Product Documentation

确保 Receiver 通信安全

Nov 03, 2016

在本文中:

要确保服务器场与 Receiver 之间的通信安全,可将 Receiver 与服务器场之间的连接与一系列的安全技术集成在一起,这些安全技术包括:
  • Citrix NetScaler Gateway 或 Citrix Access Gateway。有关通过 Citrix StoreFront 配置上述连接的信息,请参阅 StoreFront 文档。
    注意:Citrix 推荐使用 NetScaler Gateway 以确保 StoreFront 服务器和用户设备之间的通信安全。
  • SOCKS 代理服务器或安全代理服务器(也称为安全代理服务器、HTTPS 代理服务器)。可以使用代理服务器来限制网络的入站和出站访问,并处理 Receiver 与服务器之间的连接。Receiver 支持 SOCKS 和安全代理协议。
  • Secure Gateway。您可以使用 Secure Gateway 和 Web Interface,通过 Internet 为公司内部网络的服务器提供单一、安全的加密访问点。
  • SSL Relay 解决方案与传输层安全性 (TLS) 协议
  • 防火墙。网络防火墙可以根据目标地址和端口允许或阻止数据包通过。在使用 Receiver 时,如果要经过将服务器内部网络 IP 地址映射到外部 Internet 地址(即网络地址转换,或 NAT)的网络防火墙,则应配置外部地址。

证书

专用(自签名)证书

如果远程网关上安装了专用证书,用户设备上必须安装组织的证书颁发机构颁发的根证书,才能使用 Receiver 成功访问 Citrix 资源。

注意:如果连接时无法验证远程网关的证书(因为本地密钥库中不包含根证书),系统会显示一条警告,指出该证书不受信任。 如果用户选择忽略该警告而继续进行操作,系统将显示应用程序列表,但应用程序无法启动。

在 Receiver for Mac 设备上导入根证书

可以获取证书颁发机构的根证书,并通过电子邮件将其发送给设备上已配置的帐户。 单击附件时,系统会要求您导入根证书。

通配符证书

通配符证书用于代替同一域内任意服务器的各个服务器证书。 Receiver for Mac 支持通配符证书。

Access Gateway 或 NetScaler Gateway 的中间证书

如果您的证书链中包含中间证书,必须将该中间证书添加到 Access Gateway 或 NetScaler Gateway 服务器证书。 有关此任务的信息,请参阅 Citrix 产品文档中的 NetScaler Gateway 文档。

通过 NetScaler Gateway 或 Access Gateway Enterprise Edition 进行连接

要使远程用户可以通过 NetScaler Gateway 或 Access Gateway 连接到 CloudGateway 部署,可以将 NetScaler Gateway 与 Access Gateway 配置为与 StoreFront(CloudGateway 的两个组件)配合使用。 启用访问权限的方法取决于部署中使用的 CloudGateway 版本:

如果在网络中部署 CloudGateway Express,可将 NetScaler Gatway 或 Access Gateway 与 StoreFront 相集成,从而允许内部或远程用户通过 NetScaler Gateway 或 Access Gateway 连接到 StoreFront。 这种部署方法允许用户连接 StoreFront,从而通过 XenApp 访问已发布的应用程序,通过 XenDesktop 访问虚拟桌面。 用户通过 Citrix Receiver 进行连接。

有关通过 NetScaler Gateway 配置这些连接的信息,请参考 Citrix 产品文档中的 Configuring NetScaler Gateway Settings with the Remote Access Wizard(使用远程访问向导配置 NetScaler Gateway 设置)部分。 有关通过 Access Gateway 配置这些连接的信息,请参考 Citrix 产品文档中的 Integrating Access Gateway with CloudGateway(将 Access Gateway 与 CloudGateway 相集成)部分。

要使远程用户能够通过 Access Gateway 连接到 Web Interface 部署,应将 Access Gateway 配置为与 Web Interface 配合使用,如 Citrix 产品文档中的 Configuring Access Gateway Enterprise Edition to Communicate with the Web Interface(将 Access Gateway Enterprise Edition 配置为与 Web Interface 通信)部分及其中的主题所述。

与 Secure Gateway 连接

本主题仅适用于使用 Web Interface 的部署。

可以在 Normal(普通)模式或 Relay(中继)模式下使用 Secure Gateway,来为 Receiver 与服务器之间的通信提供安全通道。如果在“Normal”(普通)模式下使用 Secure Gateway,并且用户通过 Web Interface 进行连接,则不需要对 Receiver 进行任何配置。

Receiver 使用在 Web Interface 服务器上远程配置的设置连接到运行 Secure Gateway 的服务器。有关为 Receiver 配置代理服务器设置的详细信息,请参阅 Web Interface 文档。

如果安全网络中的服务器上安装了 Secure Gateway 代理,则可以在“Relay”(中继)模式下使用 Secure Gateway 代理。有关“Relay”(中继)模式的详细信息,请参阅 XenApp (Secure Gateway) 文档。

