安全

要保护服务器场与 Citrix Workspace 应用程序之间的通信安全，请将与服务器场建立的连接与一系列的安全技术（包括 Citrix Gateway）集成在一起。

注意：

Citrix 建议使用 Citrix Gateway 以保护 StoreFront 服务器与用户设备之间的通信安全。

• SOCKS 代理服务器或安全代理服务器（也称为安全代理服务器、HTTPS 代理服务器）。

  可以使用代理服务器来限制网络的入站和出站访问，并处理 Citrix Workspace 应用程序与服务器之间的连接。Citrix Workspace 应用程序支持 SOCKS 和安全代理协议。

• Secure Web Gateway。

  您可以结合使用 Secure Web Gateway 和 Web Interface，通过 Internet 为企业内部网络中的服务器提供单一、安全的加密访问点。

  可以使用带 Web Interface 的 Secure Web Gateway 来提供单一、安全的加密数据。公司内部网络上的服务器可以通过 Internet 访问受保护的数据。

• 采用传输层安全性 (TLS) 协议的 SSL Relay 解决方案。

• 防火墙。

  网络防火墙可以根据目标地址和端口允许或阻止数据包通过。

  在使用 Citrix Workspace 应用程序时，如果要经过将服务器内部网络 IP 地址映射到外部 Internet 地址（即网络地址转换，或 NAT）的网络防火墙，请配置外部地址。

Citrix Gateway

要使远程用户能够通过 Citrix Gateway 连接到您的 Citrix Endpoint Management 部署，可以将证书配置为与 StoreFront 配合使用。启用访问权限的方法取决于部署中使用的 Citrix Endpoint Management 版本。

如果在网络中部署 Citrix Endpoint Management，应通过将 Citrix Gateway 与 StoreFront 相集成的方式来允许内部用户或远程用户通过 Citrix Gateway 与 StoreFront 建立连接。这种部署方法允许用户连接 StoreFront，从而通过 XenApp 访问已发布的应用程序，通过 XenDesktop 访问虚拟桌面。用户通过 Citrix Workspace 应用程序进行连接。

Secure Web Gateway

本主题仅适用于使用 Web Interface 的部署。

可以在普通模式或中继模式下使用 Secure Web Gateway，来为 Citrix Workspace 应用程序与服务器之间的通信提供安全通道。如果您在普通模式下使用 Secure Web Gateway，则 Citrix Workspace 应用程序不需要任何配置。验证最终用户是否通过 Web Interface 进行连接。

Citrix Workspace 应用程序使用在 Web Interface 服务器上远程配置的设置连接到运行 Secure Web Gateway 的服务器。

如果安全网络中的服务器上安装了 Secure Web Gateway 代理，则可以在中继模式下使用 Secure Web Gateway 代理。如果使用中继模式，Secure Web Gateway 服务器将用作代理，并且必须配置 Citrix Workspace 应用程序才能使用：

• Secure Web Gateway 服务器的完全限定的域名 (FQDN)。
• Secure Web Gateway 服务器的端口号。

注意：

Secure Web Gateway 2.0 不支持中继模式。

FQDN 必须按顺序列出以下三个组成部分：

• 主机名
• 中间域
• 顶级域

例如，my_computer.example.com 是一个 FQDN，因为它依次列出主机名 (my_computer)、中间域 (example) 和顶级域 (com)。中间域和顶级域的组合 (example. com) 称为“域名”。

代理服务器

代理服务器用于限制网络的入站和出站访问，并处理 Citrix Workspace 应用程序与服务器之间的连接。Citrix Workspace 应用程序同时支持 SOCKS 和安全代理协议。

Citrix Workspace 应用程序使用代理服务器设置与 Citrix Virtual Apps and Desktops 服务器进行通信。代理服务器设置是在 Web Interface 服务器上远程配置的。

当 Citrix Workspace 应用程序与 Web 服务器通信时，该应用程序将使用代理服务器设置。请相应地在用户设备上为默认 Web 浏览器配置代理服务器设置。

防火墙

网络防火墙可以根据目标地址和端口允许或阻止数据包通过。如果您在部署中使用防火墙，Citrix Workspace 应用程序必须能够经由防火墙与 Web 服务器和 Citrix 服务器通信。防火墙必须允许进行将 HTTP 流量从用户设备传输到 Web 服务器的通信。通常情况下，HTTP 流量通过标准 HTTP 端口 80 或 443（如果正在使用安全 Web 服务器）。对于 Citrix 服务器通信，防火墙必须允许在端口 1494 和 2598 上进行入站 ICA 通信。

如果防火墙进行了网络地址转换 (NAT) 配置，您可以使用 Web Interface 定义从内部地址到外部地址的映射和端口。例如，如果没有为 Citrix Virtual Apps and Desktops 和 Citrix DaaS（以前称为 Citrix Virtual Apps and Desktops 服务）服务器配置备选地址，则可以将 Web Interface 配置为向适用于 iOS 的 Citrix Workspace 应用程序提供备选地址。然后，适用于 iOS 的 Citrix Workspace 应用程序使用外部地址和端口号连接服务器。

TLS

Citrix Workspace 应用程序支持对与 XenApp 和 XenDesktop 的 TLS 连接使用 TLS 1.0、1.1 和 1.2 以及以下密码套件：

• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_RC4_128_SHA
• TLS_RSA_WITH_RC4_128_MD5
• TLS_RSA_WITH_3DES_EDE_CBC_SHA

