廃止された暗号の組み合わせの構成

バージョン4.12のこのリリースには、TLS/DTLSセキュア通信プロトコルに関する次の2つの重要な変更が含まれています。DTLSバージョン1.2のサポート、およびForward Secrecyを提供しないTLS/DTLS暗号の組み合わせの廃止。

DTLSバージョン1.2は、UDPトランスポートプロトコルをサポートし、TCPトランスポートプロトコル用のTLSバージョン1.2に相当する機能を提供します。Windows向けCitrix Workspaceアプリの以前のバージョンでは、既にTLSバージョン1.2がサポートされていました。

接頭辞がTLS_RSA_の暗号の組み合わせは、Forward Secrecyを提供しません。これらの暗号の組み合わせは現在業界では推奨されていません。ただし、以前のバージョンのCitrix Virtual Apps and Desktopsとの後方互換性をサポートするために、Windows向けCitrix Workspaceアプリではこれらの暗号の組み合わせを利用できます。

非推奨の暗号の組み合わせを使用できるように、新しいグループポリシーオブジェクト管理用テンプレートが作成されました。Citrix Receiver for Windowsバージョン4.12では、このポリシーはデフォルトで有効になっていますが、AESまたは3DESアルゴリズムを使用した場合、デフォルトでこれらの非推奨の暗号の組み合わせを適用することはありませんただし、このポリシーを変更して使用することにより、非推奨をより厳密に適用することができます。

以下は、非推奨の暗号の組み合わせの一覧です。

  1. TLS_RSA_AES256_GCM_SHA384
  2. TLS_RSA_AES128_GCM_SHA256
  3. TLS_RSA_AES256_CBC_SHA256
  4. TLS_RSA_AES256_CBC_SHA
  5. TLS_RSA_AES128_CBC_SHA
  6. TLS_RSA_3DES_CBC_EDE_SHA
  7. TLS_RSA_WITH_RC4_128_MD5
  8. TLS_RSA_WITH_RC4_128_SHA

メモ

最後の2つの暗号の組み合わせはRC4アルゴリズムを使用しますが、安全ではないため推奨されていません。また、TLS_RSA_3DES_CBC_EDE_SHA暗号の組み合わせを非推奨にすることも検討してください。このポリシーを使用して、これらすべての非推奨を適用することができます。

DTLS v1.2を構成する方法について詳しくは、Citrix Virtual Apps and Desktopsドキュメントの「アダプティブトランスポート」を参照してください。

メモ

Windows向けCitrix Workspaceアプリを初めてアップグレードまたはインストールする場合、最新のテンプレートファイルをローカルGPOに追加します。テンプレートファイルをローカルGPOに追加する方法について詳しくは、「グループポリシーオブジェクト管理用テンプレートの構成」を参照してください。アップグレードの場合、最新のファイルをインポートする時に既存の設定が保持されます。

  1. gpedit.mscを実行して、Citrix WorkspaceアプリGPO管理用テンプレートを開きます。
  2. [コンピューターの構成]ノードで、[管理用テンプレート][Citrixコンポーネント][Citrix Workspace][ネットワークルーティング] の順に移動します。
  3. [廃止された暗号の組み合わせ] ポリシーを選択します。
  4. [有効] を選択し、次のオプションから選択します:
    1. TLS_RSA_:デフォルトでは、TLS_RSA_が選択されています。他の2つの暗号の組み合わせを使用するには、このオプションを選択する必要があります。このオプションを選択すると、次の暗号の組み合わせが含まれます。
      1. TLS_RSA_AES256_GCM_SHA384
      2. TLS_RSA_AES128_GCM_SHA256
      3. TLS_RSA_AES256_CBC_SHA256
      4. TLS_RSA_AES256_CBC_SHA
      5. TLS_RSA_AES128_CBC_SHA
      6. TLS_RSA_3DES_CBC_EDE_SHA
    2. TLS_RSA_WITH_RC4_128_MD5:RC4-MD5暗号の組み合わせを使用する場合、このオプションを選択します。
    3. TLS_RSA_WITH_RC4_128_SHA:RC4_128_SHA暗号の組み合わせを使用する場合、このオプションを選択します。
  5. [適用][OK] の順にクリックします。
  6. この変更を有効にするには、gpupdate /forceコマンドを実行します。

次の表は、各セットの暗号の組み合わせを示しています。

ローカライズされた画像

廃止された暗号の組み合わせの構成

In this article