Product Documentation

为 TLS 配置并启用 Receiver

Nov 02, 2016

本主题仅适用于 XenDesktop 7.6 或更高版本或者 XenApp 7.5。

要强制 Receiver 通过 TLS 进行连接,必须在 Secure Gateway 服务器或 SSL Relay Service 上指定 TLS。 有关详细信息,请参阅 Secure Gateway 或 SSL Relay Service 文档。

此外,请确保用户设备满足所有系统要求。

要对所有 Receiver 通信使用 TLS 加密,请配置用户设备、Receiver 以及运行 Web Interface 的服务器(如果使用 Web Interface)。 有关确保 StoreFront 通信安全的信息,请参阅 Citrix 产品文档中的 StoreFront 文档中“安全”下的主题。

在用户设备上安装根证书

在启用了 TLS 的 Receiver 与服务器场之间,如果要使用 TLS 来确保通信安全,用户设备上必须要有可以验证服务器证书上的证书颁发机构签名的根证书。

Receiver 支持 Windows 操作系统所支持的证书颁发机构。 这些证书颁发机构的根证书随 Windows 一起安装,并通过 Windows 实用程序进行管理。 它们就是 Microsoft Internet Explorer 所使用的根证书。

如果使用自己的证书颁发机构,则必须从该证书颁发机构获得一个根证书,并将其安装在每个客户端设备上。 之后,Microsoft Internet Explorer 和 Receiver 都会使用并信任该根证书。

或许也可以使用其他管理或部署方法来安装根证书,例如:

  • 使用 Microsoft Internet Explorer 管理工具包 (IEAK) 配置向导和配置文件管理器
  • 使用第三方部署工具

请确保 Windows 操作系统所安装的证书能够满足组织的安全要求,否则就应使用组织的证书颁发机构所颁发的证书。

将 Web Interface 配置为对 Receiver 使用 TLS

  1. 要使用 TLS 对在 Receiver 与运行 Web Interface 的服务器之间所传递的应用程序枚举和启动数据进行加密,请使用 Web Interface 配置相应的设置。 必须包括托管 SSL 证书的 XenApp 服务器的计算机名称。
  2. 要使用安全 HTTP (HTTPS) 对在 Receiver 与运行 Web Interface 的服务器之间所传递的配置信息进行加密,请按格式 https://servername 输入服务器 URL。 在 Windows 通知区域中的 Receiver 图标上单击鼠标右键,然后选择首选项
  3. 插件状态中的联机插件条目上单击鼠标右键,然后选择更改服务器

配置 TLS 支持

如果在本地计算机上更改此项配置,请关闭所有 Receiver 组件(包括连接中心)。
  1. 以管理员身份从开始菜单本地运行 gpedit.msc(该配置应用于单个计算机时)或者使用组策略管理控制台(使用 Active Directory 时),以打开“组策略编辑器”。
    注意:如果已将 icaclient 模板导入到“组策略编辑器”中,可以忽略步骤 2 到 5。
  2. 在组策略编辑器的左窗格中,选择“管理模板”文件夹。
  3. 操作菜单中,选择添加/删除模板
  4. 选择添加,浏览到 Receiver 的 Configuration 文件夹(路径通常为 C:\Program Files\Citrix\ICA Client\Configuration),然后选择 icaclient.adm。
  5. 选择打开以添加模板,然后选择关闭以返回到组策略编辑器。
  6. 在组策略编辑器中,依次前往管理模板 > 经典管理模板(ADM) > Citrix 组件 > Citrix Receiver > 网络路由 > TLS/SSL 数据加密和服务器标识
  7. 操作菜单中,依次选择属性已启用,然后从下拉式菜单中选择 TLS 设置。
    • 将“TLS 版本”设置为 TLS全部检测,以启用 TLS。 如果选择了全部检测,Receiver 将使用 TLS 加密进行连接。
    • 将 SSL 密码集设置为检测版本,使 Receiver 能够从“Government”(政府)和“Commercial”(商业)密码集中协商一个适当的密码集。 可以将密码集限定为“Government”(政府)或“Commercial”(商业)。
    • 将 CRL 验证设置为需要 CRL 才能进行连接,以要求 Receiver 尝试检索来自相关证书颁发者的证书吊销列表 (Certificate Revocation Lists, CRL)。

