Product Documentation

ICA 文件签名可阻止启动来自不可信服务器的应用程序或桌面

Nov 19, 2015

本主题仅适用于使用管理模板的 Web Interface 的部署。

ICA 文件签名功能可帮助保护用户免于启动未经授权的应用程序或桌面。Citrix Receiver 可根据管理策略确认由可信源生成该应用程序或桌面启动,并防止从不受信任的服务器进行启动。可以使用组策略对象、Storefront 或 Citrix Merchandising Server 为应用程序或桌面启动签名验证配置此 Receiver 安全策略。默认情况下,不启用 ICA 文件签名。有关为 StoreFront 启用 ICA 文件签名功能的信息,请参阅 StoreFront 文档。

对于 Web Interface 部署,Web Interface 可在启动过程中使用 Citrix ICA File Signing Service 启用并配置应用程序或桌面启动,使其包含签名。该服务可以使用计算机的个人证书存储中的证书签署 ICA 文件。

带 Receiver 的 Citrix Merchandising Server 可以使用 Citrix Merchandising Server 管理员控制台 > 交付向导启用并配置启动签名验证功能,从而添加可信证书指纹。

要使用组策略对象启用并配置应用程序或桌面启动签名验证,请执行下述过程:

  1. 以管理员身份从开始菜单本地运行 gpedit.msc(将策略应用于单台计算机时)或者使用组策略管理控制台(应用域策略时),打开组策略编辑器。
    注意:如果已将 ica-file-signing.adm 模板导入到“组策略编辑器”中,可以忽略第 2 步到第 5 步。
  2. 在组策略编辑器的左窗格中,选择“管理模板”文件夹。
  3. 操作菜单中,选择添加/删除模板
  4. 选择添加,然后浏览到 Receiver 的 Configuration 文件夹(通常位于 C:\Program Files\Citrix\ICA Client\Configuration),并选择 ica-file-signing.adm。
  5. 选择打开以添加模板,然后选择关闭以返回到组策略编辑器。
  6. 在组策略编辑器中,依次前往管理模板 > 经典管理模板(ADM) > Citrix 组件 > Citrix Receiver,然后导航到启用 ICA 文件签名
  7. 如果选择已启用,则通过单击显示并使用显示内容屏幕,可以将签名证书指纹添加到可信证书指纹白名单中,或者从该白名单中删除签名证书指纹。 可以从签名证书属性中复制并粘贴签名证书指纹。使用策略下拉式菜单选择仅允许已签名的启动(比较安全)向用户提示未签名的启动(不太安全)
    选项 说明
    仅允许已签名的启动(比较安全) 仅允许来自可信服务器且已正确签名的应用程序或桌面启动。如果应用程序或桌面启动的签名无效,系统将在 Receiver 中向用户显示一条安全警告消息。用户将无法继续,并且未经授权的启动会受到阻止。
    向用户提示未签名的启动(不太安全) 未签名或签名无效的应用程序或桌面每次尝试启动时都会提示用户。用户可以继续应用程序启动或终止启动(默认设置)。

选择并分发数字签名证书

选择数字签名证书时,Citrix 建议您从下面已排好优先级顺序的列表中进行选择:

  1. 从公共证书颁发机构 (CA) 购买一个代码签名证书或 SSL 签名证书。
  2. 如果您的企业具有专用 CA,请使用该专用 CA 创建一个代码签名证书或 SSL 签名证书。
  3. 使用现有的 SSL 证书,例如 Web Interface 服务器证书。
  4. 创建一个新的根 CA 证书,并使用 GPO 或通过手动安装将其分发给用户设备。