Configurer et activer TLS

Cette rubrique s’applique à XenApp et XenDesktop version 7.6 et versions ultérieures.

Pour utiliser le cryptage TLS pour toutes les communications effectuées par Citrix Receiver pour Windows, configurez la machine utilisateur, Citrix Receiver pour Windows et, si vous utilisez l’Interface Web, le serveur exécutant l’Interface Web. Pour obtenir des informations sur la sécurisation des communications StoreFront, consultez la section Sécuriser dans la documentation StoreFront.Pour obtenir des informations sur la sécurisation de l’Interface Web, consultez la section Sécuriser dans la documentation de l’Interface Web.

Conditions préalables

Les machines utilisateur doivent présenter la configuration spécifiée dans la section Configuration système requise.

Utilisez cette stratégie pour configurer les options TLS qui permettent à Citrix Receiver pour Windows d’identifier de manière sécurisée le serveur auquel il se connecte et de crypter toutes les communications avec le serveur.

Vous pouvez utiliser les options pour :

  • Imposer l’utilisation de TLS. Citrix recommande d’utiliser le protocole TLS pour toutes les connexions sur des réseaux non approuvés, y compris Internet.
  • Imposer l’utilisation de la cryptographie approuvée FIPS (Federal Information Processing Standards) et vous conformer aux recommandations de la norme NIST SP 800-52. Ces options sont désactivées par défaut.
  • Imposer l’utilisation d’une version spécifique du protocole TLS, et de suites de chiffrement TLS spécifiques. Citrix prend en charge les protocoles TLS 1.0, TLS 1.1 et TLS 1.2 entre Citrix Receiver pour Windows, et XenApp ou XenDesktop.
  • Vous connecter uniquement à des serveurs spécifiques.
  • Vérifier si le certificat de serveur est révoqué.
  • Rechercher une stratégie d’émission de certificats de serveur spécifique.
  • Sélectionner un certificat client particulier, si le serveur est configuré pour en demander un.

Pour configurer la prise en charge TLS avec le modèle d’administration d’objet de stratégie de groupe

  1. En tant qu’administrateur, ouvrez le modèle d’administration d’objet de stratégie de groupe Citrix Receiver en exécutant gpedit.msc.

    • Pour appliquer la stratégie sur un seul ordinateur, lancez le modèle d’administration d’objet de stratégie de groupe Citrix Receiver à partir du menu Démarrer.
    • Pour appliquer la stratégie sur un domaine, lancez le modèle d’administration d’objet de stratégie de groupe Citrix Receiver à partir de la Console de gestion des stratégies de groupe.
  2. Sous le nœud Configuration ordinateur, accédez à Modèles d’administration > Citrix Receiver > Routage réseau et sélectionnez la stratégie Configuration de TLS et du mode de conformité.

    TLS et mode de conformité

  3. Sélectionnez Activé pour activer les connexions sécurisées et crypter les communications sur le serveur. Définissez les options suivantes. Remarque : Citrix recommande d’utiliser TLS pour sécuriser les connexions.

    1. Sélectionnez Exiger TLS pour toutes les connexions pour obliger Citrix Receiver pour Windows à utiliser TLS pour toutes les connexions aux applications et bureaux publiés.
    2. Dans le menu déroulant Mode de conformité aux normes de sécurité, sélectionnez l’option appropriée :
      1. Aucun : aucun mode de conformité n’est appliqué.
      2. SP800-52 : sélectionnez SP800-52 pour la conformité avec la norme NIST SP 800-52. Sélectionnez cette option uniquement si les serveurs ou la passerelle sont conformes aux recommandations de la norme NIST SP 800-52.

        Remarque : si vous sélectionnez SP800-52, la cryptographie approuvée FIPS est automatiquement utilisée, même si l’option Activer FIPS n’est pas sélectionnée. Vous devez également activer l’option de sécurité Windows Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature. Sinon, Citrix Receiver pour Windows peut ne pas parvenir à se connecter aux applications et bureaux publiés.

