安全

为了确保服务器场与 Citrix Workspace 应用程序之间的通信安全，请将您与服务器场的连接与一系列安全技术（包括 Citrix Gateway）集成。

注意：

Citrix 建议使用 Citrix Gateway 来保护 StoreFront 服务器与用户设备之间的通信。

• SOCKS 代理服务器或安全代理服务器（也称为安全代理服务器、HTTPS 代理服务器）。

• 您可以使用代理服务器来限制对网络的访问以及处理 Citrix Workspace 应用程序与服务器之间的连接。Citrix Workspace 应用程序支持 SOCKS 和安全代理协议。

• Secure Web Gateway。

  您可以将 Secure Web Gateway 与 Web Interface 结合使用，以通过 Internet 为内部公司网络上的服务器提供单一、安全且加密的访问点。

  您可以将 Secure Web Gateway 与 Web Interface 结合使用，以提供单一、安全且加密的数据。内部公司网络上的服务器可以通过 Internet 访问安全数据。

• 采用传输层安全性 (TLS) 协议的 SSL Relay 解决方案。

• 防火墙。

  网络防火墙可以根据目标地址和端口允许或阻止数据包。

  如果您通过网络防火墙使用 Citrix Workspace 应用程序，并且该防火墙将服务器的内部网络 IP 地址映射到外部 Internet 地址（即网络地址转换或 NAT），请配置外部地址。

基于地理位置的多站点应用商店故障转移支持

从版本 24.12.0 开始，多应用商店故障转移处理功能通过异步运行应用商店地址检查并在检测到新的故障转移应用商店地址时删除过时的应用商店条目来改进多应用商店故障转移处理。当由于中断而发生故障转移时，全局服务器负载平衡器 (GSLB) 会将客户端重定向到新站点。此功能可确保在启动以前添加的应用商店时，Gateway 检测器会根据用户的地理位置检查应用商店地址是否已更改。如果找到新地址，客户端会自动删除旧的应用商店条目并添加新条目。此过程在后台运行，无需手动干预即可无缝过渡到新的应用商店。 请注意，此功能仅适用于本地应用商店。

先决条件：

用户必须登录到应用商店。

• 限制：

如果登录会话 Cookie 过期，则多应用商店故障转移不会自动发生，因为用于获取 URL 的 API 会失败。在这种情况下，系统会提示登录页面。

使用网关的本地 WSUI 支持

• 从版本 24.12.0 开始，适用于 iOS 的 Citrix Workspace 应用程序也支持网关后面的本地应用商店的 Web UI。管理员必须配置此功能，因为它默认未启用。有关配置的更多信息，请参阅本地应用商店的新 UI（技术预览版）。

• 下图显示了当前 UI：

下图显示了新 UI：

Citrix Gateway

要使远程用户能够通过 Citrix Gateway 连接到您的 Citrix Endpoint Management 部署，您可以配置证书以与 StoreFront 配合使用。启用访问的方法取决于您部署中 Citrix Endpoint Management 的版本。

• 如果您在网络中部署 Citrix Endpoint Management，请通过将 Citrix Gateway 与 StoreFront 集成，允许内部或远程用户连接到 StoreFront。此部署允许用户连接到 StoreFront 以访问 XenApp 中的已发布应用程序和 XenDesktop 中的虚拟桌面。用户通过 Citrix Workspace 应用程序连接。

• Secure Web Gateway

• 本主题仅适用于使用 Web Interface 的部署。

您可以在“正常”模式或“中继”模式下使用 Secure Web Gateway，以在 Citrix Workspace 应用程序与服务器之间提供安全的通信通道。如果您在正常模式下使用 Secure Web Gateway，则 Citrix Workspace 应用程序不需要任何配置。请验证最终用户是否通过 Web Interface 连接。

Citrix Workspace 应用程序使用在 Web Interface 服务器上远程配置的设置来连接到运行 Secure Web Gateway 的服务器。

如果 Secure Web Gateway 代理安装在安全网络中的服务器上，则可以在中继模式下使用 Secure Web Gateway 代理。如果您使用中继模式，Secure Web Gateway 服务器将充当代理，并且您必须配置 Citrix Workspace 应用程序以使用：

• Secure Web Gateway 服务器的完全限定域名 (FQDN)。
• Secure Web Gateway 服务器的端口号。

注意：

Secure Web Gateway 2.0 版不支持中继模式。

FQDN 必须按顺序列出以下三个组件：

• 主机名
• 中间域
• 顶级域

例如，my_computer.example.com 是一个 FQDN，因为它按顺序列出了主机名 (my_computer)、中间域 (example) 和顶级域 (com)。中间域和顶级域的组合 (example.com) 称为域名。

