Configurar y habilitar TLS

Este tema es aplicable a XenApp y XenDesktop versión 7.6 y versiones posteriores.

Para usar el cifrado TLS para todas las comunicaciones de Citrix Receiver para Windows, configure el dispositivo de usuario, Citrix Receiver para Windows y, si usa la Interfaz Web, el servidor que ejecuta la Interfaz Web. Para obtener información sobre cómo proteger las comunicaciones con StoreFront, consulte los temas de Seguridad en la documentación de StoreFront.Para obtener información sobre cómo proteger la Interfaz Web, consulte la sección Seguridad en la documentación de la Interfaz Web.

Requisitos previos:

Los dispositivos de los usuarios deben cumplir los requisitos especificados en los Requisitos del sistema.

Use esta directiva para configurar las opciones de TLS que garantizan que Citrix Receiver para Windows identifique de forma segura el servidor al que se está conectando y pueda cifrar todas las comunicaciones con el servidor.

Puede usar estas opciones para:

  • Exigir el uso de TLS. Citrix recomienda usar TLS para todas las conexiones a través de redes que no son de confianza, como Internet.
  • Exigir el uso de la criptografía aprobada por FIPS (Federal Information Processing Standards) para cumplir las recomendaciones de NIST SP 800-52. Estas opciones están inhabilitadas de forma predeterminada.
  • Exigir el uso de una versión específica de TLS y de conjuntos de cifrado TLS específicos. Citrix respalda los protocolos TLS 1.0, TLS 1.1 y TLS 1.2 entre Citrix Receiver para Windows y XenApp o XenDesktop.
  • Conectarse solamente a servidores específicos.
  • Comprobar si el certificado del servidor se ha revocado.
  • Comprobar si existe alguna directiva de emisión de certificados de servidor específica.
  • Seleccionar un certificado de cliente concreto, si el servidor está configurado para solicitar uno.

Para configurar TLS mediante la plantilla administrativa de objeto de directiva de grupo

  1. Como administrador, abra la plantilla administrativa de objeto de directiva de grupo de Citrix Receiver mediante la ejecución de gpedit.msc.

    • Para aplicar la directiva en un solo equipo, abra la plantilla administrativa de objeto de directiva de grupo de Citrix Receiver desde el menú Inicio.
    • Si quiere aplicar la directiva en un dominio, abra la plantilla administrativa de objeto de directiva de grupo de Citrix Receiver usando la Consola de administración de directivas de grupo.
  2. En el nodo “Configuración del equipo”, vaya a Plantillas administrativas > Citrix Receiver > Enrutamiento de red y seleccione la directiva Configuración del modo de conformidad y TLS.

    TLS y modo de conformidad

  3. Seleccione Habilitada para habilitar las conexiones seguras y para cifrar la comunicación en el servidor. Establezca las siguientes opciones:

    Nota: Citrix recomienda usar TLS para proteger las conexiones.

  4. Seleccione Requerir TLS para todas las conexiones si quiere obligar a Citrix Receiver para Windows a usar TLS en todas las conexiones con aplicaciones y escritorios publicados.
  5. En la lista desplegable Modo de conformidad para la seguridad, seleccione la opción correspondiente:
    1. Ninguno: No se impone ningún modo de conformidad.
    2. SP800-52: Seleccione SP800-52 para la conformidad con NIST SP 800-52. Seleccione esta opción solo si los servidores o la puertas de enlace también cumplen las recomendaciones de NIST SP 800-52.

      Nota: Si selecciona SP 800-52, se usará automáticamente la criptografía aprobada por FIPS, incluso aunque no esté seleccionada la opción Habilitar FIPS. También debe habilitar la opción de seguridad de Windows “Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash”. De lo contrario Citrix Receiver para Windows puede fallar al intentar conectar con aplicaciones y escritorios publicados.

      Si selecciona SP 800-52, también debe seleccionar el parámetro Directiva de comprobación de revocación de certificados con el valor Comprobar con acceso completo o con el valor Requerir comprobación con acceso completo y lista de revocación de certificados.

      Si selecciona SP 800-52, Citrix Receiver para Windows verifica si el certificado de servidor cumple las recomendaciones de NIST SP 800-52.Si el certificado de servidor no las cumple, Citrix Receiver para Windows no se podrá conectar.

    3. Habilitar FIPS: Seleccione esta opción para exigir el uso de la criptografía aprobada por FIPS. También debe habilitar la opción de seguridad de Windows Criptografía de sistema: usar algoritmos que cumplan FIPS para cifrado, firma y operaciones hash en la directiva de grupo del sistema operativo. De lo contrario Citrix Receiver para Windows puede fallar al intentar conectar con aplicaciones y escritorios publicados.

    4. En la lista desplegable Permitir servidores TLS, seleccione el número de puerto. Puede asegurarse de que Citrix Receiver se conecte solo a los servidores especificados, mediante una lista separada por comas. Se pueden especificar comodines y números de puerto. Por ejemplo, *.citrix.com:4433 permite la conexión a un servidor cuyo nombre común termine en .citrix.com en el puerto 4433. La precisión de la información que contenga un certificado de seguridad es responsabilidad del emisor del certificado.Si Citrix Receiver no reconoce ni confía en el emisor de un certificado, se rechaza la conexión.

    5. En la lista desplegable Versión de TLS, seleccione cualquiera de las siguientes opciones:

      • TLS 1.0, TLS 1.1 o TLS 1.2: Este es el parámetro predeterminado. Esta opción solo se recomienda si es un requisito del negocio usar TLS 1.0 para la compatibilidad.

      • TLS 1.1 o TLS 1.2: Use esta opción para que las conexiones ICA usen TLS 1.1 o TLS 1.2.

