern des Webinterface finden Sie unter dem Abschnitt zur Sicherheit in der Webinterface-Dokumentation.

Installieren von Stammzertifikaten auf Benutzergeräten

Für das Sichern der Kommunikation mit TLS zwischen TLS-aktiviertem Citrix Receiver für Windows und der Serverfarm muss auf dem Clientgerät ein Stammzertifikat vorhanden sein, mit dem die Signatur der Zertifizierungsstelle für das Serverzertifikat bestätigt wird.

Citrix Receiver für Windows unterstützt die Zertifizierungsstellen, die vom Windows-Betriebssystem unterstützt werden. Die Stammzertifikate für diese Zertifizierungsstellen werden mit Windows installiert und mit Windows-Dienstprogrammen verwaltet. Microsoft Internet Explorer verwendet dieselben Stammzertifikate.

Wenn Sie eine andere Zertifizierungsstelle verwenden, müssen Sie ein Stammzertifikat von der zuständigen Stelle erwerben und es auf jedem Benutzergerät installieren. Microsoft Internet Explorer und Receiver verwenden dann dieses Stammzertifikat und sehen es als vertrauenswürdig an.

Sie können das Stammzertifikat mit anderen Administrations- oder Bereitstellungsverfahren installieren, u. a.

  • Verwenden des Konfigurationsassistenten und des Profilmanagers im Microsoft Internet Explorer Administration Kit (IEAK)
  • Bereitstellungstools von Drittherstellern

Stellen Sie sicher, dass die vom Windows-Betriebssystem installierten Zertifikate die Sicherheitsanforderungen des Unternehmens erfüllen, oder verwenden Sie Zertifikate, die von der Zertifizierungsstelle Ihres Unternehmens ausgestellt sind.

Konfigurieren des Webinterface für die Verwendung von TLS für Citrix Receiver für Windows

  1. Wenn Sie die Anwendungsauflistung und die Startdaten, die zwischen Citrix Receiver für Windows und dem Webinterface-Server übergeben werden, mit TLS verschlüsseln möchten, konfigurieren Sie die entsprechenden Einstellungen im Webinterface. Sie müssen den Computernamen des XenApp-Servers einschließen, der das SSL-Zertifikat hostet.
  2. Wenn Sie die zwischen Citrix Receiver für Windows und dem Webinterface-Server übergebenen Konfigurationsdaten mit HTTP (HTTPS) sichern möchten, geben Sie die Server-URL im Format https://servername ein. Klicken Sie im Windows-Infobereich mit der rechten Maustaste auf das Citrix Receiver für Windows-Symbol und wählen Sie Einstellungen.
  3. Klicken Sie mit der rechten Maustaste auf den Eintrag Online Plug-In unter Plug-In-Status und wählen Sie Server ändern.

Konfigurieren der TLS-Unterstützung

Wenn Sie dies auf einem lokalen Computer ändern, müssen Sie alle Receiver-Komponenten, einschließlich Connection Center, schließen.

  1. Öffnen Sie als Administrator den Gruppenrichtlinien-Editor, indem Sie gpedit.msc lokal vom Startmenü ausführen, wenn Sie einen einzelnen Computer ändern, oder indem Sie die Gruppenrichtlinien-Verwaltungskonsole verwenden, wenn Sie mit Active Directory arbeiten.

    Hinweis: Wenn Sie die Citrix Receiver für Windows-Vorlage bereits in den Gruppenrichtlinien-Editor importiert haben, können Sie die Schritte 2 bis 5 überspringen.

