安全通信

• 为了保护 Citrix Virtual Apps and Desktops 服务器与 Citrix Workspace app 之间的通信安全，您可以使用以下安全技术集成 Citrix Workspace app 连接：

• Citrix Gateway：有关详细信息，请参阅本节中的主题以及 Citrix Gateway 和 StoreFront 文档。

• 注意：

• Citrix 建议在 StoreFront 服务器和用户设备之间使用 Citrix Gateway。

• 防火墙：网络防火墙可以根据目标地址和端口允许或阻止数据包。如果您通过网络防火墙使用 Citrix Workspace app，并且该防火墙将服务器的内部网络 IP 地址映射到外部 Internet 地址（即网络地址转换或 NAT），请配置外部地址。
• 受信任的服务器。
• 仅适用于 Citrix Virtual Apps 或 Web Interface 部署（不适用于 XenDesktop 7）：SOCKS 代理服务器或安全代理服务器（也称为安全代理服务器、HTTPS 代理服务器）。您可以使用代理服务器限制对网络的访问以及处理 Citrix Workspace app 与服务器之间的连接。Citrix Workspace app 支持 SOCKS 和安全代理协议。
  • 仅适用于 Citrix Virtual Apps 或 Web Interface 部署；不适用于 XenDesktop 7、XenDesktop 7.1、XenDesktop 7.5 或 XenApp 7.5：使用传输层安全性 (TLS) 协议的 SSL Relay 解决方案。
  • 对于 Citrix Virtual Apps and Desktops 7.6，您可以直接在用户和 VDA 之间启用 SSL 连接。

• 出站代理支持

Smart Control 允许管理员使用 Citrix Gateway 定义精细策略，以配置和强制执行 Citrix Virtual Apps and Desktops™ 和 Citrix DaaS（以前称为 Citrix Virtual Apps and Desktop service）的用户环境属性。例如，您可能希望禁止用户将其驱动器映射到其远程桌面。这可以通过 Citrix Gateway 上的 Smart Control 功能实现。

但是，当 Citrix Workspace app 和 Citrix Gateway 属于不同的企业帐户时，情况会发生变化。在这种情况下，客户端域无法应用 Smart Control 功能，因为网关不存在于客户端域上。相反，您可以利用出站 ICA 代理。即使 Citrix Workspace app 和 Citrix Gateway 部署在不同的组织中，出站 ICA 代理也允许您使用 Smart Control 功能。

Citrix Workspace app 支持使用 NetScaler LAN 代理启动会话。可以配置单个静态代理，也可以在运行时使用出站代理插件选择代理服务器。

您可以使用以下方法配置出站代理：

-  静态代理：通过提供代理主机名和端口号来配置代理服务器。
-  动态代理：可以使用代理插件 DLL 从一个或多个代理服务器中选择单个代理服务器。

-  您可以使用组策略对象管理模板和注册表编辑器配置出站代理。

有关出站代理的详细信息，请参阅 Citrix Gateway 文档中的出站 ICA 代理支持。

-  ### 出站代理支持 - 配置

注意：

如果同时配置了静态代理和动态代理，则动态代理配置优先。

-  **使用 GPO 管理模板配置出站代理：**

1. 通过运行 gpedit.msc 打开 Citrix Workspace app 组策略对象管理模板。
2. 在 Computer Configuration（计算机配置）节点下，转到 Administrative Templates（管理模板）> Citrix Workspace > Network routing（网络路由）。
3. 选择以下选项之一：
   • 对于静态代理：选择 Configure NetScaler® LAN proxy manually（手动配置 NetScaler® LAN 代理）策略。选择 Enabled（已启用），然后提供主机名和端口号。
   • 对于动态代理：选择 Configure NetScaler LAN proxy using DLL（使用 DLL 配置 NetScaler LAN 代理）策略。选择 Enabled（已启用），然后提供 DLL 文件的完整路径。例如，C:\Workspace\Proxy\ProxyChooser.dll。
4. 单击 Apply（应用）和 OK（确定）。

使用注册表编辑器配置出站代理：

• 对于静态代理：
  • 启动注册表编辑器并导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler。
  • 创建 DWORD 值项，如下所示：
• "StaticProxyEnabled"=dword:00000001
• "ProxyHost"="testproxy1.testdomain.com

  • "ProxyPort"=dword:000001bb

  • 对于动态代理：

  • 启动注册表编辑器并导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxy。
  • 创建 DWORD 值项，如下所示： "DynamicProxyEnabled"=dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"

