Sécuriser les communications

Pour sécuriser les communications entre votre batterie de serveurs et l’application Citrix Workspace pour Mac, vous pouvez intégrer vos connexions à la batterie de serveurs grâce à un large choix de technologies de sécurité, y compris Citrix NetScaler Gateway. Pour obtenir des informations sur la configuration de la sécurité avec Citrix StoreFront, reportez-vous à la documentation de StoreFront.

Remarque :

Citrix recommande d’utiliser NetScaler Gateway pour sécuriser les communications entre les serveurs StoreFront et les machines des utilisateurs.

  • Un serveur proxy SOCKS ou serveur proxy sécurisé (également appelé serveur proxy ou serveur proxy HTTPS). Vous pouvez utiliser les serveurs proxy pour limiter l’accès à l’intérieur et à l’extérieur de votre réseau, et pour gérer les connexions entre Citrix Workspace et les serveurs. L’application Citrix Workspace pour Mac prend en charge les protocoles de proxy SOCKS et de proxy sécurisé.
  • Secure Gateway. Vous pouvez utiliser Secure Gateway avec l’Interface Web pour fournir un point d’accès Internet unique, sécurisé et crypté aux serveurs des réseaux d’entreprise internes.
  • Solutions de relais SSL avec protocoles TLS
  • Un pare-feu. Les pare-feu de réseau peuvent autoriser ou empêcher le passage des paquets de données en fonction de l’adresse et du port de destination. Si vous utilisez l’application Citrix Workspace pour Mac avec un pare-feu de réseau qui mappe l’adresse IP interne du serveur sur une adresse Internet externe (c’est-à-dire, la traduction d’adresse de réseau, ou NAT), configurez l’adresse externe.

À propos des certificats

Certificats privés (auto-signés)

Si un certificat privé est installé sur la passerelle distante, le certificat racine de l’autorité de certification doit être installé sur l’appareil de façon à pouvoir accéder aux ressources Citrix à l’aide de l’application Citrix Workspace pour Mac.

Remarque :

si le certificat de la passerelle distante ne peut pas être vérifié lors de la connexion (car le certificat racine n’est pas inclus dans le magasin de clés), un avertissement relatif à un certificat non approuvé s’affiche. Si un utilisateur choisit d’ignorer l’avertissement, une liste des applications s’affiche ; toutefois, les applications ne se lancent pas.

Importation de certificats racine sur des machines sur lesquelles l’application Citrix Workspace pour Mac est installée

Obtenez le certificat racine auprès de l’émetteur du certificat et envoyez-le par e-mail à un configuré sur votre appareil. Lorsque vous cliquez sur la pièce jointe, vous êtes invité à importer le certificat racine.

Certificats génériques

Les certificats génériques remplacent les certificats de serveur individuel pour n’importe quel serveur situé dans le même domaine. L’application Citrix Workspace pour Mac prend en charge les certificats génériques.

Certificats intermédiaires avec NetScaler Gateway

Si votre chaîne de certificat contient un certificat intermédiaire, ce dernier doit être mappé vers le certificat serveur de NetScaler Gateway. Pour de plus amples informations sur cette tâche, reportez-vous à la documentation NetScaler Gateway. Pour plus d’informations sur l’installation et la liaison d’un certificat intermédiaire avec une autorité de certification principale sur un boîtier NetScaler Gateway, reportez-vous à l’article How to Install and Link Intermediate Certificate with Primary CA on NetScaler Gateway.

Stratégie de validation des certificats de serveur

La stratégie de validation des certificats de serveur de l’application Citrix Workspace pour Mac est plus stricte.

Important

Avant d’installer cette version de l’application Citrix Workspace pour Mac, vérifiez que les certificats sur le serveur ou la passerelle sont correctement configurés comme indiqué ci-dessous. Les connexions peuvent échouer si :

  • la configuration du serveur ou de la passerelle inclut un certificat racine incorrect ;
  • la configuration du serveur ou de la passerelle n’inclut pas tous les certificats intermédiaires ;
  • la configuration du serveur ou de la passerelle inclut un certificat intermédiaire expiré ou non valide ;
  • la configuration du serveur ou de la passerelle inclut un certificat intermédiaire avec signature croisée.

Lors de la validation d’un certificat de serveur, l’application Citrix Workspace pour Mac utilise maintenant tous les certificats fournis par le serveur (ou la passerelle). Comme dans les versions précédentes de l’application Citrix Workspace pour Mac, il vérifie également que les certificats sont approuvés. Si les certificats ne sont pas tous approuvés, la connexion échoue.