  2. Wählen Sie im linken Bereich des Gruppenrichtlinien-Editors den Ordner "Administrative Vorlagen" aus.
  3. Klicken Sie im Menü "Aktion" auf "Vorlagen hinzufügen/entfernen".
  4. Klicken Sie auf "Hinzufügen", navigieren Sie zum Konfigurationsordner für Receiver (üblicherweise C:\Programme\Citrix\ICA Client\Configuration) und wählen Sie die Citrix Receiver für Windows-Vorlagendatei aus.
    Hinweis: Wählen Sie die Citrix Receiver für Windows-Vorlagendatei (receiver.adm oder receiver.admx/receiver.adml) entsprechend der Version des Windows-Betriebsystems aus.
  5. Klicken Sie auf "Öffnen", um die Vorlage hinzuzufügen, und klicken Sie dann auf "Schließen", um zum Gruppenrichtlinien-Editor zurückzukehren.
  6. Navigieren Sie im Gruppenrichtlinien-Editor auf Administrative Vorlagen > Klassische administrative Vorlagen (ADM) > Citrix Components > Citrix Receiver > Network routing > TLS/SSL data encryption and server identification.
  7. Klicken Sie im Menü "Aktion" auf "Eigenschaften", wählen Sie "Aktiviert" und wählen Sie in den Dropdownmenüs die TLS-Einstellungen aus.
    • Setzen Sie TLS Version auf "TLS" oder "Detect all", um TLS zu aktivieren. Wenn "Detect all" ausgewählt ist, stellt Citrix Receiver für Windows eine Verbindung mit TLS-Verschlüsselung her.
    • Setzen Sie "TLS-Verschlüsselungssammlung" auf Version erkennen, damit Citrix Receiver für Windows eine geeignete Verschlüsselungssammlung aus kommerziellen (Commercial) und Behörden- (Government)-Verschlüsselungssammlungen aushandeln kann. Sie können die Verschlüsselungssammlungen auf "Behörden" oder "Kommerziell" beschränken.
    • Legen Sie für die CRL-Überprüfung die Option CRLs für Verbindung erforderlich fest. Bei dieser Einstellung versucht Citrix Receiver für Windows Zertifikatsperrlisten von den jeweiligen Zertifikatausgabestellen abzurufen.

Verwenden der administrativen Gruppenrichtlinienobjektvorlage auf dem Webinterface

Wenn Sie dies auf einem lokalen Computer ändern, müssen Sie alle Citrix Receiver für Windows-Komponenten, einschließlich Connection Center, schließen.

Verwenden Sie zum Erfüllen der FIPS 140-Sicherheitsanforderungen die Gruppenrichtlinienvorlage, um die Parameter zu konfigurieren oder fügen Sie die Parameter in der Datei Default.ica auf dem Webinterface-Server ein. Weitere Informationen zur Datei Default.ica finden Sie in der Webinterface-Dokumentation.

  1. Öffnen Sie als Administrator den Gruppenrichtlinien-Editor, indem Sie gpedit.msc lokal vomStartmenü ausführen, wenn Sie einen einzelnen Computer ändern, oder indem Sie die Gruppenrichtlinien-Verwaltungskonsole verwenden, wenn Sie Domänenrichtlinien anwenden.

    Hinweis: Wenn Sie die Citrix Receiver für Windows-Vorlagendatei bereits in den Gruppenrichtlinien-Editor importiert haben, können Sie die Schritte 3 bis 5 überspringen.

  2. Wählen Sie im linken Bereich des Gruppenrichtlinien-Editors den Ordner Administrative Vorlagen aus.
  3. Klicken Sie im Menü "Aktion" auf "Vorlagen hinzufügen/entfernen".
  4. Klicken Sie auf Hinzufügen, navigieren Sie zum Konfigurationsordner für Receiver (üblicherweise C:\Programme\Citrix\ICA Client\Configuration) und wählen Sie die Citrix Receiver für Windows-Vorlagendatei aus (entsprechend der Version des Windows-Betriebsystems receiver.adm oder receiver.admx/receiver.adml).
  5. Klicken Sie auf Öffnen, um die Vorlage hinzuzufügen, und klicken Sie dann auf "Schließen", um zum Gruppenrichtlinien-Editor zurückzukehren.
  6. Navigieren Sie im Gruppenrichtlinien-Editor auf Administrative Vorlagen > Klassische administrative Vorlagen (ADM) > Citrix Components > Citrix Receiver > Network routing > TLS/SSL data encryption and server identification.
  7. Klicken Sie im Menü "Aktion" auf Eigenschaften, wählen Sie Aktiviert und wählen Sie in den Dropdownmenüs die entsprechenden Einstellungen aus.
    • Setzen Sie TLS Version auf TLS oder Detect all, um TLS zu aktivieren. Wenn "Detect all" ausgewählt ist, versucht Receiver eine Verbindung mit TLS-Verschlüsselung herzustellen.
    • Setzen Sie die SSL-Verschlüsselungssammlung auf Behörden.
    • Setzen Sie CRL verification auf Require CRLs for connection.

