Product Documentation

通过 Secure Sockets Layer (SSL) Relay 连接

Dec 13, 2016

本主题不适用于 XenDesktop 7、XenDesktop 7.1、XenDesktop 7.5 或 XenApp 7.5。

可以将 Citrix Receiver for Windows 与 Secure Sockets Layer (SSL) Relay Service 集成在一起。 Citrix Receiver for Windows 支持 TLS 协议。

  • TLS(传输层安全性)是 SSL 协议的最新标准化版本。 互联网工程工作小组 (IETF) 在接管 SSL 开放式标准的开发任务后,将 SSL 更名为 TLS。 TLS 通过提供服务器身份验证、数据流加密和消息完整性检查,来保障数据通信的安全。 有些组织(包括美国政府组织) 要求使用 TLS 来保障数据通信的安全。 这些组织可能还要求使用验证的加密,例如 FIPS 140(联邦信息处理标准)。 FIPS 140 是一个加密标准。

通过 Citrix SSL Relay 进行连接

本主题不适用于 XenDesktop 7、XenDesktop 7.1、XenDesktop 7.5 或 XenApp 7.5。

默认情况下,Citrix SSL Relay 使用 XenApp 服务器上的 TCP 端口 443 来进行 TLS 安全通信。 SSL Relay 收到 TLS 连接时,会先将数据解密,然后再重定向到服务器,或者,如果用户选择了 TLS+HTTPS 浏览,则重定向到 Citrix XML Service。

如果将 SSL Relay 配置为侦听 443 以外的其他端口,则必须将该非标准侦听端口号指定给插件。

可以使用 Citrix SSL Relay 来保障以下情况下的通信安全:

  • 在启用了 TLS 的客户端与服务器之间。 在 Program Neighborhood 连接中心中,采用 TLS 加密的连接会带有一个挂锁图标的标记。
  • 在 XenApp 服务器与 Web 服务器之间(通过运行 Web Interface 的服务器)。

有关配置 SSL Relay 来确保安装安全的信息,请参阅 XenApp 文档。

用户设备要求

除系统要求外,还必须确保:

  • 客户端设备支持 128 位加密
  • 客户端设备安装了根证书,可以检验服务器证书上的证书颁发机构签名
  • Citrix Receiver for Windows 知晓服务器场中 SSL Relay Service 所使用的 TCP 侦听端口号
  • 应用了 Microsoft 推荐的任何 Service Pack 或升级

如果您正在使用 Internet Explorer 并且不能确定系统的加密级别,请访问 Microsoft 网站 http://www.microsoft.com,安装能够提供 128 位加密的 Service Pack。

重要:Citrix Receiver for Windows 支持的证书密钥长度多达 4096 位。 请确保证书颁发机构根证书和中间证书的位长度以及服务器证书的位长度都不超出 Citrix Receiver for Windows 支持的位长度,否则连接可能会失败。

为所有连接应用不同的侦听端口号

  1. 以管理员身份从开始菜单本地运行 gpedit.msc(将策略应用于单台计算机时)或者使用组策略管理控制台(应用域策略时),打开组策略编辑器。
    注意:如果已将 Citrix Receiver for Windows 模板导入到“组策略编辑器”中,可以忽略第 2 步到第 5 步。
  2. 在组策略编辑器的左窗格中,选择“管理模板”文件夹。
  3. 操作菜单中,选择添加/删除模板
  4. 选择添加,然后浏览到插件的 Configuration 文件夹(通常位于 C:\Program Files\Citrix\ICA Client\Configuration),并选择 Citrix Receiver for Windows 模板文件。
    注意:根据 Windows 操作系统的版本,选择 Citrix Receiver for Windows 模板文件(receiver.adm 或 receiver.admx/receiver.adml)。
  5. 选择打开以添加模板,然后选择关闭以返回到组策略编辑器。
  6. 在组策略编辑器中,依次前往管理模板 > 经典管理模板(ADM) > Citrix 组件 > Citrix Receiver > 网络路由 > TLS/SSL 数据加密和服务器标识
  7. 操作菜单中,选择属性,选择已启用,然后在允许的 SSL 服务器文本框中按以下格式键入新端口号:server:SSL Relay 端口号,其中 SSL Relay 端口号是侦听端口的端口号。 可以使用通配符指定多个服务器。 例如,*.Test.com:SSL relay port number 将匹配通过指定的端口与 Test.com 建立的所有连接。

只为特定连接应用不同的侦听端口号

如果在本地计算机上更改此项配置,请关闭所有 Receiver 组件(包括连接中心)。
  1. 以管理员身份从开始菜单本地运行 gpedit.msc(将策略应用于单台计算机时)或者使用组策略管理控制台(应用域策略时),打开组策略编辑器。
    注意:如果已将 Citrix Receiver for Windows 模板添加到“组策略编辑器”,可以忽略第 2 步到第 5 步。
  2. 在组策略编辑器的左窗格中,选择“管理模板”文件夹。
  3. 操作菜单中,选择添加/删除模板
  4. 选择添加,然后浏览到 Receiver 的 Configuration 文件夹(通常位于 C:\Program Files\Citrix\ICA Client\Configuration),并选择 Citrix Receiver for Windows 模板文件。
    注意:根据 Windows 操作系统的版本,选择 Citrix Receiver for Windows 模板文件(receiver.adm 或 receiver.admx/receiver.adml)。
  5. 选择打开以添加模板,然后选择关闭以返回到组策略编辑器。
  6. 在组策略编辑器中,依次前往管理模板 > 经典管理模板(ADM) > Citrix 组件 > Citrix Receiver > 网络路由 > TLS/SSL 数据加密和服务器标识
  7. 操作菜单中,选择属性,选择已启用,然后在允许的 SSL 服务器文本框中按以下格式键入以逗号分隔的可信服务器和新端口列表:servername:SSL Relay 端口号,servername:SSL Relay 端口号,其中 SSL Relay 端口号是侦听端口的端口号。 可以指定一个与下例类似的特定可信 SSL 服务器的列表(逗号分隔):
     csghq.Test.com:443,fred.Test.com:443,csghq.Test.com:444 
    该列表在 appsrv.ini 示例文件中将转换为以下形式:

    SSLProxyHost=csghq.Test.com:443

    [Excel]

    SSLProxyHost=csghq.Test.com:444

    [Notepad]

    SSLProxyHost=fred.Test.com:443