Cette stratégie est plus stricte que la stratégie de certificat des navigateurs web. De nombreux navigateurs Web comprennent un grand nombre de certificats racine auxquels ils font confiance.

Le serveur (ou la passerelle) doit être configuré avec le jeu correct de certificats. Un jeu incorrect de certificats peut entraîner l’échec de la connexion de l’application Citrix Workspace pour Mac.

Supposons qu’une passerelle soit configurée avec ces certificats valides. Cette configuration est recommandée pour les clients qui requièrent une validation stricte, en déterminant précisément quel certificat racine est utilisé par l’application Citrix Workspace pour Mac :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple »
  • « Certificat racine exemple »

L’application Citrix Workspace pour Mac vérifie ensuite que tous ces certificats sont valides. L’application Citrix Workspace pour Mac vérifie également qu’il fait déjà confiance à « Certificat racine exemple ». Si l’application Citrix Workspace pour Mac ne fait pas confiance à « Certificat racine exemple », la connexion échoue.

Important

Certaines autorités de certification disposent de plus d’un certificat racine. Si vous avez besoin de cette validation plus stricte, assurez-vous que votre configuration utilise le certificat racine approprié. Par exemple, il existe actuellement deux certificats (« DigiCert »/« GTE CyberTrust Global Root » et « DigiCert Baltimore Root »/« Baltimore CyberTrust Root ») qui peuvent valider les mêmes certificats de serveur. Sur certaines machines utilisateur, les deux certificats racine sont disponibles. Sur les autres machines, seul (« DigiCert Baltimore Root »/« Baltimore CyberTrust Root ») est disponible. Si vous configurez « GTE CyberTrust Global Root » sur la passerelle, les connexions à l’application Citrix Workspace pour Mac sur ces machines utilisateur échouent. Consultez la documentation de l’autorité de certification pour déterminer quel certificat racine doit être utilisé. Notez également que les certificats racine finissent par expirer, comme tous les certificats.

Remarque

Certains serveurs et certaines passerelles n’envoient jamais le certificat racine, même si cela est configuré. Une validation plus stricte n’est par conséquent pas possible.

Supposons maintenant qu’une passerelle soit configurée avec ces certificats valides. Cette configuration, qui ignore le certificat racine, est généralement recommandée :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple »

L’application Citrix Workspace pour Mac utilise ces deux certificats. Il recherche ensuite un certificat racine sur la machine utilisateur. Si elle en trouve un qui est validé et également approuvé (tel que « Certificat racine exemple »), la connexion réussit. Sinon, la connexion échoue. Veuillez noter que cette configuration fournit le certificat intermédiaire dont l’application Citrix Workspace pour Mac a besoin, mais permet également à l’application Citrix Workspace pour Mac de choisir un quelconque certificat racine valide et approuvé.

Supposons maintenant qu’une passerelle soit configurée avec ces certificats :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple »
  • « Certificat racine incorrect »

Un navigateur Web peut ignorer le certificat racine incorrect. Toutefois, l’application Citrix Workspace pour Mac n’ignore pas le certificat racine incorrect et la connexion échoue.

Certaines autorités de certification disposent de plus d’un certificat intermédiaire. Dans ce cas, la passerelle est généralement configurée avec tous les certificats intermédiaires (mais pas le certificat racine) tels que :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple 1 »
  • « Certificat intermédiaire exemple 2 »

Important

Certaines autorités de certification utilisent un certificat intermédiaire avec signature croisée. Ce cas de figure est destiné aux situations dans lesquelles il existe plus d’un certificat racine, et qu’un certificat racine antérieur est toujours en cours d’utilisation en même temps qu’un certificat racine plus récent. Dans ce cas, il y aura au moins deux certificats intermédiaires. Par exemple, le certificat racine antérieur « Class 3 Public Primary Certification Authority » et le certificat intermédiaire avec signature croisée « VeriSign Class 3 Public Primary Certification Authority - G5 » correspondant. Toutefois, un certificat racine antérieur « VeriSign Class 3 Public Primary Certification Authority - G5 » correspondant est également disponible, et il remplace « Class 3 Public Primary Certification Authority ». Le certificat racine antérieur n’utilise pas de certificat intermédiaire avec signature croisée.