        Si vous sélectionnez SP800-52, vous devez sélectionner le paramètre Stratégie de vérification de la liste de révocation de certificats avec Vérifier avec accès complet ou Exiger vérification avec accès complet et toutes les listes de révocation de certificats. Si vous sélectionnez SP800-52, Citrix Receiver pour Windows vérifie que le certificat de serveur est conforme aux recommandations de la norme NIST SP 800-52.Si le certificat de serveur n’est pas conforme, Citrix Receiver pour Windows ne parviendra pas à se connecter.

      3. Activer FIPS : sélectionnez cette option pour imposer l’utilisation de la cryptographie approuvée FIPS. Vous devez également activer l’option de sécurité Windows de la stratégie de groupe de système d’exploitation Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signature. Sinon, Citrix Receiver pour Windows peut ne pas parvenir à se connecter aux applications et bureaux publiés.

      4. Dans le menu déroulant Serveurs TLS autorisés, sélectionnez le numéro de port. Vous pouvez vous assurer que Citrix Receiver se connecte uniquement à un serveur spécifié dans une liste séparée par des virgules. Vous pouvez spécifier des numéros de port et des caractères génériques. Par exemple, *.citrix.com:4433 autorise les connexions à tout serveur dont le nom commun se termine par .citrix.com sur le port 4433. L’émetteur du certificat certifie l’exactitude des informations contenues dans un certificat de sécurité. Si Citrix Receiver ne reconnaît pas et n’approuve pas l’émetteur, la connexion est refusée.

      5. Dans le menu déroulant Version TLS, sélectionnez une des options suivantes :

        • TLS 1.0, TLS 1.1 ou TLS 1.2 : il s’agit du paramètre par défaut. Cette option est recommandée uniquement si TLS 1.0 est requis pour des raisons de compatibilité.

        • TLS 1.1 ou TLS 1.2 : utilisez cette option pour vous assurer que les connexions ICA utilisent TLS 1.1 ou TLS 1.2

        • TLS 1.2 : cette option est recommandée si TLS 1.2 est exigé par une entreprise.

      6. Suite de chiffrement TLS : pour forcer l’utilisation des suites de chiffrement TLS, sélectionnez Gouvernement (GOV), Commercial (COM) ou Quelconque (ALL). Dans certaines configurations de NetScaler Gateway, vous devrez peut-être sélectionner COM. Citrix Receiver pour Windows prend en charge les clés RSA de longueur 1024, 2048 et 3072 bits. Les certificats racine avec des clés RSA de longueur de 4 096 bits sont aussi pris en charge. Remarque : Citrix ne recommande pas l’utilisation de clés RSA d’une longueur de 1024 bits. Consultez le tableau ci-dessous qui répertorie toutes les suites de chiffrement prises en charge. Quelconque : lorsque l’option « Quelconque » est sélectionnée, la stratégie n’est pas configurée et les suites de chiffrement suivantes sont autorisées : - TLS_RSA_WITH_RC4_128_MD5

        • TLS_RSA_WITH_RC4_128_SHA

        • TLS_RSA_WITH_3DES_EDE_CBC_SHA

        • TLS_RSA_WITH_AES_128_CBC_SHA

        • TLS_RSA_WITH_AES_256_CBC_SHA

        • TLS_RSA_WITH_AES_128_GCM_SHA256

        • TLS_RSA_WITH_AES_256_GCM_SHA384
        • Commerciale: lorsque « Commerciale » est sélectionnée, seules les suites de chiffrement suivantes sont autorisées ::

        • TLS_RSA_WITH_RC4_128_MD5

        • TLS_RSA_WITH_RC4_128_SHA

        • TLS_RSA_WITH_AES_128_CBC_SHA

        • TLS_RSA_WITH_AES_128_GCM_SHA256
        • Gouvernementale: lorsque « Gouvernementale » est sélectionnée, seules les suites de chiffrement suivantes sont autorisées ::

        • TLS_RSA_WITH_AES_256_CBC_SHA

        • TLS_RSA_WITH_3DES_EDE_CBC_SHA

        • TLS_RSA_WITH_AES_128_GCM_SHA256

        • TLS_RSA_WITH_AES_256_GCM_SHA384
      7. Dans le menu déroulant Stratégie de vérification de la liste de révocation de certificats, sélectionnez une des options suivantes :

        • Vérifier sans accès au réseau : la liste de révocation des certificats est vérifiée. Seuls les magasins de la liste de révocation de certificats locaux sont utilisés. Tous les points de distribution sont ignorés. L’utilisation de la liste de révocation de certificats n’est pas obligatoire à la vérification du certificat serveur présenté par le serveur Relais SSL/Secure Gateway cible.