      • TLS 1.2: Esta opción se recomienda si TLS 1.2 es un requisito del negocio.

    6. Conjunto de cifrado TLS: Para exigir el uso de conjuntos de cifrado TLS específicos, seleccione Gubernamental (GOV), Comercial (COM) o Todos (ALL). Para determinadas configuraciones de NetScaler Gateway, es posible que tenga que seleccionar COM. Citrix Receiver para Windows respalda el uso de claves RSA de 1024, 2048 y 3072 bits. También se respaldan certificados raíz con claves RSA de 4096 bits.

      Nota: Citrix no recomienda usar claves RSA de 1024 bits. Consulte la siguiente tabla, que contiene todos los conjuntos de cifrado respaldados.

      Cualquiera: Cuando tiene el valor “Cualquiera”, la directiva no está configurada y se permite cualquiera de los siguientes conjuntos de cifrado:

      -  TLS_RSA_WITH_RC4_128_MD5
      
      -  TLS_RSA_WITH_RC4_128_SHA
      
      -  TLS_RSA_WITH_3DES_EDE_CBC_SHA
      
      -  TLS_RSA_WITH_AES_128_CBC_SHA
      
      -  TLS_RSA_WITH_AES_256_CBC_SHA
      
      -  TLS_RSA_WITH_AES_128_GCM_SHA256
      
      -  TLS_RSA_WITH_AES_256_GCM_SHA384
      
      • Commercial: When “Commercial” is set, only the following cipher suites are allowed:

        • TLS_RSA_WITH_RC4_128_MD5

        • TLS_RSA_WITH_RC4_128_SHA

        • TLS_RSA_WITH_AES_128_CBC_SHA

        • TLS_RSA_WITH_AES_128_GCM_SHA256

      • Government: When “Government” is set, only the following cipher suites are allowed:

        • TLS_RSA_WITH_AES_256_CBC_SHA

        • TLS_RSA_WITH_3DES_EDE_CBC_SHA

        • TLS_RSA_WITH_AES_128_GCM_SHA256

        • TLS_RSA_WITH_AES_256_GCM_SHA384

    7. En la lista desplegable Directiva de comprobación de revocación de certificados, seleccione alguna de las siguientes opciones:

      • Comprobar sin acceso a red: Se lleva a cabo una comprobación de la lista de revocación de certificados. Solo se usan almacenes locales de listas de revocación de certificados. Se ignoran todos los puntos de distribución. No es obligatorio encontrar una lista de revocación de certificados para la verificación del certificado del servidor presentado por el servidor de Traspaso SSL/Secure Gateway de destino.

      • Comprobar con acceso completo: Se lleva a cabo una comprobación de la lista de revocación de certificados. Se utilizan los almacenes locales de listas de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación de un certificado, se rechaza la conexión. No es obligatorio encontrar una lista de revocación de certificados para la verificación del certificado del servidor presentado por el servidor de destino.

      • Requerir comprobación con acceso completo y lista de revocación de certificados: Se hace una comprobación de listas de revocación de certificados, con exclusión de la entidad de certificación (CA) raíz. Se utilizan los almacenes locales de listas de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación de un certificado, se rechaza la conexión. Para la verificación, es necesario encontrar todas las listas de revocación de certificados requeridas.

      • Requerir comprobación con acceso completo y todas las listas de revocación de certificados: Se hace una comprobación de listas de revocación de certificados, incluida la entidad de certificación (CA) raíz. Se utilizan los almacenes locales de listas de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación de un certificado, se rechaza la conexión. Para la verificación, es necesario encontrar todas las listas de revocación de certificados requeridas.

      • No comprobar: No se comprueban listas de revocación de certificados.

    8. Puede restringir Citrix Receiver para Windows para que solo pueda conectarse a servidores con una directiva de emisión de certificados concreta, mediante un OID de extensión de directiva. Cuando se selecciona OID de extensión de directiva, Citrix Receiver para Windows solamente acepta certificados de servidor que contienen ese OID de extensión de directiva.

    9. En la lista desplegable Autenticación del cliente, seleccione alguna de las siguientes opciones:

      • Inhabilitada: La autenticación de cliente está inhabilitada.

      • Mostrar selector de certificados: Pedir siempre al usuario que seleccione un certificado.

      • Seleccionar automáticamente, si es posible: Pedir al usuario que seleccione un certificado solo si hay varios para elegir.

      • No configurado: La autenticación del cliente no está configurada.

      • Usar un certificado especificado: Usar el certificado de cliente que esté definido en la opción “Certificado del cliente”.

    10. Use el parámetro Certificado del cliente para especificar la huella digital del certificado de identificación y evitar tener que preguntar al usuario innecesariamente.
  6. Haga clic en Aplicar y Aceptar para guardar la directiva.

La tabla siguiente muestra los conjuntos de cifrado en cada grupo:

                   
Conjunto de cifrado TLS GOV COM Todo GOV COM Todo GOV COM Todo
Habilitar FIPS No No No
Modo de conformidad SP 800-52 de seguridad No No No No No No
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 X   X X   X      
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 X   X X   X      
TLS_RSA_WITH_AES_256_GCM_SHA384 X   X X   X X   X
TLS_RSA_WITH_AES_128_GCM_SHA256 X X X X X X X X X
TLS_RSA_WITH_AES_256_CBC_SHA256 X   X X   X      
TLS_RSA_WITH_AES_256_CBC_SHA X   X X   X X   X
TLS_RSA_WITH_AES_128_CBC_SHA   X X   X X   X X
TLS_RSA_WITH_RC4_128_SHA   X X            
TLS_RSA_WITH_RC4_128_MD5   X X            
TLS_RSA_WITH_3DES_EDE_CBC_SHA X   X X   X X   X
                   

Configurar y habilitar TLS