ICA 文件签名可阻止启动来自不可信服务器的应用程序或桌面

2018 年 6 月 4 日

ICA 文件签名可帮助保护您免于启动未经授权的应用程序或桌面。Citrix Workspace 应用程序根据管理策略确认由可信源生成应用程序或桌面启动,并防止从不可信服务器进行启动。可以使用组策略对象管理模板、StoreFront 或 Citrix Merchandising Server 配置 ICA 文件签名。默认情况下,不启用 ICA 文件签名。有关为 StoreFront 启用 ICA 文件签名功能的信息,请参阅 StoreFront 文档。

对于 Web Interface 部署,Web Interface 可在启动过程中使用 Citrix ICA 文件签名服务启用并配置应用程序或桌面启动,使其包含签名。该服务可以使用计算机的个人证书存储中的证书对 ICA 文件进行签名。

包哈 Citrix Workspace 应用程序的 Citrix Merchandising Server 可以使用 Citrix Merchandising Server 管理员控制台 >“交付”向导启用并配置启动签名验证功能,从而添加可信证书指纹。

使用组策略对象管理模板配置 ICA 文件签名

注意

如果未将 CitrixBase.admx\adml 添加到本地 GPO,则启用 ICA 文件签名策略可能不存在。

  1. 通过运行 gpedit.msc 打开 Citrix Workspace 应用程序组策略对象管理模板
  2. 在“计算机配置”节点下,转至“管理模板”>“Citrix 组件”。
  3. 选择启用 ICA 文件签名策略并根据需要选择其中一个选项:
    1. 已启用 - 指示您可以将签名证书指纹添加到可信证书指纹的白名单中。
    2. 信任证书 - 单击“显示”可从白名单中删除现有的签名证书指纹。可以从签名证书属性中复制并粘贴签名证书指纹。
    3. 安全策略 - 从下拉菜单中选择以下选项之一。
      1. 仅允许签名的启动(更安全):仅允许来自可信服务器且已签名的应用程序或桌面启动。如果签名无效,则将显示安全警告。由于未授权,您无法启动会话。
      2. 在进行未签名的启动时提示用户(不安全) - 启动未签名或无效签名的会话时将显示一条消息提示。可以选择继续启动或取消启动(默认设置)。
  4. 单击应用确定保存此策略。

选择并分发数字签名证书

选择数字签名证书时,Citrix 建议您从下面已排好优先级顺序的列表中进行选择:

  1. 从公共证书颁发机构 (CA) 购买一个代码签名证书或 SSL 签名证书。
  2. 如果您的企业具有专用 CA,请使用该专用 CA 创建一个代码签名证书或 SSL 签名证书。
  3. 使用现有的 SSL 证书,例如 Web Interface 服务器证书。
  4. 创建一个新的根 CA 证书,并使用 GPO 或通过手动安装将其分发给用户设备。

ICA 文件签名可阻止启动来自不可信服务器的应用程序或桌面