配置已弃用的密码套件

2018 年 6 月 4 日

在版本 4.12 中,对 TLS/DTLS 安全通信协议进行了两个重要更改;支持 DTLS 版本 1.2,并且弃用了 TLS/DTLS 密码套件,这样将不提供向前保密。

DTLS 1.2 支持 UDP 传输协议,为 TCP 传输协议提供 TLS 1.2 的等效功能。早期版本的适用于 Windows 的 Citrix Workspace 应用程序已支持 TLS 1.2。

前缀为 TLS_RSA_ 的密码套件不提供向前保密。这些密码套件现在通常已被行业弃用。但是,为支持与较旧版本的 Citrix Virtual Apps and Desktops 向后兼容,适用于 Windows 的 Citrix Workspace 应用程序可以利用这些密码套件。

创建了一个新的组策略对象管理模板,以允许使用已弃用的密码套件。在 Citrix Receiver for Windows 4.12 中,此策略默认处于启用状态,但默认情况下不强制弃用这些使用 AES 或 3DES 算法的密码套件。但是,可以修改和使用此策略以更加严格地强制执行弃用。

下面是已弃用的密码套件列表:

  1. TLS_RSA_AES256_GCM_SHA384
  2. TLS_RSA_AES128_GCM_SHA256
  3. TLS_RSA_AES256_CBC_SHA256
  4. TLS_RSA_AES256_CBC_SHA
  5. TLS_RSA_AES128_CBC_SHA
  6. TLS_RSA_3DES_CBC_EDE_SHA
  7. TLS_RSA_WITH_RC4_128_MD5
  8. TLS_RSA_WITH_RC4_128_SHA

注意

最后两个密码套件使用 RC4 算法,弃用的原因是这些密码套件不安全。还可以考虑弃用 TLS_RSA_3DES_CBC_EDE_SHA 密码套件。可以使用此策略来强制执行所有这些弃用。

有关配置 DTLS v1.2 的信息,请参阅 Citrix Virtual Apps and Desktops 文档中的自适应传输

注意

首次升级或安装适用于 Windows 的 Citrix Workspace 应用程序时,必须向本地 GPO 中添加最新的模板文件。有关向本地 GPO 中添加模板文件的详细信息,请参阅配置组策略对象管理模板。如果进行升级,导出最新文件时将保留现有设置。

  1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序 GPO 管理模板
  2. 在“计算机配置”节点下,转至管理模板 > Citrix 组件 > Citrix Workspace > 网络路由
  3. 选择弃用的密码套件策略。
  4. 选择已启用并从以下选项中进行选择:
    1. TLS_RSA_: 默认情况下,选择 TLS_RSA_。必须选择此选项,才能使用其他两个密码套件。选择此选项时,将包含以下密码套件:
      1. TLS_RSA_AES256_GCM_SHA384
      2. TLS_RSA_AES128_GCM_SHA256
      3. TLS_RSA_AES256_CBC_SHA256
      4. TLS_RSA_AES256_CBC_SHA
      5. TLS_RSA_AES128_CBC_SHA
      6. TLS_RSA_3DES_CBC_EDE_SHA
    2. TLS_RSA_WITH_RC4_128_MD5: 选择此选项将使用 RC4-MD5 密码套件。
    3. TLS_RSA_WITH_RC4_128_SHA: 选择此选项将使用 RC4_128_SHA 密码套件。
  5. 单击应用确定
  6. 运行 gpupdate /force 以使更改生效。

下表列出了每组中的密码套件:

本地化后的图片

配置已弃用的密码套件

In this article