Remarque

Le certificat intermédiaire avec signature croisée et le certificat racine ont le même nom de sujet (Émis pour), mais le certificat intermédiaire avec signature croisée a un nom d’émetteur différent (Émis par). Cela permet de différencier le certificat intermédiaire avec signature croisée d’un certificat intermédiaire ordinaire (tel « Certificat intermédiaire exemple 2 »).

Cette configuration, qui ignore le certificat racine et le certificat intermédiaire avec signature croisée, est généralement recommandée :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple »

Évitez de configurer la passerelle de manière à utiliser le certificat intermédiaire avec signature croisée, car cela entraînerait la sélection du certificat racine antérieur :

  • « Certificat de serveur exemple »
  • « Certificat intermédiaire exemple »
  • « Certificat intermédiaire croisé exemple » [non recommandé]

Il n’est pas recommandé de configurer la passerelle avec le certificat de serveur uniquement :

  • « Certificat de serveur exemple »

Dans ce cas, si l’application Citrix Workspace pour Mac ne peut pas trouver tous les certificats intermédiaires, la connexion échoue.

Connexion via NetScaler Gateway

Pour permettre aux utilisateurs distants de se connecter à votre déploiement XenMobile via NetScaler Gateway, vous pouvez configurer ces derniers de manière à fonctionner avec StoreFront. La méthode que vous allez choisir pour autoriser l’accès dépend de l’édition de XenMobile dans votre déploiement.

Si vous déployez XenMobile dans votre réseau, autorisez les connexions des utilisateurs internes ou distants à StoreFront via NetScaler Gateway en intégrant NetScaler Gateway à StoreFront. Cette fonctionnalité permet aux utilisateurs de se connecter à StoreFront pour accéder aux applications publiées XenApp et aux bureaux virtuels XenDesktop. Les utilisateurs se connectent via l’application Citrix Workspace pour Mac.

Connexion avec la passerelle Secure Gateway

Cette rubrique s’applique uniquement aux déploiements faisant appel à l’Interface Web.

Vous pouvez utiliser la passerelle Secure Gateway en mode Normal ou en mode Relais afin de fournir un canal sécurisé de communication entre l’application Citrix Workspace pour Mac et le serveur. Il n’est pas nécessaire de configurer l’application Citrix Workspace pour Mac si vous utilisez la passerelle Secure Gateway en mode Normal et si les utilisateurs se connectent via l’Interface Web.

L’application Citrix Workspace pour Mac utilise les paramètres configurés à distance sur le serveur Interface Web pour se connecter aux serveurs exécutant Secure Gateway. Pour plus d’informations sur la configuration des paramètres de serveur proxy pour l’application Citrix Workspace pour Mac, veuillez consulter la documentation de l’Interface Web.

Si le proxy Secure Gateway est installé sur un serveur dans le réseau sécurisé, vous pouvez l’utiliser en mode Relais. Pour plus d’informations sur le mode Relais, veuillez consulter la documentation relative à XenApp et Secure Gateway.

Si vous utilisez le mode Relais, le serveur Secure Gateway fonctionne comme un serveur proxy. Dans ce cas, vous devez configurer l’application Citrix Workspace pour Mac pour qu’elle utilise :

  • le nom de domaine complet du serveur Citrix Secure Gateway ;
  • le numéro de port du serveur Citrix Secure Gateway. Veuillez noter que le mode Relais n’est pas pris en charge par Secure Gateway, version 2.0.

Le nom de domaine complet (FQDN) doit contenir, dans l’ordre, les trois composants suivants :

  • Nom d’hôte
  • Domaine intermédiaire
  • Domaine de tête

Par exemple : mon_ordinateur.exemple.com est un nom de domaine complet car il liste dans l’ordre un nom d’hôte (mon_ordinateur), un domaine intermédiaire (exemple) et un domaine de tête (com). La combinaison du domaine intermédiaire et du domaine de tête (example.com) est généralement appelée nom de domaine.

Connexion via un serveur proxy

Les serveurs proxy permettent de limiter l’accès vers et depuis votre réseau, et de gérer les connexions entre l’application Citrix Workspace pour Mac et les serveurs. L’application Citrix Workspace pour Mac prend en charge les protocoles de proxy SOCKS et de proxy sécurisé.