Konfigurieren des Webinterface zum Verwenden von TLS für die Kommunikation mit Citrix Receiver für Windows

Sie müssen im Webinterface den Computernamen des Servers angeben, der das SSL-Zertifikat hostet.

Weitere Informationen zum Sichern der Kommunikation zwischen Citrix Receiver für Windows und dem Webserver mit TLS finden Sie in der Webinterface-Dokumentation.

  1. Wählen Sie im Menü Konfigurationseinstellungen die Option Servereinstellungen.
  2. Wählen Sie SSL/TLS für Kommunikation zwischen Clients und Webserver verwenden.
  3. Speichern Sie die Änderungen.
Durch Wählen von SSL/TLS werden alle URLs geändert, sodass sie das HTTPS-Protokoll verwenden.

Konfigurieren von XenApp für die Verwendung von TLS für die Kommunikation mit Citrix Receiver für Windows

Sie können den XenApp-Server so konfigurieren, dass TLS zum Sichern der Kommunikation zwischen Citrix Receiver für Windows und dem Server verwendet wird.

  1. Öffnen Sie in der Citrix Verwaltungskonsole für den XenApp-Server das Dialogfeld Eigenschaften der Anwendung, die Sie sichern möchten.
  2. Wählen Sie Erweitert > Clientoptionen und stellen Sie sicher, dass SSL- und TLS-Protokoll aktivieren ausgewählt ist.
  3. Wiederholen Sie diese Schritte für jede Anwendung, die Sie sichern möchten.
Sie müssen im Webinterface den Computernamen des Servers angeben, der das SSL-Zertifikat hostet. Weitere Informationen zum Sichern der Kommunikation zwischen Citrix Receiver für Windows und dem Webserver mit TLS finden Sie in der Webinterface-Dokumentation.

Konfigurieren von Citrix Receiver für die Verwendung von TLS für die Kommunikation mit dem Webinterface-Server

Sie können Citrix Receiver für Windows konfigurieren, sodass TLS zum Sichern der Kommunikation zwischen Citrix Receiver für Windows und dem Webinterface-Server verwendet wird.

Stellen Sie sicher, dass ein gültiges Stammzertifikat auf dem Benutzergerät installiert ist. Weitere Informationen finden Sie unter Installieren von Stammzertifikaten auf den Benutzergeräten.

  1. Klicken Sie im Windows-Infobereich mit der rechten Maustaste auf das Citrix Receiver für Windows-Symbol und wählen Sie Einstellungen.
  2. Klicken Sie mit der rechten Maustaste auf den Eintrag Online Plug-In unter Plug-In-Status und wählen Sie Server ändern.
  3. Im Dialogfeld Server ändern wird die aktuell konfigurierte URL angezeigt. Geben Sie die Server-URL im Textfeld im Format https://servername ein, um die Konfigurationsdaten mit TLS zu verschlüsseln.
  4. Klicken Sie auf Aktualisieren, um die Änderung zu übernehmen.
  5. Aktivieren Sie TLS im Browser des Benutzergeräts. Weitere Informationen finden Sie in der Onlinehilfe des Browsers.

TLS- und HTML5-Videoumleitung

Die HTML5-Videoumleitung unterstützt Videoinhalt über TLS (HTTPS).Hierfür werden benutzerdefinierte Zertifikate im Zertifikatspeicher des Computers auf dem VDA abgelegt.

Die HTML5-Videoumleitung ist standardmäßig deaktiviert.

Wenn Sie HTML5-Videoumleitung nicht mit Videoinhalt über TLS verwenden möchten, empfiehlt Citrix, die beiden Zertifikate aus dem Speicher für vertrauenswürdige Stammzertifikaten auf dem VDA zu löschen.Diese Zertifikate wurden für "Citrix HDX" von "Citrix HDX" bzw. für "127.0.0.1" von "Citrix HDX" ausgestellt.

Back to Top