安全

要保护服务器场与适用于 iOS 的 Citrix Workspace 应用程序之间的通信安全,可以将与服务器场建立的连接与一系列的安全技术(包括 Citrix Gateway)集成在一起。

注意:

Citrix 建议使用 Citrix Gateway 以保护 StoreFront 服务器与用户设备之间的通信安全。

  • SOCKS 代理服务器或安全代理服务器(也称为安全代理服务器、HTTPS 代理服务器)。可以使用代理服务器来限制网络的入站和出站访问,并处理适用于 iOS 的 Citrix Workspace 应用程序与服务器之间的连接。适用于 iOS 的 Citrix Workspace 应用程序支持 SOCKS 和安全代理协议。
  • Secure Web Gateway。您可以结合使用 Secure Web Gateway 和 Web Interface,通过 Internet 为企业内部网络中的服务器提供单一、安全的加密访问点。
  • 采用传输层安全性 (TLS) 协议的 SSL Relay 解决方案。
  • 防火墙。网络防火墙可以根据目标地址和端口允许或阻止数据包通过。在使用适用于 iOS 的 Citrix Workspace 应用程序时,如果要经过将服务器内部网络 IP 地址映射到外部 Internet 地址(即网络地址转换,或 NAT)的网络防火墙,则应配置外部地址。

Citrix Gateway

要使远程用户能够通过 Citrix Gateway 连接到您的 Citrix Endpoint Management 部署,可以将证书配置为与 StoreFront 配合使用。启用访问权限的方法取决于部署中使用的 Citrix Endpoint Management 版本。

如果在网络中部署 Citrix Endpoint Management,应通过将 Citrix Gateway 与 StoreFront 相集成的方式来允许内部用户或远程用户通过 Citrix Gateway 与 StoreFront 建立连接。这种部署方法允许用户连接 StoreFront,从而通过 XenApp 访问已发布的应用程序,通过 XenDesktop 访问虚拟桌面。用户通过适用于 iOS 的 Citrix Workspace 应用程序进行连接。

Secure Web Gateway

本主题仅适用于使用 Web Interface 的部署。

可以在普通模式或中继模式下使用 Secure Web Gateway,来为适用于 iOS 的 Citrix Workspace 应用程序与服务器之间的通信提供安全通道。如果在普通模式下使用 Secure Web Gateway,并且用户通过 Web Interface 进行连接,则不需要配置适用于 iOS 的 Citrix Workspace 应用程序。

适用于 iOS 的 Citrix Workspace 应用程序使用在 Web Interface 服务器上远程配置的设置连接到运行 Secure Web Gateway 的服务器。

如果安全网络中的服务器上安装了 Secure Web Gateway 代理,则可以在中继模式下使用 Secure Web Gateway 代理。如果使用中继模式,Secure Web Gateway 服务器将相当于一个代理,并且必须配置适用于 iOS 的 Citrix Workspace 应用程序才能使用:

  • Secure Web Gateway 服务器的完全限定的域名 (FQDN)。
  • Secure Web Gateway 服务器的端口号。请注意,Secure Web Gateway 版本 2.0 不支持中继模式。

FQDN 必须按顺序列出以下三个组成部分:

  • 主机名
  • 中间域
  • 顶级域

例如,my_computer.my_company.com 是一个 FQDN,因为它依次列出主机名 (my_computer)、中间域 (example) 和顶级域 (com)。中间域和顶级域的组合 (example.com) 通常称为“域名”。

代理服务器

代理服务器用于限制网络的入站和出站访问,并处理适用于 iOS 的 Citrix Workspace 应用程序与服务器之间的连接。适用于 iOS 的 Citrix Workspace 应用程序支持 SOCKS 和安全代理协议。

与 Citrix Virtual Apps and Desktops 服务器通信时,适用于 iOS 的 Citrix Workspace 应用程序使用在 Web Interface 服务器上远程配置的代理服务器设置。

在与 Web 服务器进行通信时,适用于 iOS 的 Citrix Workspace 应用程序使用在用户设备上为默认 Web 浏览器配置的代理服务器设置。您必须相应地在用户设备上为默认 Web 浏览器配置代理服务器设置。

防火墙

网络防火墙可以根据目标地址和端口允许或阻止数据包通过。如果在部署中使用防火墙,则适用于 iOS 的 Citrix Workspace 应用程序必须能够经由防火墙与 Web 服务器和 Citrix 服务器通信。对于用户设备到 Web 服务器的通信,防火墙必须允许 HTTP 流量(如果正在使用安全 Web 服务器,则通常通过标准 HTTP 端口 80 或 443 传输流量)。对于 Citrix 服务器通信,防火墙必须允许在端口 1494 和 2598 上进行入站 ICA 通信。

如果为防火墙配置了网络地址转换 (NAT),您可以使用 Web Interface 定义从内部地址到外部地址的映射和端口。例如,如果没有为 Citrix Virtual Apps and Desktops 服务器配置备选地址,则可以将 Web Interface 配置为向适用于 iOS 的 Citrix Workspace 应用程序提供备选地址。然后,适用于 iOS 的 Citrix Workspace 应用程序使用外部地址和端口号连接服务器。

TLS

适用于 iOS 的 Citrix Workspace 应用程序支持对与 XenApp/XenDesktop 的 TLS 连接使用 TLS 1.0、1.1 和 1.2 以及以下密码套件:

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

注意:

iOS 9 及更高版本上运行的适用于 iOS 的 Citrix Workspace 应用程序不支持以下 TLS 密码套件:

  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

传输层安全性 (TLS) 是 TLS 协议的最新标准化版本。互联网工程工作小组 (IETF) 在接管 TLS 开放式标准的开发任务后,将其更名为 TLS。

TLS 通过提供服务器身份验证、数据流加密和消息完整性检查,来保障数据通信的安全。有些组织(包括美国政府组织)要求使用 TLS 来保障数据通信的安全。这些组织可能还要求使用验证的加密,例如联邦信息处理标准 (FIPS) 140。FIPS 140 是一个加密标准。

适用于 iOS 的 Citrix Workspace 应用程序支持 1024、2048 和 3072 位长度的 RSA 密钥。此外,还支持 RSA 密钥长度为 4096 位的根证书。

注意:

适用于 iOS 的 Citrix Workspace 应用程序对适用于 iOS 的 Citrix Workspace 应用程序与 StoreFront 之间的连接使用平台 (iOS) 加密。

配置并启用 TLS

TLS 的设置主要涉及两个步骤:

  1. 在 Citrix Virtual Apps and Desktops 服务器和 Web Interface 服务器上设置 SSL Relay,以及获取并安装所需的服务器证书。
  2. 在用户设备上安装等效根证书。

在用户设备上安装根证书

在启用了 TLS 的适用于 iOS 的 Citrix Workspace 应用程序与 Citrix Virtual Apps and Desktops 之间,如果要使用 TLS 来保护通信安全,用户设备上需要有可以验证服务器证书上的证书颁发机构签名的根证书。

iOS 附带了约 100 个预安装的商用根证书,如果您要使用其他证书,可以从证书颁发机构获得证书并将其安装在每个用户设备上。

有时候,您可能需要亲自在每个用户设备上安装根证书,而不是让用户进行安装,这要取决于所在组织的策略和规程。最方便和最安全的方法是将根证书添加到 iOS 钥匙串中。

将根证书添加到钥匙串中

  1. 向您自己发送一封包含证书文件的电子邮件。
  2. 在设备上打开证书文件。这会自动启动“钥匙串访问”应用程序。
  3. 按照提示进行操作,添加证书。
  4. 自 iOS 10 起,请通过转至 iOS 的“设置”>“关于”>“证书信任设置”来验证证书是否可信。在“证书信任设置”下,查看“针对根证书启用完全信任”部分。请确保您的证书已被选定为接受完全信任。

根证书安装完毕,可供启用了 TLS 的客户端和使用 TLS 的其他应用程序使用。

XenApp Services 站点

要配置 XenApp Services 站点,请执行以下操作:

重要:

  • 使用 XenApp Services 站点的适用于 iOS 的 Citrix Workspace 应用程序支持 Citrix Secure Gateway 3.x。
  • 使用 Citrix Virtual Apps Web 站点的适用于 iOS 的 Citrix Workspace 应用程序支持 Citrix Secure Gateway 3.x。
  • 在 XenApp Services 站点上仅支持单重身份验证方法,在 Citrix Virtual Apps Web 站点上同时支持单重和双重身份验证方法。
  • 必须使用 Web Interface 5.4,该版本受所有内置浏览器支持。

在开始此配置之前,安装并配置要与 Web Interface 一起运行的 Citrix Gateway。您可以修改这些指令来适合您的具体环境。

如果使用 Citrix Secure Gateway 连接,则不要在适用于 iOS 的 Citrix Workspace 应用程序上配置 Citrix Gateway 设置。

适用于 iOS 的 Citrix Workspace 应用程序使用 XenApp Services 站点获取与用户有权访问的应用程序有关的信息,并将这些信息提供给在设备上运行的适用于 iOS 的 Citrix Workspace 应用程序。这与使用 Web Interface 建立传统的基于 SSL 的 Citrix Virtual Apps 连接的方式相似,对于这种连接,可以配置 Citrix Gateway。在 Web Interface 5.x 上运行的 XenApp Services 站点内置了此配置功能。

将 XenApp Services 站点配置为支持通过 Citrix Secure Gateway 进行的连接:

  1. 在 XenApp Services 站点中,选择 Manage secure client access(管理安全客户端访问)> Edit secure client access(编辑安全客户端访问) 设置。
  2. 将访问方法改为 Gateway Direct(网关直接)。
  3. 输入 Secure Web Gateway 的 FQDN。
  4. 输入 Secure Ticket Authority (STA) 信息。

注意:

对于 Citrix Secure Gateway,Citrix 建议为该站点使用 Citrix 默认路径 (//XenAppServerName/Citrix/PNAgent)。用户可以利用默认路径指定自己连接的 Secure Web Gateway 的 FQDN,而不必指定驻留在 XenApp Services 站点上的 config.xml 文件的完整路径(例如 //XenAppServerName/CustomPath/config.xml)。

配置 Citrix Secure Gateway

  1. 在 Citrix Secure Gateway 上,使用“Citrix Secure Gateway Configuration”(Citrix Secure Gateway 配置)向导将 Citrix Secure Gateway 配置为使用托管 XenApp Services 站点的安全网络中的服务器。选择“Indirect”(间接)选项后,输入 Secure Web Gateway 服务器的 FQDN 路径,并继续执行向导步骤。
  2. 测试与用户设备之间的连接,以验证是否已针对网络连接和证书分配正确配置了 Secure Web Gateway。

配置移动设备

  1. 添加 Citrix Secure Gateway 帐户时,请在地址字段中输入 Secure Gateway 服务器的匹配 FQDN:
    • 如果使用默认路径 (/Citrix/PNAgent) 创建了 XenApp Services 站点,请输入 Secure Web Gateway 的 FQDN:FQDNofSecureGateway.companyName.com
    • 如果自定义了 XenApp Services 站点路径,请输入 config.xml 文件的完整路径,例如:FQDNofSecureGateway.companyName.com/CustomPath/config.xml
  2. 如果要手动配置帐户,请关闭 Citrix Gateway 选项新建帐户对话框。