Lorsqu’elle communique avec le serveur XenApp ou XenDesktop, l’application Citrix Workspace pour Mac utilise les paramètres de serveur proxy configurés à distance sur le serveur Interface Web. Pour plus d’informations sur la configuration des paramètres de serveur proxy pour Citrix Workspace, veuillez consulter la documentation de l’Interface Web.

Lors la communication avec le serveur Web, l’application Citrix Workspace pour Mac utilise les paramètres de serveur proxy configurés pour le navigateur Web par défaut sur la machine utilisateur. Vous devez configurer les paramètres du serveur proxy pour le navigateur Web par défaut sur la machine utilisateur.

Connexion via un pare-feu

Les pare-feu de réseau peuvent autoriser ou empêcher le passage des paquets de données en fonction de l’adresse et du port de destination. Si vous utilisez un pare-feu dans votre déploiement, l’application Citrix Workspace pour Mac doit pouvoir communiquer via le pare-feu avec le serveur Web et le serveur Citrix. Le pare-feu doit permettre le trafic HTTP (généralement via le port http 80 ou 443 si un serveur Web sécurisé est utilisé) pour les communications entre la machine utilisateur et le serveur Web. Pour les communications entre Citrix Workspace et le serveur Citrix, le pare-feu doit autoriser le trafic ICA entrant sur les ports 1494 et 2598.

Si le pare-feu est configuré pour la traduction des adresses réseau, vous pouvez vous servir de l’Interface Web pour définir les mappages depuis les adresses internes vers les adresses externes et les ports. Par exemple, si votre serveur XenApp ou XenDesktop n’est pas configuré avec une adresse secondaire, vous pouvez configurer l’Interface Web pour qu’elle fournisse une adresse secondaire à l’application Citrix Workspace pour Mac. L’application Citrix Workspace pour Mac se connecte ensuite au serveur à l’aide de l’adresse externe et du numéro de port. Pour plus d’informations, veuillez consulter la documentation relative à l’Interface Web.

Connexion à l’aide de TLS

L’application Citrix Workspace pour Mac prend en charge TLS 1.0, 1.1 et 1.2 avec les suites de chiffrement suivantes pour les connexions TLS à XenApp/XenDesktop :

TLS :

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

DTLS :

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

Remarque :

L’application Citrix Workspace pour Mac exécutée sur Mac OS Sierra ne prend pas en charge les suites de chiffrement TLS suivantes :

  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

TLS (Transport Layer Security) est la dernière version normalisée du protocole TSL. Le groupe de travail Internet Engineering Taskforce (IETF) l’a rebaptisé TLS lorsqu’il est devenu responsable du développement de TLS sous la forme d’une norme ouverte.

TLS garantit la sécurité des communications de données grâce à l’authentification des serveurs, au cryptage du flux de données et aux contrôles d’intégrité des messages. Certaines organisations, notamment des organisations gouvernementales américaines, requièrent l’utilisation du protocole TLS pour la sécurisation de leurs communications de données. Ces organisations peuvent également exiger l’utilisation d’une cryptographie éprouvée, telle que FIPS 140. La norme FIPS 140 est une norme de cryptographie.

L’application Citrix Workspace pour Mac prend en charge les clés RSA de longueur 1024, 2048 et 3072. Les certificats racine avec des clés RSA de longueur de 4 096 bits sont aussi pris en charge.

Remarque

L’application Citrix Workspace pour Mac utilise le cryptage de plate-forme (OS X) pour les connexions entre l’application Citrix Workspace pour Mac et StoreFront.

Configuration et activation de l’application Citrix Workspace pour Mac pour TLS

Deux étapes principales permettent de configurer TLS :

  1. Configurez le Relais SSL sur votre serveur XenApp ou XenDesktop et sur votre serveur Interface Web, procurez-vous le certificat serveur approprié et installez-le.

  2. Installez le certificat racine équivalent sur la machine utilisateur.

Installation de certificats racine sur des machines utilisateur

Pour utiliser TLS afin de sécuriser les communications entre une application Citrix Workspace pour Mac sur laquelle TLS est activé et la batterie de serveurs, vous avez besoin d’un certificat racine sur la machine utilisateur afin de vérifier la signature de l’autorité de certification sur le certificat de serveur.

Mac OS X est fourni avec environ 100 certificats racine déjà installés, mais vous pouvez utiliser un autre certificat. Il vous suffit de vous le procurer à partir d’une autorité de certification et de l’installer sur chaque machine.