如果使用“Relay”(中继)模式,Secure Gateway 服务器将相当于一个代理,并且必须对 Receiver 进行配置才能使用:
  • Secure Gateway 服务器的完全限定的域名 (FQDN)。
  • Secure Gateway 服务器的端口号。请注意,Secure Gateway 2.0 版本不支持“Relay”(中继)模式。
FQDN 必须按顺序列出以下三个组成部分:
  • 主机名
  • 中间域
  • 顶级域

例如:my_computer.my_company.com 是一个 FQDN,因为它依次列出主机名 (my_computer)、中间域 (my_company) 和顶级域 (com)。中间域和顶级域的组合 (my_company.com) 通常称为域名。

通过代理服务器进行连接

代理服务器用于限制网络的入站和出站访问,并处理 Receiver 与服务器之间的连接。Receiver 既支持 SOCKS 又支持安全代理协议。

与 XenApp 或 XenDesktop 服务器通信时,Receiver 使用在 Web Interface 服务器上远程配置的代理服务器设置。有关为 Receiver 配置代理服务器设置的信息,请参阅 Web Interface 文档。

在与 Web 服务器进行通信时,Receiver 使用在用户设备上为默认 Web 浏览器配置的代理服务器设置。您必须相应地在用户设备上配置默认 Web 浏览器的代理服务器设置。

使用安全套接字层 (SSL) 中继进行连接

可以将 Receiver 与 Secure Sockets Layer (SSL) Relay Service 集成在一起。Receiver X1 for Mac 12.0 支持 TLS 1.0、1.1 和 1.2

传输层安全性 (TLS) 是 SSL 协议的最新标准化版本。互联网工程工作小组 (IETF) 在接管 SSL 开放式标准的开发任务后,将 SSL 更名为 TLS。

TLS 通过提供服务器身份验证、数据流加密和消息完整性检查,来保障数据通信的安全。有些组织(包括美国政府组织)要求使用 TLS 来保障数据通信的安全。这些组织可能还要求使用验证的加密,例如联邦信息处理标准 (FIPS) 140。FIPS 140 是一个加密标准。

默认情况下,Citrix SSL Relay 使用 Citrix 服务器上的 TCP 端口 443 进行 TLS 安全通信。SSL Relay 收到 TLS 连接时,会先将数据解密,然后再重定向到服务器,或者,如果用户选择了 TLS+HTTPS 浏览,则重定向到 Citrix XML Service。

可以使用 Citrix SSL Relay 来保障以下情况下的通信安全:
  • 在启用 TLS 的 Receiver 与服务器之间。
  • 在 XenApp 服务器与 Web 服务器之间(通过运行 Web Interface 的服务器)。

有关配置和使用 SSL Relay 来保障安装的安全或配置 Web Interface 服务器来使用 TLS 加密的信息,请参阅 XenAppWeb Interface 文档。

为 TLS 配置并启用 Receiver

TLS 的设置主要涉及两个步骤:
  1. 在 XenApp 或 XenDesktop 服务器和 Web Interface 服务器上设置 SSL Relay,以及获取和安装所需的服务器证书。有关详细信息,请参阅 XenAppWeb Interface 文档。
  2. 在用户设备上安装等效根证书。

在用户设备上安装根证书

在启用 TLS 的 Receiver 与服务器场之间,如果要使用 TLS 来确保通信安全,用户设备上必须要有可以验证服务器证书上的证书颁发机构签名的根证书。

Mac OS X 附带了约 100 个已安装的商用根证书,如果您要使用其他证书,可以从证书颁发机构获得证书并将其安装在每个用户设备上。

有时候,您可能需要亲自在每个用户设备上安装根证书,而不是让用户进行安装,这要取决于所在组织的策略和规程。最方便和最安全的方法是将根证书添加到 Mac OS X 钥匙串中。

将根证书添加到钥匙串中

  1. 双击包含证书的文件。这会自动启动“钥匙串访问”应用程序。
  2. 添加证书对话框中,从钥匙串弹出菜单中选择以下各项之一:
    • 登录(证书只应用于当前用户。)
    • 系统(证书应用于设备的所有用户。)
  3. 单击
  4. 鉴定对话框中键入密码,然后单击

根证书即安装完毕,可供启用了 SSL 的客户端和使用 SSL 的其他应用程序使用。

通过防火墙进行连接

网络防火墙可以根据目标地址和端口允许或阻止数据包通过。如果在部署中使用防火墙,Receiver 必须能够经由防火墙与 Web 服务器和 Citrix 服务器通信。对于用户设备到 Web 服务器的通信,防火墙必须允许 HTTP 通信(如果正在使用安全 Web 服务器,则通常通过标准 HTTP 端口 80 或 443 进行通信)。对于 Receiver 到 Citrix 服务器的通信,防火墙必须允许在端口 1494 和 2598 上进行入站 ICA 通信。

如果防火墙进行了网络地址转换 (NAT) 配置,您可以使用 Web Interface 定义从内部地址到外部地址的映射和端口。例如,如果 XenApp 或 XenDesktop 服务器未配置有备选地址,则可以将 Web Interface 配置为向 Receiver 提供备选地址。然后,Receiver 使用外部地址和端口号连接服务器。有关详细信息,请参阅 Web Interface 文档。