TLS

本主题适用于 Citrix Virtual Apps and Desktops 7.6 及更高版本。

要将 TLS 加密用于 Citrix Workspace app 与服务器之间的所有通信，请配置用户设备、Citrix Workspace app，如果使用 Web Interface，则配置运行 Web Interface 的服务器。有关保护 StoreFront 通信的信息，请参阅 StoreFront 文档中的安全部分。

先决条件：

用户设备必须满足系统要求中指定的要求。

使用此策略可配置 TLS 选项，以确保 Citrix Workspace 应用程序安全识别其正在连接的服务器，并加密与服务器的所有通信。

-  您可以使用以下选项来：

-  强制使用 TLS：Citrix 建议所有通过不受信任的网络（包括 Internet）进行的连接都使用 TLS。
-  强制使用 FIPS（联邦信息处理标准）：批准的加密技术，并帮助符合 NIST SP 800-52 中的建议。这些选项默认禁用。
-  强制使用特定版本的 TLS 和特定 TLS 密码套件：Citrix Workspace 应用程序 for Windows 与 Citrix Virtual Apps and Desktops 和 Citrix DaaS 之间支持 TLS 1.0、TLS 1.1 和 TLS 1.2 协议。
-  仅连接到特定服务器。
-  检查服务器证书的吊销状态。
-  检查特定的服务器证书颁发策略。
-  如果服务器配置为请求客户端证书，则选择特定的客户端证书。

TLS 支持

1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序 GPO 管理模板。

2. 在计算机配置节点下，转到管理模板 > Citrix Workspace > 网络路由，然后选择TLS 和合规模式配置策略。

   • 

3. 选择“已启用”以启用安全连接并加密服务器上的通信。设置以下选项：

   注意：

   • Citrix 建议将 TLS 用于安全连接。

   1. 选择“要求所有连接使用 TLS”以强制 Citrix Workspace 应用程序对所有连接到已发布的应用程序和桌面的连接使用 TLS。

   2. 从“安全合规模式”菜单中，选择相应的选项：

   • 1. 无 - 不强制实施任何合规模式。
   • 1. SP800-52 – 选择 SP800-52 以符合 NIST SP 800-52。仅当服务器或网关符合 NIST SP 800-52 建议时，才选择此选项。

   • 注意：

     如果选择 SP800-52，将自动使用 FIPS 批准的加密技术，即使未选择“启用 FIPS”也是如此。您还必须启用 Windows 安全选项“系统加密: 使用 FIPS 兼容算法进行加密、哈希处理和签名”。否则，Citrix Workspace 应用程序可能无法连接到已发布的应用程序和桌面。

   • 如果选择 SP800-52，则必须选择“证书吊销检查策略”设置，并选择“完全访问检查”或“完全访问检查和 CRL 所需”。

   • 当您选择 SP800-52 时，Citrix Workspace 应用程序会验证服务器证书是否符合 NIST SP 800-52 中的建议。如果服务器证书不符合要求，Citrix Workspace 应用程序可能无法连接。

     1. 启用 FIPS – 选择此选项以强制使用 FIPS 批准的加密技术。您还必须从操作系统组策略中启用 Windows 安全选项“系统加密: 使用 FIPS 兼容算法进行加密、哈希处理和签名”。否则，Citrix Workspace 应用程序可能无法连接到已发布的应用程序和桌面。

   1. 从“允许的 TLS 服务器”下拉列表中，选择端口号。您可以通过逗号分隔的列表确保 Citrix Workspace 应用程序 for Windows 仅连接到指定的服务器。您可以指定通配符和端口号。例如，*.citrix.com: 4433 允许连接到公用名以 .citrix.com 结尾且端口为 4433 的任何服务器。证书颁发者声明安全证书中信息的准确性。如果 Citrix Workspace 不识别并信任颁发者，则连接将被拒绝。

   2. 从“TLS 版本”菜单中，选择以下选项之一：

   • TLS 1.0、TLS 1.1 或 TLS 1.2 - 这是默认设置。仅当出于兼容性原因存在 TLS 1.0 的业务要求时，才建议使用此选项。

   • TLS 1.1 或 TLS 1.2 – 使用此选项可确保 ICA 连接使用 TLS 1.1 或 TLS 1.2。

   • TLS 1.2 - 如果 TLS 1.2 是一项业务要求，则建议使用此选项。

   1. TLS 密码套件 - 要强制使用特定的 TLS 密码套件，请选择“政府 (GOV)”、“商业 (COM)”或“所有 (ALL)”。在某些 Citrix Gateway 配置中，您可能需要选择 COM。Citrix Workspace 应用程序支持 1024 位、2048 位和 3072 位长度的 RSA 密钥。还支持具有 4096 位长度 RSA 密钥的根证书。