En fonction des procédures de sécurité de votre entreprise, vous pouvez soit installer le certificat racine sur chaque machine utilisateur, soit demander aux utilisateurs de l’installer eux-mêmes. Le choix le plus sûr et le plus facile consiste à ajouter des certificats racine au trousseau Mac OS X.

Pour ajouter un certificat racine au trousseau

  1. Double-cliquez sur le fichier contenant le certificat. Cela démarre automatiquement l’application Trousseau d’accès.
  2. Dans la boîte de dialogue Ajouter des certificats, choisissez l’une des options suivantes dans le menu déroulant Trousseau d’accès :
    • session (le certificat ne s’applique qu’à l’utilisateur actuel)
    • Système (le certificat s’applique à tous les utilisateurs d’une machine)
  3. Cliquez sur OK.
  4. Tapez votre mot de passe dans la boîte de dialogue S’authentifier et cliquez sur OK.

Le certificat racine est installé et peut être utilisé par des clients TLS et par toute autre application utilisant TLS.

À propos des stratégies TLS

Cette section fournit des informations sur la configuration des stratégies de sécurité pour les sessions ICA via TLS dans l’application Citrix Workspace pour Mac. Vous pouvez configurer certains paramètres TLS utilisés pour les connexions ICA dans l’application Citrix Workspace pour Mac. Ces paramètres ne sont pas exposés dans l’interface utilisateur ; pour les modifier, vous devez exécuter une commande sur l’appareil exécutant l’application Citrix Workspace pour Mac.

Remarque

D’autres moyens permettent de gérer les stratégies TLS, tels que lorsque les appareils sont contrôlés par un serveur OS X ou une autre solution de gestion des appareils mobiles.

Les stratégies TLS comprennent les paramètres suivants :

SecurityComplianceMode. Définit le mode de conformité aux exigences de sécurité pour la stratégie. Si vous ne configurez pas SecurityComplianceMode, FIPS est utilisé en tant que valeur par défaut. Les valeurs applicables pour ce paramètre sont les suivantes :

  • Aucun. Aucun mode de conformité n’est appliqué
  • FIPS. Les modules cryptographiques FIPS sont utilisés
  • SP800-52. La norme NIST SP800-52r1 est appliquée

defaults write com.citrix.receiver.nomas SecurityComplianceMode SP800-52

SecurityAllowedTLSVersions. Ce paramètre spécifie les versions du protocole TLS qui doivent être acceptées durant la négociation du protocole. Ces informations sont représentées dans un tableau et toute combinaison des valeurs possibles est prise en charge. Lorsque ce paramètre n’est pas configuré, les valeurs TLS10, TLS11 et TLS12 sont utilisées comme les valeurs par défaut. Les valeurs applicables pour ce paramètre sont les suivantes :

  • TLS10. Spécifie que le protocole TLS 1.0 est autorisé.
  • TLS11. Spécifie que le protocole TLS 1.1 est autorisé.
  • TLS12. Spécifie que le protocole TLS 1.2 est autorisé.

defaults write com.citrix.receiver.nomas SecurityAllowedTLSVersions -array TLS11 TLS12

SSLCertificateRevocationCheckPolicy. Cette fonctionnalité améliore l’authentification cryptographique du serveur Citrix et la sécurité globale des connexions SSL/TLS entre un client et un serveur. Ce paramètre régit la façon dont une autorité de certification racine approuvée est traitée lors d’une tentative d’ouverture d’une session distante via SSL lors de l’utilisation du client pour OS X.

Lorsque vous activez ce paramètre, le client vérifie si le certificat du serveur est révoqué ou non. Il existe plusieurs niveaux de vérification des listes de révocation de certificats. Par exemple, le client peut être configuré pour vérifier uniquement sa liste de certificats locaux ou pour vérifier les listes de certificats locaux et de réseau. En outre, la vérification des certificats peut être configurée pour autoriser les utilisateurs à se connecter uniquement si toutes les listes de révocation de certificats ont été vérifiées.

La vérification de la liste de révocation de certificats (CRL) est une fonctionnalité avancée prise en charge par certains émetteurs de certificats. Elle permet à un administrateur de révoquer des certificats de sécurité (invalidés avant leur date d’expiration) dans le cas où la clé privée du certificat est corrompue, ou simplement en cas de changement inattendu du nom DNS.