代理服务器

代理服务器用于限制对网络的访问以及从网络进行的访问，并处理 Citrix Workspace 应用程序与服务器之间的连接。Citrix Workspace 应用程序支持 SOCKS 和安全代理协议。

Citrix Workspace 应用程序使用代理服务器设置与 Citrix Virtual Apps and Desktops 服务器通信。代理服务器设置在 Web Interface 服务器上远程配置。

当 Citrix Workspace 应用程序与 Web 服务器通信时，应用程序将使用代理服务器设置。相应地配置用户设备上默认 Web 浏览器的代理服务器设置。

防火墙

网络防火墙可以根据目标地址和端口允许或阻止数据包。如果您在部署中使用防火墙，Citrix Workspace 应用程序必须能够通过防火墙与 Web 服务器和 Citrix 服务器进行通信。防火墙必须允许用户设备到 Web 服务器通信的 HTTP 流量。通常，如果正在使用安全 Web 服务器，HTTP 流量通过标准 HTTP 端口 80 或 443。对于 Citrix 服务器通信，防火墙必须允许端口 1494 和 2598 上的入站 ICA 流量。

如果防火墙配置为网络地址转换 (NAT)，则可以使用 Web Interface 定义从内部地址到外部地址和端口的映射。例如，如果您的 Citrix Virtual Apps and Desktops 和 Citrix DaaS（以前称为 Citrix Virtual Apps and Desktops 服务）服务器未配置备用地址，则可以配置 Web Interface 以向适用于 iOS 的 Citrix Workspace 应用程序提供备用地址。适用于 iOS 的 Citrix Workspace 应用程序然后使用外部地址和端口号连接到服务器。

TLS

Citrix Workspace 应用程序支持 TLS 1.2 和 1.3，并使用以下密码套件连接到 XenApp 和 XenDesktop：

• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_RC4_128_SHA
• TLS_RSA_WITH_RC4_128_MD5
• TLS_RSA_WITH_3DES_EDE_CBC_SHA

注意：

在 iOS 9 及更高版本或 21.2.0 版上运行的 Citrix Workspace 应用程序不支持以下 TLS 密码套件：

• TLS_RSA_WITH_RC4_128_SHA
• TLS_RSA_WITH_RC4_128_MD5

传输层安全性 (TLS) 是 TLS 协议的最新标准化版本。互联网工程任务组 (IETF) 在接管将 TLS 开发为开放标准的职责后，将其重命名为 TLS。

TLS 通过提供服务器身份验证、数据流加密和消息完整性检查来保护数据通信安全。某些组织（包括美国政府组织）要求使用 TLS 来保护数据通信。这些组织可能还需要使用经过验证的加密技术，例如联邦信息处理标准 (FIPS) 140。FIPS 140 是一种加密标准。

Citrix Workspace 应用程序支持 1024 位、2048 位和 3072 位长度的 RSA 密钥。也支持具有 4096 位长度 RSA 密钥的根证书。

注意：

• Citrix Workspace 应用程序使用 iOS 平台加密来处理 Citrix Workspace 应用程序与 StoreFront 之间的连接。

配置和启用 TLS

设置 TLS 涉及两个主要步骤：

1. 在 Citrix Virtual Apps and Desktops™ 服务器和 Web Interface 服务器上设置 SSL Relay，并获取和安装必要的服务器证书。
2. 在用户设备上安装等效的根证书。

在用户设备上安装根证书

-  为了保护启用 TLS 的 Citrix Workspace 应用程序与 Citrix Virtual Apps and Desktops 之间的通信安全，您需要在用户设备上安装根证书。该证书可以验证服务器证书上证书颁发机构的签名。

iOS 附带大约 100 个预安装的商业根证书。如果要使用不同的证书，可以从证书颁发机构接收一个并将其安装在每个用户设备上。

根据您组织的策略和过程，您可以在每个用户设备上安装根证书，而不是指导用户安装它。最简单、最安全的方法是将根证书添加到 iOS 钥匙串。

将根证书添加到钥匙串

1. 给自己发送一封包含证书文件的电子邮件。
2. 在设备上打开证书文件。此操作会自动启动“钥匙串访问”应用程序。
3. 按照提示添加证书。

4. 从 iOS 10 开始，通过转到 iOS 设置 > 关于 > 证书信任设置 来验证证书是否受信任。

   在“证书信任设置”下，请参阅“启用根证书的完全信任”部分。确保您的证书已选择为完全信任。

根证书已安装。启用 TLS 的客户端和其他应用程序可以使用 TLS 来使用根证书。

支持传输层安全性 1.3

从 23.9.0 版本开始，适用于 iOS 的 Citrix Workspace 应用程序现在支持传输层安全性 (TLS) 1.3，可提高性能和效率。TLS 1.3 凭借其强大的密码套件和一次性会话密钥提供强大的安全性。