   注意：

   Citrix 不建议使用 1024 位长度的 RSA 密钥

   • 任意：当设置为“任意”时，不配置策略，并允许以下任何密码套件：

     1. TLS_RSA_WITH_RC4_128_MD5
     2. TLS_RSA_WITH_RC4_128_SHA
     3. TLS_RSA_WITH_3DES_EDE_CBC_SHA
     4. TLS_RSA_WITH_AES_128_CBC_SHA
     5. TLS_RSA_WITH_AES_256_CBC_SHA
   • 1. TLS_RSA_WITH_AES_128_GCM_SHA256
   • 1. TLS_RSA_WITH_AES_256_GCM_SHA384

   • 商业：当设置为“商业”时，仅允许以下密码套件：

     1. TLS_RSA_WITH_RC4_128_MD5
     2. TLS_RSA_WITH_RC4_128_SHA
     3. TLS_RSA_WITH_AES_128_CBC_SHA
     4. TLS_RSA_WITH_AES_128_GCM_SHA256

   • 政府：当设置为“政府”时，仅允许以下密码套件：

     1. TLS_RSA_WITH_AES_256_CBC_SHA
     2. TLS_RSA_WITH_3DES_EDE_CBC_SHA
     3. TLS_RSA_WITH_AES_128_GCM_SHA256
     4. TLS_RSA_WITH_AES_256_GCM_SHA384
   1. 在证书吊销检查策略菜单中，选择以下任意一项：

   • 无网络访问检查 - 执行证书吊销列表检查。仅使用本地证书吊销列表存储。所有分发点均被忽略。查找证书吊销列表对于验证目标 SSL Relay/Citrix Secure Web Gateway 服务器提供的服务器证书并非强制性要求。

   • 完全访问检查 - 执行证书吊销列表检查。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息，则连接将被拒绝。查找证书吊销列表对于验证目标服务器提供的服务器证书并非关键。

   • 完全访问检查和 CRL 必需 - 执行证书吊销列表检查，不包括根 CA。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息，则连接将被拒绝。查找所有必需的证书吊销列表对于验证至关重要。

   • 完全访问检查和所有 CRL 必需 - 执行证书吊销列表检查，包括根 CA。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息，则连接将被拒绝。查找所有必需的证书吊销列表对于验证至关重要。

   • 不检查 - 不执行证书吊销列表检查。

   1. 使用策略扩展 OID，您可以将 Citrix Workspace 应用程序限制为仅连接到具有特定证书颁发策略的服务器。当您选择策略扩展 OID时，Citrix Workspace 应用程序仅接受包含该策略扩展 OID 的服务器证书。

   2. 在客户端身份验证菜单中，选择以下任意一项：

   • 已禁用 - 客户端身份验证已禁用。

   • 显示证书选择器 - 始终提示用户选择证书。

   • 如果可能，自动选择 - 仅当有可供选择的证书用于身份验证时才提示用户。

   • 未配置 – 表示未配置客户端身份验证。

   • 使用指定证书 - 使用“客户端证书”选项中设置的客户端证书。

   1. 使用客户端证书设置指定标识证书的指纹，以避免不必要地提示用户。

   2. 单击应用和确定以保存策略。

下表列出了每个集合中的密码套件：

防火墙

网络防火墙可以基于目标地址和端口允许或阻止数据包。如果您的部署中使用了防火墙，适用于 Windows 的 Citrix Workspace 应用程序必须能够通过防火墙与 Web 服务器和 Citrix 服务器进行通信。

常用 Citrix 通信端口

有关端口的更多信息，请参阅知识中心文章 CTX101810。

如果防火墙配置为网络地址转换 (NAT)，请使用 Web 界面定义从内部地址到外部地址和端口的映射。例如，如果您的 Citrix Virtual Apps and Desktops 服务器未配置备用地址，您可以配置 Web 界面以向 Citrix Workspace 应用程序提供备用地址。然后，Citrix Workspace 应用程序使用外部地址和端口号连接到服务器。

代理服务器

代理服务器用于限制对网络的访问，并处理适用于 Windows 的 Citrix Workspace 应用程序与服务器之间的连接。Citrix Workspace 应用程序支持 SOCKS 和安全代理协议。

与服务器通信时，Citrix Workspace 应用程序使用在运行 Workspace for Web 或 Web Interface 的服务器上远程配置的代理服务器设置。有关代理服务器配置的信息，请参阅 StoreFront 或 Web Interface 文档。

与 Web 服务器通信时，Citrix Workspace 应用程序使用通过用户设备上默认 Web 浏览器中的 Internet 设置配置的代理服务器设置。您必须相应地配置用户设备上默认 Web 浏览器中的 Internet 设置。

