Product Documentation

系统要求

Jan 23, 2018

设备要求

本版本的 Citrix Receiver for Android 及更高版本支持 Android 4.4 (KitKat)、5.x (Lollipop)、6.x (Marshmallow)、7.x (Nougat) 和 8.x (Oreo)。

为获得最佳结果,请将 Android 设备更新到最新的 Android 软件。

Citrix Receiver for Android 支持从 Receiver for Web 启动会话,前提是 Web 浏览器可用于 Receiver for Web。如果无法启动,请直接通过 Citrix Receiver for Android 配置您的帐户。

有关安全连接到您的 Citrix 环境的信息,请参阅“连接”部分。

Important

如果已安装 Citrix Receiver for Android 的技术预览版,请先卸载该版本,然后再安装新版本。

服务器要求

StoreFront:

  • StoreFront 2.6 或更高版本

    用于直接访问 StoreFront 应用商店。Receiver 还支持早期版本的 StoreFront。

  • 配置有 Receiver for Web 站点的 StoreFront

    用于从 Web 浏览器访问 StoreFront 应用商店。有关此部署的限制,请参阅 StoreFront 文档。

Web Interface(在 XenDesktop 7 及更高版本的部署中不受支持):

  • 配置了 Web Interface 站点的 Web Interface 5.4
  • 配置了 XenApp Services 站点的 Web Interface 5.4

NetScaler 上的 Web Interface:

必须启用 NetScaler 提供的重写策略。

XenApp 和 XenDesktop(以下任意产品):

  • XenApp 7.5 或更高版本
  • XenApp 6.5 for Windows Server 2008 R2
  • XenDesktop 7.x 或更高版本

连接

Citrix Receiver for Android 支持通过以下任一配置与 XenApp 服务器场之间进行的 HTTP、HTTPS 和 ICA-over-TLS 连接。

对于 LAN 连接:

  • StoreFront 2.6 或更高版本
  • Web Interface 5.4
  • XenApp Services(以前称为 Program Neighborhood Agent)站点。

对于安全远程连接(以下任一产品):

  • Citrix NetScaler Gateway 10 和 11(包括 VPX、MPX 和 SDX 版本)
  • 只有版本 9 和 10 支持 XenMobile.

关于安全连接和 TLS 证书

使用 TLS 保护远程连接的安全时,移动设备会对照受信根证书颁发机构的本地存储验证远程网关的 TLS 证书的可靠性。如果本地密钥库中存在证书颁发机构的根证书,该设备会自动识别针对商业用途而颁发的证书(例如 VeriSign 和 Thawte)。

专用(自签名)证书

如果远程网关上安装了专用证书,该移动设备上必须安装组织的证书颁发机构颁发的根证书,才能使用 Receiver 成功访问 Citrix 资源。

注意

如果在连接时无法验证远程网关的证书(因为本地密钥库中不包含根证书),系统会显示一条警告,指出该证书不受信任。如果用户选择忽略该警告而继续进行操作,系统会显示应用程序列表,但应用程序无法启动。

通配符证书

通配符证书用于代替同一域内任意服务器的各个服务器证书。Citrix Receiver for Android 支持通配符证书。

中间证书与 NetScaler Gateway

如果您的证书链中包含中间证书,必须将该中间证书附加到 Access Gateway 服务器证书。请参阅与您的 Access Gateway 版本匹配的知识中心文章:

CTX114146:How to Install an Intermediate Certificate on NetScaler Gateway(CTX114146:如何在 NetScaler Gateway 上安装中间证书)

除产品文档的这一部分中包含的配置主题外,另请参阅:

CTX124937: How to Configure NetScaler Gateway for Use with Citrix Receiver for Mobile Devices(CTX124937:如何配置 NetScaler Gateway,使其与适用于移动设备的 Citrix Receiver 结合使用)

联合服务器证书验证策略

Citrix Receiver for Android 引入了更加严格的服务器证书验证策略。

Important

安装本版本的 Citrix Receiver for Android 之前,请确认服务器或网关端的证书已按本文所述正确配置。以下情况下连接可能会失败:

- 服务器或网关配置包括错误的根证书
- 服务器或网关配置不包括所有中间证书
- 服务器或网关配置包括过期或无效的中间证书
- 服务器或网关配置包括交叉签名的中间证书

验证服务器证书时,Citrix Receiver for Android 现在使用验证服务器证书时服务器(或网关)提供的所有证书。与在早期版本的 Citrix Receiver for Android 中相同,也会检查证书是否受信任。如果证书不全部受信任,连接将失败。

与 Web 浏览器中的证书策略相比,此策略更加严格。许多 Web 浏览器都包括一大套信任的根证书。

必须为服务器(或网关)配置一组正确的证书。一组不正确的证书可能会导致 Citrix Receiver for Android 的连接失败。

假定为网关配置了以下有效的证书。建议需要更加严格的验证的客户使用此配置,方式是准确确定哪个根证书将由 Citrix Receiver for Android 使用:

- 示例服务器证书
- 示例中间证书
- 示例根证书

然后,Citrix Receiver for Android 将检查所有这些证书是否都有效。Citrix Receiver for Android 还将检查其是否已信任“示例根证书”。如果 Citrix Receiver for Android 不信任“示例根证书”,连接将失败。

Important

某些证书颁发机构具有多个根证书。如果您需要使用这一更加严格的验证方法,请确保您的配置使用恰当的根证书。例如,当前存在两个可以验证相同的服务器证书的证书(DigiCert/GTE CyberTrust Global Root 和 DigiCert Baltimore Root/Baltimore CyberTrust Root)。在某些用户设备上,这两个根证书都可用。在其他设备上,只有一个可用 (DigiCert Baltimore Root/Baltimore CyberTrust Root)。如果您在网关上配置了 GTE CyberTrust Global Root,这些用户设备上的 Citrix Receiver for Android 连接将失败。请参阅证书颁发机构的文档以确定应使用的根证书。另请注意,根证书最终会过期,所有证书也是如此。

注意

某些服务器和网关从不发送根证书,即使已配置也是如此。更加严格的验证因而不可行。

现在假定为网关配置了以下有效的证书。通常推荐使用此配置(忽略根证书):

- 示例服务器证书
- 示例中间证书

之后,Citrix Receiver for Android 将使用这两个证书。随后将搜索用户设备上的根证书。如果发现一个正确验证的根证书,并且也受信任(例如“示例根证书”),连接将成功。否则,连接将失败。此配置提供 Citrix Receiver for Android 所需的中间证书,但是还允许 Citrix Receiver for Android 选择任何有效的、受信任的根证书。

现在假定为网关配置了以下证书:

- 示例服务器证书
- 示例中间证书
- 错误的根证书

Web 浏览器可能会忽略错误的根证书。但是,Citrix Receiver for Android 将不忽略错误的根证书,并且连接将失败。

某些证书颁发机构使用多个中间证书。在这种情况下,通常为网关配置所有中间证书(但不配置根证书),例如:

- 示例服务器证书
- 示例中间证书 1
- 示例中间证书 2

Important

某些证书颁发机构使用交叉签名的中间证书。这专用于存在多个根证书,并且同时仍在使用早期版本的根证书作为较高版本的根证书的情形。在这种情况下,将至少存在两个中间证书。例如,早期版本的根证书“Class 3 Public Primary Certification Authority”具有相应的交叉签名的中间证书“VeriSign Class 3 Public Primary Certification Authority - G5”。但是,相应的更高版本的根证书“VeriSign Class 3 Public Primary Certification Authority - G5”也可用,该版本将替换“Class 3 Public Primary Certification Authority”。更高版本的根证书不使用交叉签名的中间证书。  

注意

交叉签名的中间证书和根证书具有相同的使用者名称(颁发对象),但交叉签名的中间证书具有不同的颁发者名称(颁发者)。这一差别将交叉签名的中间证书与普通的中间证书(例如“示例中间证书 2”)区分开来。

通常推荐使用此配置(忽略根证书和交叉签名的中间证书):

- 示例服务器证书
- 示例中间证书

请避免将网关配置为使用交叉签名的中间证书,因为网关将选择早期版本的根证书:

- 示例服务器证书
- 示例中间证书
- 示例交叉签名的中间证书 [不推荐]

建议不要仅为网关配置服务器证书:

- 示例服务器证书

在这种情况下,如果 Citrix Receiver for Android 找不到所有中间证书,连接将失败。

身份验证

注意

Secure Gateway 配置不支持 RSA SecurID 身份验证。要使用 RSA SecurID,请使用 NetScaler Gateway。

Citrix Receiver for Android 支持通过 NetScaler Gateway 使用以下方法进行身份验证(取决于您的版本):

  • 无身份验证(仅限 Standard Edition 和 Enterprise Edition)
  • 域身份验证
  • RSA SecurID,包括 Wi-Fi 和非Wi-Fi 设备的软件令牌
  • 与 RSA SecurID 配对的域身份验证
  • SMS 通行码(一次性 PIN)身份验证
  • 智能卡身份验证*

注意

不支持在 Web Interface 站点上执行智能卡身份验证。

Citrix Receiver for Android 现在支持以下产品和配置。

支持的智能卡读卡器:

  • BaiMobile 3000MP Bluetooth 智能卡读卡器

支持的智能卡:

  • PIV 卡
  • 通用访问卡

支持的配置:

  • 通过智能卡身份验证登录配置了 StoreFront 2 或 3 的 NetScaler Gateway 以及 XenDesktop 7.x 和更高版本或 XenApp 6.5 和更高版本
  • 通过智能卡身份验证登录配置了 Web Interface 5.4.2 的 NetScaler Gateway 以及 XenDesktop 7.x 和更高版本或 XenApp 6.5 或更高版本

注意

可以使用 RADIUS 对其他基于令牌的身份验证解决方案进行配置。有关 SafeWord 令牌身份验证的信息,请在产品文档中搜索“Configuring SafeWord Authentication”(配置 SafeWord 身份验证),并参阅与您使用的 NetScaler Gateway 版本匹配的说明。