Les valeurs applicables pour ce paramètre sont les suivantes :

  • NoCheck. La liste de révocation de certificats n’est pas vérifiée.
  • CheckWithNoNetworkAccess. La liste de révocation de certificats est vérifiée. Seuls les magasins de la liste de révocation de certificats locaux sont utilisés. Tous les points de distribution sont ignorés. L’utilisation d’une liste de révocation de certificats n’est pas indispensable à la vérification du certificat serveur présenté par le serveur Relais SSL/Secure Gateway cible.
  • FullAccessCheck. La liste de révocation de certificats est vérifiée. Les magasins locaux de la liste de révocation de certificats et tous les points de distribution sont utilisés. L’utilisation d’une liste de révocation de certificats n’est pas indispensable à la vérification du certificat serveur présenté par le serveur Relais SSL/Secure Gateway cible.
  • FullAccessCheckAndCRLRequired. La liste de révocation de certificats est vérifiée, à l’exception de l’autorité de certification racine. Les magasins locaux de la liste de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation sont trouvées pour un certificat, la connexion sera refusée.
  • FullAccessCheckAndCRLRequiredAll. La liste de révocation de certificats est vérifiée, y compris l’autorité de certification racine. Les magasins locaux de la liste de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation sont trouvées pour un certificat, la connexion sera refusée.

Remarque

Si vous ne configurez pas SSLCertificateRevocationCheckPolicy, FullAccessCheck est utilisé comme valeur par défaut. defaults write com.citrix.receiver.nomas SSLCertificateRevocationCheckPolicy FullAccessCheckAndCRLRequired

Configuration de stratégies TLS

Pour configurer les paramètres TLS sur un ordinateur non géré, exécutez la commande defaults dans Terminal.app.

defaults est une application de ligne de commande que vous pouvez utiliser pour ajouter, modifier et supprimer des paramètres d’application dans un fichier plist de préférences OS X.

Pour modifier les paramètres :

  1. Ouvrez Applications > Utilitaires > Terminal.

  2. Dans Terminal, exécutez la commande :

defaults write com.citrix.receiver.nomas \<name\> \<type\> \<value\>

Où :

<name> : nom du paramètre décrit ci-dessus.

<type> : commutateur identifiant le type de paramètre, -string ou -array. Si le type de paramètre est une chaîne, vous pouvez l’ignorer.

<value> : valeur du paramètre. Si la valeur est un tableau et que vous spécifiez de multiples valeurs, les valeurs doivent être séparées par un espace.

defaults write com.citrix.receiver.nomas SecurityAllowedTLSVersions -array TLS11 TLS12

Rétablissement de la configuration par défaut

Pour rétablir la valeur par défaut d’un paramètre :

  1. Ouvrez Applications > Utilitaires > Terminal.

  2. Dans Terminal, exécutez la commande :

defaults delete com.citrix.receiver.nomas \<name\>

Où :

<name> : nom du paramètre décrit ci-dessus.

defaults delete com.citrix.receiver.nomas SecurityAllowedTLSVersions

Utilisation de l’interface utilisateur pour configurer les paramètres de sécurité

De nombreuses améliorations diverses et liées à la sécurité ont été introduites dans la version 12.3 de Citrix Receiver pour Mac, notamment :

  • Interface utilisateur de configuration de la sécurité améliorée. Dans les versions précédentes, la ligne de commande était la méthode préférée pour apporter des modifications à la sécurité ; les paramètres de configuration liés à la sécurité de la session sont maintenant simples et accessibles depuis l’interface, ce qui améliore l’expérience utilisateur tout en créant une méthode d’adoption des préférences homogène en matière de sécurité.
  • Connexions TLS. L’application Citrix Workspace pour Mac vous permet de vérifier les connexions établies à des serveurs qui utilisent une version de TLS spécifique, et d’obtenir des informations supplémentaires, notamment l’algorithme de cryptage utilisé pour la connexion, le mode, la taille de clé et si SecureICA est activé. Par ailleurs, vous pouvez afficher le certificat de serveur pour les connexions TLS.

L’écran Sécurité et confidentialité amélioré contient les nouvelles options suivantes dans l’onglet TLS :

  • Définir le mode de conformité
  • Configurer le module cryptographique
  • Sélectionner la version de TLS appropriée
  • Sélectionner la liste de révocation de certificats
  • Activer les paramètres pour toutes les connexions TLS

L’image ci-dessous illustre les paramètres Sécurité et confidentialité accessibles depuis l’interface :

Paramètres TLS