使用注册表编辑器配置代理设置，以强制 Citrix Workspace 应用程序在连接期间遵守或放弃代理服务器。

警告

不正确地编辑注册表可能会导致严重问题，可能需要重新安装操作系统。Citrix 无法保证可以解决因不正确使用注册表编辑器而导致的问题。

1. 导航到 \HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\AuthManager
2. 设置 ProxyEnabled(REG_SZ)。
   • True – 表示 Citrix Workspace 应用程序在连接期间遵守代理服务器。
   • False – 表示 Citrix Workspace 应用程序在连接期间放弃代理服务器。
3. 重新启动 Citrix Workspace 应用程序以使更改生效。

受信任的服务器

受信任的服务器配置可识别并强制执行 Citrix Workspace 应用程序连接中的信任关系。

启用受信任的服务器时，Citrix Workspace 应用程序会指定要求并决定是否可以信任与服务器的连接。例如，连接到特定地址（例如 https://\*.citrix.com）并使用特定连接类型（例如 TLS）的 Citrix Workspace 应用程序将被定向到服务器上的受信任区域。

启用此功能后，连接的服务器位于 Windows 受信任站点区域中。有关将服务器添加到 Windows 受信任站点区域的说明，请参阅 Internet Explorer 联机帮助。

使用组策略对象管理模板启用受信任的服务器配置

先决条件：

退出 Citrix Workspace 应用程序组件，包括连接中心。

1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序 GPO 管理模板。
2. 在计算机配置节点下，转到管理模板 > 经典管理模板(ADM) > Citrix 组件 > Citrix Workspace > 网络路由 > 配置受信任的服务器配置。
3. 选择已启用以强制 Citrix Workspace 应用程序执行区域识别。
4. 选择强制执行受信任的服务器配置。这会强制客户端使用受信任的服务器执行识别。
5. 从Windows Internet 区域下拉列表中，选择客户端服务器地址。此设置仅适用于 Windows 受信任站点区域。
6. 在地址字段中，设置除 Windows 之外的受信任站点区域的客户端服务器地址。您可以使用逗号分隔的列表。
7. 单击确定和应用。

ICA® 文件签名

ICA 文件签名有助于保护您免受未经授权的应用程序或桌面启动的影响。Citrix Workspace 应用程序会根据管理策略验证受信任的源是否生成了应用程序或桌面启动，并防止从不受信任的服务器启动。您可以使用组策略对象管理模板或 StoreFront 配置 ICA 文件签名。ICA 文件签名默认未启用。

有关为 StoreFront 启用 ICA 文件签名的信息，请参阅 StoreFront 文档中的启用 ICA 文件签名。

对于 Web Interface 部署，Web Interface 启用并配置应用程序或桌面启动，以便在使用 Citrix ICA 文件签名服务启动期间包含签名。该服务可以使用计算机个人证书存储中的证书对 ICA 文件进行签名。

配置 ICA 文件签名

注意：

如果未将 CitrixBase.admx\adml 添加到本地 GPO，则可能不存在启用 ICA 文件签名策略。

1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序组策略对象管理模板
2. 在计算机配置节点下，转到管理模板 > Citrix 组件。
3. 选择启用 ICA 文件签名策略，并根据需要选择以下选项之一：
   1. 已启用 - 表示您可以将签名证书指纹添加到受信任证书指纹的白名单中。
   2. 信任证书 - 单击显示以从白名单中删除现有签名证书指纹。您可以从签名证书属性中复制并粘贴签名证书指纹。
   3. 安全策略 - 从菜单中选择以下选项之一。
      1. 仅允许签名启动（更安全）：仅允许从受信任的服务器启动签名应用程序或桌面。如果签名无效，则会出现安全警告。由于未经授权，您无法启动会话。
      2. 在未签名启动时提示用户（安全性较低）- 启动未签名或签名无效的会话时，将出现消息提示。您可以选择继续启动或取消启动（默认）。
4. 单击应用和确定以保存策略。
5. 重新启动 Citrix Workspace 应用程序会话以使更改生效。

选择和分发数字签名证书：

选择数字签名证书时，Citrix 建议您从以下优先列表中进行选择：

1. 从公共证书颁发机构 (CA) 购买代码签名证书或 SSL 签名证书。
2. 如果您的企业拥有私有 CA，请使用私有 CA 创建代码签名证书或 SSL 签名证书。
3. 使用现有 SSL 证书，例如 Web Interface 服务器证书。
4. 创建根 CA 证书并通过 GPO 或手动安装将其分发到用户设备。