Product Documentation

启用证书吊销列表检查

Nov 19, 2015

启用证书吊销列表 (CRL) 检查功能后,Receiver 将检查服务器的证书是否已经吊销。通过强制 Receiver 对此进行检查,可以改善服务器的加密身份验证,提高用户设备与服务器之间 TLS 连接的总体安全性。

可以启用多个级别的 CRL 检查。例如,可以将 Receiver 配置为只检查其本地证书列表,也可以配置为同时检查本地和网络证书列表。此外,还可以将证书检查机制配置为只有在验证了所有 CRL 之后才允许用户登录。

在本地计算机中进行这一更改时,如果 Receiver 正在运行,请先退出。确保包括连接中心在内的所有 Receiver 组件都已关闭。

  1. 以管理员身份从开始菜单本地运行 gpedit.msc(将策略应用于单台计算机时)或者使用组策略管理控制台(应用域策略时),打开组策略编辑器。
    注意:如果已将 icaclient 模板导入到“组策略编辑器”中,可以忽略步骤 2 到 5。
  2. 在组策略编辑器的左窗格中,选择“管理模板”文件夹。
  3. 操作菜单中,选择添加/删除模板
  4. 选择添加,浏览到 Receiver 的 Configuration 文件夹(路径通常为 C:\Program Files\Citrix\ICA Client\Configuration) 并选择 icaclient.adm。
  5. 选择打开以添加模板,然后选择关闭以返回到组策略编辑器。
  6. 在组策略编辑器中,依次前往管理模板 > 经典管理模板(ADM) > Citrix 组件 > Citrix Receiver > 网络路由 > TLS/SSL 数据加密和服务器标识
  7. 操作菜单中,选择属性,然后选择已启用
  8. CRL 验证下拉式菜单中,选择其中一个选项。
    • 已禁用。不执行证书吊销列表检查。
    • 只检查存储在本地的 CRL。 在证书验证中使用先前安装或下载的 CRL。如果证书被吊销,则连接会失败。
    • 需要 CRL 才能进行连接。 检查本地的和网络上来自相关证书颁发者的 CRL。如果证书被吊销或找不到,则连接会失败。
    • 从网络获取 CRL。 检查来自相关证书颁发者的 CRL。如果证书被吊销,则连接会失败。
    如果没有设置 CRL 验证,默认为只检查存储在本地的 CRL