        • Vérifier avec accès complet : la liste de révocation de certificats est vérifiée. Les magasins locaux de la liste de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation sont trouvées pour un certificat, la connexion est refusée. L’utilisation d’une liste de révocation de certificats n’est pas indispensable à la vérification du certificat serveur présenté par le serveur cible.

        • Exiger vérification avec accès complet et liste de révocation de certificats : la liste de révocation de certificats est vérifiée, à l’exception de l’autorité de certification racine. Les magasins locaux de la liste de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation sont trouvées pour un certificat, la connexion est refusée. Si des informations de révocation sont trouvées pour un certificat, la connexion sera refusée.

        • Exiger vérification avec accès complet et toutes les listes de révocation de certificats : la liste de révocation de certificats est vérifiée, y compris l’autorité de certification racine. Les magasins locaux de la liste de révocation de certificats et tous les points de distribution sont utilisés. Si des informations de révocation sont trouvées pour un certificat, la connexion est refusée. Si des informations de révocation sont trouvées pour un certificat, la connexion sera refusée.

        • Aucune vérification : la liste de révocation des certificats n’est pas vérifiée.

      8. Avec OID de l’extension de stratégie, vous pouvez restreindre Citrix Receiver pour Windows de manière à ce qu’il puisse uniquement se connecter à des serveurs avec une stratégie d’émission de certificats spécifique. Si l’option OID de l’extension de stratégie est sélectionnée, Citrix Receiver pour Windows n’accepte que les certificats de serveur contenant cet OID d’extension de stratégie.

      9. Dans le menu déroulant Authentification client, sélectionnez une des options suivantes :

        • Désactivé : l’authentification client est désactivée

        • Afficher sélecteur de certificats : toujours demander à l’utilisateur de sélectionner un certificat

        • Sélectionner automatiquement si possible : demander à l’utilisateur uniquement lorsque plusieurs certificats sont disponibles

        • Non configuré : indique que l’authentification du client n’est pas configurée.

        • Utiliser certificat spécifié : utiliser le certificat client défini dans l’option Certificat client.

      10. Utilisez le paramètre Certificat client pour spécifier l’empreinte numérique du certificat d’identification et éviter une intervention inutile de l’utilisateur.
  4. Cliquez sur Appliquer et OK pour enregistrer la stratégie.

Le tableau suivant répertorie les suites de chiffrement compris dans chaque ensemble :

                   
Suite de chiffrement TLS GOV COM ALL GOV COM ALL GOV COM TOUTES
Activer FIPS Désactivé Désactivé Désactivé Activé Activé Activé Activé Activé Activé
Mode de conformité aux normes de sécurité SP800-52 Désactivé Désactivé Désactivé Désactivé Désactivé Désactivé Activé Activé Activé
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 X   X X   X      
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 X   X X   X      
TLS_RSA_WITH_AES_256_GCM_SHA384 X   X X   X X   X
TLS_RSA_WITH_AES_128_GCM_SHA256 X X X X X X X X X
TLS_RSA_WITH_AES_256_CBC_SHA256 X   X X   X      
TLS_RSA_WITH_AES_256_CBC_SHA X   X X   X X   X
TLS_RSA_WITH_AES_128_CBC_SHA   X X   X X   X X
TLS_RSA_WITH_RC4_128_SHA   X X            
TLS_RSA_WITH_RC4_128_MD5   X X            
TLS_RSA_WITH_3DES_EDE_CBC_SHA X   X X   X X   X