安装 Citrix Workspace 应用程序所需的必备条件

系统要求和兼容性

设备要求

硬件的系统要求示意图 库的系统要求示意图 组件 1 的系统要求示意图 组件 2 的系统要求示意图 组件 3 的系统要求示意图 组件 4 的系统要求示意图

兼容性列表

适用于 Linux 的 Citrix Workspace 应用程序与 Citrix 产品的所有当前受支持版本兼容。要获取有关 Citrix 产品生命周期的信息,以及了解何时 Citrix 会停止支持特定的产品版本,请参阅 Citrix 产品生命周期表

服务器要求

StoreFront

可以将适用于 Linux 的 Citrix Workspace 应用程序 1808 及更高版本基于浏览器的访问功能与 StoreFront 适用于 Web 的 Citrix Workspace 应用程序和 Web Interface 结合使用,安装或不安装 Citrix Gateway 插件皆可。

StoreFront:

  • StoreFront 3.x、2.6、2.5 和 2.1

    用于直接访问 StoreFront 应用商店。

  • 配置了适用于 Web 的 Workspace 的 StoreFront

    用于从 Web 浏览器访问 StoreFront 应用商店。有关此部署的限制,请参阅 Citrix Receiver for Web 站点中的“重要注意事项”。

Web Interface

Web Interface 与 NetScaler VPN 客户端结合使用:

  • Web Interface 5.4 for Windows Web 站点。

    提供从 Web 浏览器访问虚拟桌面和应用程序的功能。

  • 包含 XenApp Services 或 Citrix Virtual Desktops Services 站点的 Web Interface 5.4 for Linux

连接和证书

连接

适用于 Linux 的 Citrix Workspace 应用程序支持通过以下任一配置的 HTTPS 和 ICA-over-TLS 连接。

  • 对于 LAN 连接:

    • 使用 StoreFront 服务的 StoreFront 或适用于 Web 的 Workspace
    • Web Interface 5.4 for Windows,使用 Web Interface 或 XenApp Services
  • 对于安全的远程连接或本地连接:

    • Citrix Gateway 12.0
    • Netscaler Gateway 10.1 及更高版本
    • Netscaler Access Gateway Enterprise Edition 10
    • Netscaler Access Gateway Enterprise Edition 9.x
    • Netscaler Access Gateway VPX

    有关 StoreFront 支持的 Citrix Gateway 版本的信息,请参阅 StoreFront 的系统要求

证书

要确保服务器和客户端之间的安全传输,请使用以下证书:

专用(自签名)证书

如果远程网关上安装了专用证书,用户设备上必须安装组织的证书颁发机构颁发的根证书,才能使用 Citrix Workspace 应用程序访问 Citrix 资源。

注意:

如果连接时无法验证远程网关的证书(因为本地密钥库中不包含根证书),系统会显示一条警告,指出该证书不可信。如果用户选择忽略警告并继续,则会显示应用程序但无法启动。必须在客户端证书存储中安装根证书。

根证书

对于加入了域的计算机,您可以使用组策略对象管理模板以分发和信任 CA 证书。

对于未加入域的计算机,组织可以创建一个自定义安装软件包以分发和安装 CA 证书。请与系统管理员联系以获得帮助。

在用户设备上安装根证书

要使用 TLS,用户设备上需要安装根证书,才能验证服务器证书上的证书颁发机构签名。默认情况下,Citrix Workspace 应用程序支持以下证书。

证书 颁发机构
Class4PCA_G2_v2.pem VeriSign Trust Network
Class3PCA_G2_v2.pem VeriSign Trust Network
BTCTRoot.pem Baltimore Cyber Trust Root
GTECTGlobalRoot.pem GTE Cyber Trust Global Root
Pcs3ss_v4.pem 第 3 类公共主证书颁发机构
GeoTrust_Global_CA.pem GeoTrust
DigiCertGlobalRootCA.pem DigiCert 全局根 CA

您无需获取并在用户设备上安装根证书,即可使用这些证书颁发机构颁发的证书。但是,如果选择使用其他证书颁发机构,则必须从证书颁发机构获取根证书,并将其安装在每个用户设备上。

适用于 Linux 的 Citrix Workspace 应用程序支持 1024、2048 和 3072 位长度的 RSA 密钥。此外,还支持 RSA 密钥长度为 4096 位的根证书。

注意:

适用于 Linux 的 Citrix Workspace 应用程序 1808 及更高版本将使用 ctx_rehash 工具,如以下步骤中所述。

如果要对证书颁发机构颁发的尚不受用户设备信任的服务器证书进行身份验证,请先按以下说明进行操作,然后再添加 StoreFront 应用商店:

  1. 获取 PEM 格式的根证书。 提示:如果找不到此格式的证书,请使用 openssl 实用程序将 CRT 格式的证书转换为 .pem 文件。
  2. 以安装软件包的用户身份(通常为 root)执行以下操作:
    1. 将该文件复制到 $ICAROOT/keystore/cacerts。

    2. 运行以下命令:

      $ICAROOT/util/ctx_rehash

通配符证书

通配符证书用于代替同一域内任意服务器的各个服务器证书。适用于 Linux 的 Citrix Workspace 应用程序支持通配符证书,但是,只能在符合组织的安全策略时使用这些证书。在实际中,可以考虑使用通配符证书的替代选项,如使用者备用名称 (SAN) 扩展中包含服务器名称列表的证书。此类证书可能由私有证书颁发机构或公共证书颁发机构签发。

中间证书与 Citrix Gateway

如果您的证书链中包含中间证书,必须将该中间证书附加到 Citrix Gateway 服务器证书。有关信息,请参阅 Citrix Gateway 文档中的配置中间证书