在 Web Interface 上使用组策略模板以满足 FIPS 140 安全性要求

如果在本地计算机上更改此项配置,请关闭所有 Receiver 组件(包括连接中心)。

要满足 FIPS 140 安全性要求,请使用“组策略”模板来配置参数,或者将这些参数加入到运行 Web Interface 的服务器上的 Default.ica 文件中。 有关 Default.ica 文件的其他信息,请参阅 Web Interface 相关信息。

  1. 以管理员身份从开始菜单本地运行 gpedit.msc(将策略应用于单台计算机时)或者使用组策略管理控制台(应用域策略时),打开组策略编辑器。
    注意:如果已将 icaclient 模板导入到“组策略编辑器”中,可以忽略步骤 3 到 5。
  2. 在组策略编辑器的左窗格中,选择“管理模板”文件夹。
  3. 操作菜单中,选择添加/删除模板
  4. 选择添加,浏览到 Receiver 的 Configuration 文件夹(路径通常为 C:\Program Files\Citrix\ICA Client\Configuration),然后选择 icaclient.adm。
  5. 选择打开以添加模板,然后选择关闭以返回到组策略编辑器。
  6. 在组策略编辑器中,依次前往管理模板 > 经典管理模板(ADM) > Citrix 组件 > Citrix Receiver > 网络路由 > TLS/SSL 数据加密和服务器标识
  7. 操作菜单中,选择属性,再选择已启用,然后从下拉式菜单中选择正确的设置。
    • TLS 版本设置为 TLS全部检测,以启用 TLS。 如果选择了全部检测,Receiver 将尝试使用 TLS 加密进行连接。
    • SSL 密码集设置为 Government(政府)。
    • CRL 验证设置为需要 CRL 才能进行连接

将 Web Interface 配置为使用 TLS 与 Citrix Receiver 进行通信

使用 Web Interface 时,应指定 SSL 证书托管服务器的计算机名称。 有关使用 TLS 来确保 Receiver 与 Web 服务器之间通信安全的详细信息,请参阅与 Web Interface 相关的信息。

  1. Configuration settings(配置设置)菜单中,选择 Server Settings(服务器设置)。
  2. 选择 Use SSL/TLS for communications between clients and the Web server(使用 SSL/TLS 实现客户端与 Web 服务器之间的通信)。
  3. 保存所做的更改。
选择 SSL/TLS 后,所有 URL 会改为使用 HTTPS 协议。

将 Citrix XenApp 配置为在与 Citrix Receiver 通信时使用 TLS

可以将 XenApp 服务器配置为使用 TLS 来确保 Receiver 与服务器之间的通信安全。

  1. 从 XenApp 服务器的 Citrix 管理控制台中,打开要确保其安全的应用程序对应的属性对话框。
  2. 选择高级 > 客户端选项,并确保选择启用 SSL 和 TLS 协议
  3. 对要保护的每个应用程序重复这些步骤。
使用 Web Interface 时,应指定 SSL 证书托管服务器的计算机名称。 有关使用 TLS 来确保 Receiver 与 Web 服务器之间通信安全的详细信息,请参阅与 Web Interface 相关的信息。

将 Citrix Receiver 配置为在与运行 Web Interface 的服务器通信时使用 TLS

可以将 Receiver 配置为使用 TLS 来确保 Receiver 与运行 Web Interface 的服务器之间的通信安全。

请确保用户设备上已安装了有效的根证书。 有关详细信息,请参阅在用户设备上安装根证书

  1. 在 Windows 通知区域中的 Receiver 图标上单击鼠标右键,然后选择首选项
  2. 插件状态中的联机插件条目上单击鼠标右键,然后选择更改服务器
  3. 更改服务器屏幕中会显示当前配置的 URL。 使用 TLS 加密配置数据,请以 https://servername 格式在文本框中键入服务器 URL。
  4. 单击更新应用所做的更改。
  5. 在用户设备浏览器中启用 TLS。 有关详细信息,请参阅浏览器的联机帮助。