Product Documentation

启用证书吊销列表检查

Dec 13, 2016

启用证书吊销列表 (CRL) 检查功能后,Citrix Receiver 将检查服务器的证书是否已经吊销。 通过强制 Citrix Receiver 对此进行检查,可以改善服务器的加密身份验证,提高用户设备与服务器之间 TLS 连接的总体安全性。

可以启用多个级别的 CRL 检查。 例如,可以将 Citrix Receiver 配置为只检查其本地证书列表,也可以配置为同时检查本地和网络证书列表。 此外,还可以将证书检查机制配置为只有在验证了所有 CRL 之后才允许用户登录。

在本地计算机中进行这一更改时,如果 Citrix Receiver 正在运行,请先退出。 确保包括连接中心在内的所有 Citrix Receiver 组件都已关闭。

  1. 以管理员身份从开始菜单本地运行 gpedit.msc(将策略应用于单台计算机时)或者使用组策略管理控制台(应用域策略时),打开组策略编辑器。
    注意:如果已将 Citrix Receiver for Windows 模板导入到“组策略编辑器”中,可以忽略第 2 步到第 5 步。
  2. 在组策略编辑器的左窗格中,选择“管理模板”文件夹。
  3. 操作菜单中,选择添加/删除模板
  4. 选择添加,然后浏览到 Receiver 的 Configuration 文件夹(通常位于 C:\Program Files\Citrix\ICA Client\Configuration),并选择 Citrix Receiver for Windows 模板文件。
    注意:根据 Windows 操作系统的版本,选择 Citrix Receiver for Windows 模板文件(receiver.adm 或 receiver.admx/receiver.adml)。
  5. 选择打开以添加模板,然后选择关闭以返回到组策略编辑器。
  6. 在组策略编辑器中,依次前往管理模板 > 经典管理模板(ADM) > Citrix 组件 > Citrix Receiver > 网络路由 > TLS/SSL 数据加密和服务器标识
  7. 操作菜单中,选择属性,然后选择已启用
  8. CRL 验证下拉式菜单中,选择其中一个选项。
    • 已禁用。 不执行证书吊销列表检查。
    • 只检查存储在本地的 CRL。 在证书验证中使用先前安装或下载的 CRL。 如果证书被吊销,则连接会失败。
    • 需要 CRL 才能进行连接。 检查本地的和网络上来自相关证书颁发者的 CRL。 如果证书被吊销或找不到,则连接会失败。
    • 从网络获取 CRL。 检查来自相关证书颁发者的 CRL。 如果证书被吊销,则连接会失败。
    如果没有设置 CRL 验证,默认为只检查存储在本地的 CRL