如果 StoreFront 服务器无法提供与所使用的证书匹配的中间证书,或者要安装中间证书以支持智能卡用户,请先执行以下步骤,然后再添加 StoreFront 应用商店:

  1. 单独获取一个或多个 PEM 格式的中间证书。

    提示:

    如果找不到 PEM 格式的证书,请使用 openssl 实用程序将 CRT 格式的证书转换为 .pem 文件。

  2. 以用户身份(通常为 root)安装软件包:

    1. 将一个或多个文件复制到 $ICAROOT/keystore/intcerts。

    2. 以安装软件包的用户身份运行以下命令:

      $ICAROOT/util/ctx_rehash

联合服务器证书验证策略

适用于 Linux 的 Citrix Workspace 应用程序引入了更加严格的服务器证书验证策略。

重要:

安装适用于 Linux 的 Citrix Workspace 应用程序之前,请确认服务器或网关端的证书已按本文所述正确配置。以下情况下连接可能会失败:

  • 服务器或网关配置包括错误的根证书
  • 服务器或网关配置不包括所有中间证书
  • 服务器或网关配置包括过期或无效的中间证书
  • 服务器或网关配置包括交叉签名的中间证书

验证服务器证书时,适用于 Linux 的 Citrix Workspace 应用程序现在使用验证服务器证书时服务器(或网关)提供的所有证书。与在早期版本的适用于 Linux 的 Citrix Workspace 应用程序中相同,也会检查证书是否可信。如果证书不全部可信,连接将失败。

与 Web 浏览器中的证书策略相比,此策略更加严格。许多 Web 浏览器都包括大量信任的根证书。

必须为服务器(或网关)配置一组正确的证书。一组不正确的证书可能会导致适用于 Linux 的 Citrix Workspace 应用程序的连接失败。

假定为网关配置了以下有效的证书。建议需要更加严格的验证的客户使用此配置,方式是准确确定适用于 Linux 的 Citrix Workspace 应用程序使用的根证书:

  • “示例服务器证书”

  • “示例中间证书”

  • “示例根证书”

然后,适用于 Linux 的 Citrix Workspace 应用程序将检查所有这些证书是否都有效。适用于 Linux 的 Citrix Workspace 应用程序还将检查其是否已信任“示例根证书”。如果适用于 Linux 的 Citrix Workspace 应用程序不信任“示例根证书”,连接将失败。

重要:

  • 某些证书颁发机构具有多个根证书。如果您需要使用这一更加严格的验证方法,请确保您的配置使用恰当的根证书。例如,当前存在两个可以验证相同的服务器证书的证书(DigiCert/GTE CyberTrust Global Root 和 DigiCert Baltimore Root/Baltimore CyberTrust Root)。在某些用户设备上,这两个根证书都可用。在其他设备上,只有一个可用 (DigiCert Baltimore Root/Baltimore CyberTrust Root)。如果您在网关上配置了 GTE CyberTrust Global Root,则这些用户设备上的适用于 Linux 的 Citrix Workspace 应用程序连接将失败。请参阅证书颁发机构的文档以确定应使用的根证书。另请注意,根证书最终会过期,所有证书也是如此。
  • 某些服务器和网关从不发送根证书,即使已配置也是如此。更加严格的验证因而不可行。

现在假定为网关配置了以下有效的证书。通常推荐使用此配置(忽略根证书):

  • “示例服务器证书”

  • “示例中间证书”

然后,适用于 Linux 的 Citrix Workspace 应用程序将使用这两个证书。随后将搜索用户设备上的根证书。如果发现一个正确验证的根证书,并且也可信(例如“示例根证书”),连接将成功。否则,连接将失败。此配置提供适用于 Linux 的 Citrix Workspace 应用程序所需的中间证书,但是还允许适用于 Linux 的 Citrix Workspace 应用程序选择任何有效的可信根证书。

现在假定为网关配置了以下证书:

  • “示例服务器证书”

  • “示例中间证书”

  • “错误的根证书”

Web 浏览器可能会忽略错误的根证书。但是,适用于 Linux 的 Citrix Workspace 应用程序将不忽略错误的根证书,并且连接将失败。

某些证书颁发机构使用多个中间证书。在这种情况下,通常为网关配置所有中间证书(但不配置根证书),例如:

  • “示例服务器证书”

  • “示例中间证书 1”

  • “示例中间证书 2”

重要:

  • 某些证书颁发机构使用交叉签名的中间证书。这专用于存在多个根证书,并且同时仍在使用早期版本的根证书和更高版本的根证书的情形。在这种情况下,将至少存在两个中间证书。例如,更早版本的根证书“Class 3 Public Primary Certification Authority”具有相应的交叉签名的中间证书“VeriSign Class 3 Public Primary Certification Authority - G5”。但是,相应的更高版本的根证书“VeriSign Class 3 Public Primary Certification Authority - G5”也可用,该版本将替换“Class 3 Public Primary Certification Authority”。更高版本的根证书不使用交叉签名的中间证书。
  • 交叉签名的中间证书和根证书具有相同的使用者名称(颁发对象)。但交叉签名的中间证书具有不同的颁发者名称(颁发者)。这一差别将交叉签名的中间证书与普通的中间证书(例如“示例中间证书 2”)区分开来。

通常推荐使用此配置(忽略根证书和交叉签名的中间证书):

  • “示例服务器证书”

  • “示例中间证书”

请避免将网关配置为使用交叉签名的中间证书,因为网关将选择更早版本的根证书:

  • “示例服务器证书”

  • “示例中间证书”

  • “示例交叉签名中间证书”[不推荐]

不建议仅为网关配置服务器证书:

  • “示例服务器证书”

在这种情况下,如果适用于 Linux 的 Citrix Workspace 应用程序找不到所有中间证书,连接将失败。

安装 Citrix Workspace 应用程序所需的必备条件