注意：

iOS 9 及更高版本或版本 21.2.0 上运行的 Citrix Workspace 应用程序不支持以下 TLS 密码套件：

• TLS_RSA_WITH_RC4_128_SHA
• TLS_RSA_WITH_RC4_128_MD5

传输层安全性 (TLS) 是 TLS 协议的最新标准化版本。互联网工程工作小组 (IETF) 在接管 TLS 开放式标准的开发任务后，将其更名为 TLS。

TLS 通过提供服务器身份验证、数据流加密和消息完整性检查，来保障数据通信的安全。有些组织（包括美国政府组织）要求使用 TLS 来保障数据通信的安全。这些组织可能还要求使用验证的加密，例如联邦信息处理标准 (FIPS) 140。FIPS 140 是一个加密标准。

Citrix Workspace 应用程序支持 1024、2048 和 3072 位长度的 RSA 密钥。此外，还支持 RSA 密钥长度为 4096 位的根证书。

注意：

• Citrix Workspace 应用程序使用 Citrix Workspace 应用程序与 StoreFront 之间的连接使用 iOS 平台加密。

配置并启用 TLS

TLS 的设置主要涉及两个步骤：

1. 在 Citrix Virtual Apps and Desktops 服务器和 Web Interface 服务器上设置 SSL Relay，以及获取并安装所需的服务器证书。
2. 在用户设备上安装等效根证书。

在用户设备上安装根证书

要保护启用了 TLS 的 Citrix Workspace 应用程序与 Citrix Virtual Apps and Desktops 之间的通信，您需要在用户设备上使用根证书。此证书可以验证证书颁发机构在服务器证书上的签名。

iOS 附带大约 100 个预安装的商用根证书。如果要使用其他证书，可以从证书颁发机构接收一个证书，然后将其安装在每台用户设备上。

您可以在每个用户设备上安装根证书，而不是让用户进行安装，这取决于贵组织的策略和规程。最方便和最安全的方法是将根证书添加到 iOS 钥匙串中。

将根证书添加到钥匙串中

1. 向您自己发送一封包含证书文件的电子邮件。
2. 在设备上打开证书文件。此操作会自动启动“钥匙串访问”应用程序。
3. 按照提示进行操作，添加证书。

4. 自 iOS 10 起，请通过转至 iOS 的设置 > 关于 > 证书信任设置来验证证书是否可信。

   在“证书信任设置”下，查看“针对根证书启用完全信任”部分。请确保您的证书已被选定为接受完全信任。

根证书已安装。启用了 TLS 的客户端和其他应用程序可以通过 TLS 使用根证书。

XenApp 和 XenDesktop 站点

要配置 XenApp 和 XenDesktop 站点，请执行以下操作：

重要：

• Citrix Workspace 应用程序使用支持 Citrix Secure Gateway 3.x 的 XenApp 和 XenDesktop 站点。
• Citrix Workspace 应用程序使用支持 Citrix Secure Gateway 3.x 的 Citrix Virtual Apps Web 站点。
• XenApp 和 XenDesktop 站点仅支持单重身份验证。
• Citrix Virtual Apps Web 站点支持单重身份验证和双重身份验证。
• 所有内置浏览器都支持 Web Interface 5.4。

在开始此配置之前，安装并配置要与 Web Interface 一起运行的 Citrix Gateway。您可以修改这些指令来适合您的具体环境。

如果您使用的是 Citrix Secure Gateway 连接，请勿在 Citrix Workspace 应用程序上配置 Citrix Gateway 设置。

Citrix Workspace 应用程序使用 XenApp 和 XenDesktop 站点来获取有关最终用户有权访问的应用程序的信息。在此过程中，信息将显示给在设备上运行的 Citrix Workspace 应用程序。同样，您可以将 Web Interface 用于传统的基于 SSL 的 Citrix Virtual Apps 连接。对于相同的基于 SSL 的连接，您可以配置 Citrix Gateway。在 Web Interface 5.x 上运行的 XenApp 和 XenDesktop 站点内置了此配置功能。

将 XenApp 和 XenDesktop 站点配置为支持通过 Citrix Secure Gateway 进行的连接：

1. 在 XenApp 和 XenDesktop 站点中，选择 Manage secure client access（管理安全客户端访问）> Edit secure client access settings（编辑安全客户端访问设置）。
2. 将访问方法改为 Gateway Direct（网关直接）。
3. 输入 Secure Web Gateway 的 FQDN。
4. 输入 Secure Ticket Authority (STA) 信息。

注意：

对于 Citrix Secure Gateway，Citrix 建议使用 Citrix 默认路径 (//XenAppServerName/Citrix/PNAgent)。默认路径允许最终用户指定其正在连接到的 Secure Web Gateway 的 FQDN。请勿使用 XenApp 和 XenDesktop 站点上的 config.xml 文件的完整路径。例如，//XenAppServerName/CustomPath/config.xml）。

配置 Citrix Secure Gateway

1. 使用 Citrix Secure Gateway 配置向导配置网关。

   Citrix Secure Gateway 支持托管 XenApp Services 站点的安全网络中的服务器。

   选择 Indirect（间接）选项后，输入 Secure Web Gateway 服务器的 FQDN 路径，并继续执行向导步骤。

2. 测试与用户设备之间的连接，以验证是否已针对网络连接和证书分配正确配置了 Secure Web Gateway。

配置移动设备

1. 添加 Citrix Secure Gateway 帐户时，请在地址字段中输入 Secure Gateway 服务器的匹配 FQDN：
   • 如果您使用默认路径 (/Citrix/PNAgent) 创建了 XenApp 和 XenDesktop 站点，请输入 Secure Web Gateway 的 FQDN：FQDNofSecureGateway.companyName.com
   • 如果您自定义了 XenApp 和 XenDesktop 站点的路径，请输入 config.xml 文件的完整路径，例如：FQDNofSecureGateway.companyName.com/CustomPath/config.xml
2. 如果要手动配置帐户，请取消选中 Citrix Gateway 选项新建帐户对话框。