最终用户可以在适用于 iOS 的 Citrix Workspace 应用程序上按如下方式启用它。

1. 转到高级设置 > TLS 版本。
2. 选择 TLS 1.3 版本。

支持 DTLS 1.2

从 24.7.0 版本开始，适用于 iOS 的 Citrix Workspace 应用程序支持 DTLS 协议版本 1.2。DTLS 1.2 在以前版本的基础上进行了增强和改进，包括强大的加密算法、更好的握手协议以及针对各种攻击的保护。此协议提高了整体安全性。

注意：

如果 DTLS 协议版本 1.2 出现任何问题，适用于 iOS 的 Citrix Workspace 应用程序将无缝回退到以前支持的版本。

支持 Citrix Device Posture 服务

从 2402 版本开始，适用于 iOS 的 Citrix Workspace™ 应用程序支持 Citrix Device Posture 服务。Citrix Device Posture 服务是一种基于云的解决方案，可帮助管理员强制执行最终设备必须满足的某些要求，才能访问 Citrix DaaS（虚拟应用程序和桌面）或 Citrix Secure Private Access™ 资源。

对于适用于 iOS 的 Citrix Workspace 应用程序，设备状态仅支持扫描 Citrix Workspace 应用程序版本和 iOS 设备的操作系统版本。

有关详细信息，请参阅 设备状态 文档。

注意

此功能仅支持云商店。

XenApp 和 XenDesktop® 站点

要配置 XenApp® 和 XenDesktop 站点：

重要提示：

• Citrix Workspace 应用程序使用支持 Citrix Secure Gateway 3.x 的 XenApp 和 XenDesktop 站点。
• Citrix Workspace 应用程序使用支持 Citrix Secure Gateway 3.x 的 Citrix Virtual Apps 网站。
• XenApp 和 XenDesktop 站点仅支持单因素身份验证。
• Citrix Virtual Apps™ 网站支持单因素和双因素身份验证。
• 所有内置浏览器都支持 Web Interface 5.4。

在开始此配置之前，请安装并配置 Citrix Gateway 以与 Web Interface 配合使用。您可以根据您的特定环境调整这些说明。

如果您使用的是 Citrix Secure Gateway 连接，请勿在 Citrix Workspace 应用程序上配置 Citrix Gateway 设置。

Citrix Workspace 应用程序使用 XenApp 和 XenDesktop 站点来获取有关最终用户有权访问的应用程序的信息。在此过程中，信息会呈现在您设备上运行的 Citrix Workspace 应用程序中。同样，您可以将 Web Interface 用于传统的基于 SSL 的 Citrix Virtual Apps 连接。对于相同的基于 SSL 的连接，您可以配置 Citrix Gateway。在 Web Interface 5.x 上运行的 XenApp 和 XenDesktop 站点内置了此配置功能。

配置 XenApp 和 XenDesktop 站点以支持来自 Citrix Secure Gateway 连接的连接：

1. 在 XenApp 和 XenDesktop 站点中，选择管理安全客户端访问 > 编辑安全客户端访问设置。
2. 将访问方法更改为 Gateway Direct。
3. 输入安全 Web Gateway 的 FQDN。
4. 输入安全票证颁发机构 (STA) 信息。

注意：

对于 Citrix Secure Gateway，Citrix 建议使用 Citrix 默认路径 (//XenAppServerName/Citrix/PNAgent)。默认路径允许最终用户指定他们正在连接的安全 Web Gateway 的 FQDN。请勿使用 XenApp 和 XenDesktop 站点上 config.xml 文件的完整路径。例如，(//XenAppServerName/CustomPath/config.xml)。

配置 Citrix Secure Gateway

1. 使用 Citrix Secure Gateway 配置向导配置网关。

   Citrix Secure Gateway 支持托管 XenApp Service 站点的安全网络中的服务器。

   选择间接选项后，输入您的安全 Web Gateway 服务器的 FQDN 路径并继续向导步骤。

2. 从用户设备测试连接，以验证安全 Web Gateway 是否已正确配置网络和证书分配。

配置移动设备

1. 添加 Citrix Secure Gateway 帐户时，在地址字段中输入您的 Citrix Secure Gateway 服务器的匹配 FQDN：
   • 如果您使用默认路径 (/Citrix/PNAgent) 创建了 XenApp 和 XenDesktop 站点，请输入安全 Web Gateway FQDN：FQDNofSecureGateway.companyName.com
   • 如果您自定义了 XenApp 和 XenDesktop 站点的路径，请输入 config.xml 文件的完整路径，例如：FQDNofSecureGateway.companyName.com/CustomPath/config.xml
2. 如果您正在手动配置帐户，请清除新建帐户对话框中的 Citrix Gateway 选项。