配置并启用 TLS

本主题适用于 XenApp 和 XenDesktop 7.6 及更高版本。

要对所有 Citrix Receiver for Windows 通信使用 TLS 加密,请配置用户设备、Citrix Receiver for Windows 以及运行 Web Interface 的服务器(如果使用 Web Interface)。有关确保 StoreFront 通信安全的信息,请参阅 StoreFront 文档中安全部分。有关确保 Web Interface 安全的信息,请参阅 Web Interface 文档中的安全部分。

必备条件

用户设备必须满足在系统要求中指定的要求。

使用此策略可配置用于确保 Citrix Receiver for Windows 能够安全地标识其所连接到的服务器的 TLS 选项以及加密与服务器的所有通信。

可以使用以下选项执行相应操作:

  • 强制使用 TLS。Citrix 建议通过不受信任的网络(包括 Internet)建立的所有连接使用 TLS。
  • 强制使用 FIPS(Federal Information Processing Standards,联邦信息处理标准)批准的加密以及帮助遵从 NIST SP 800-52 中的建议。这些选项默认处于禁用状态。
  • 强制使用特定版本的 TLS 以及特定的 TLS 密码套件;Citrix 支持在 Citrix Receiver for Windows 与 XenApp 或 XenDesktop 之间使用 TLS 1.0、TLS 1.1 和 TLS 1.2 协议。
  • 仅连接到特定服务器。
  • 检查是否已吊销服务器证书。
  • 检查特定服务器证书颁发策略。
  • 选择特定的客户端证书(如果服务器未配置为请求客户端证书)。

使用组策略对象管理模板配置 TLS 支持

  1. 以管理员身份通过运行 gpedit.msc 打开 Citrix Receiver 组策略对象管理模板。

    • 要在单台计算机上应用该策略,请从“开始”菜单中启动 Citrix Receiver 组策略对象管理模板。
    • 要在域中应用该策略,请使用组策略管理控制台启动 Citrix Receiver 组策略对象管理模板。
  2. 在“计算机配置”节点下,转至管理模板 > Citrix Receiver > 网络路由,然后选择 TLS 和合规模式配置策略。

    TLS 和合规模式

  3. 选择已启用启用安全连接以及加密服务器上的通信。设置以下选项:

    注意:Citrix 建议使用 TLS 建立安全连接。

    1. 选择要求对所有连接使用 TLS 复选框,强制 Citrix Receiver for Windows 为与已发布的应用程序和桌面建立的所有连接使用 TLS。
    2. 安全性合规模式下拉列表中,选择恰当的选项:
      1. 无 - 不强制执行合规模式
      2. SP800-52 - 选择 SP800-52 以遵从 NIST SP 800-52。仅当服务器或网关遵从 NIST SP 800-52 建议时才应选择此选项。

        注意: 如果选择 SP800-52,则将自动使用 FIPS 批准的加密,即使未选择启用 FIPS 也是如此。还必须启用 Windows 安全选项**系统加密: 将 FIPS 兼容算法用于加密、哈希和签名**。否则,Citrix Receiver for Windows 可能会无法连接到已发布的应用程序和桌面。

        如果选择 SP800-52,则必须选择设置为完全访问检查需要完全访问检查和 CRL证书吊销检查策略设置**。 如果选择 SP800-52,Citrix Receiver for Windows 将验证服务器证书是否遵从 NIST SP 800-52 中的建议。如果服务器证书不遵从,Citrix Receiver for Windows 将无法连接。

    3. 启用 FIPS - 选择此选项将强制使用 FIPS 批准的加密。还必须启用操作系统组策略中的 Windows 安全选项 系统加密: 将 FIPS 兼容算法用于加密、哈希和签名。否则,Citrix Receiver for Windows 可能会无法连接到已发布的应用程序和桌面。

    4. 允许 TLS 服务器下拉列表中,选择端口号。可以确保 Citrix Receiver 仅连接到逗号分隔的列表指定的服务器。可以指定通配符和端口号。例如,*.citrix.com:4433 允许在端口 4433 上连接到公用名以 .citrix.com 结尾的任何服务器。证书的颁发者断言安全证书中的信息的准确性。如果 Citrix Receiver 无法识别和信任颁发者,连接将被拒绝。

    5. TLS 版本下拉列表中,选择以下任意选项:

      • TLS 1.0、TLS 1.1 或 TLS 1.2 - 这是默认设置。仅当对 TLS 1.0 有兼容性方面的业务要求时才建议使用此选项。

      • TLS 1.1 或 TLS 1.2 - 使用此选项可确保 ICA 连接使用 TLS 1.1 或 TLS 1.2
      • TLS 1.2 - 如果 TLS 1.2 属于业务要求,则建议使用此选项。
    6. TLS 密码套件 - 要强制使用特定的 TLS 密码套件,请选择“政府”(GOV)、“商务”(COM) 或“全部”(ALL)。在某些 NetScaler Gateway 配置情况下,您可能需要选择 COM。Citrix Receiver for Windows 支持 1024、2048 和 3072 位长度的 RSA 密钥。此外,还支持 RSA 密钥长度为 4096 位的根证书。

      注意: Citrix 不建议使用 1024 位长度的 RSA 密钥。 请参见下面列出了所有受支持的密码套件的表格。

      • 任意: 设置为“任意”时,将取消配置此策略并允许使用以下任意密码套件
        • TLS_RSA_WITH_RC4_128_MD5

        • TLS_RSA_WITH_RC4_128_SHA

        • TLS_RSA_WITH_3DES_EDE_CBC_SHA

        • TLS_RSA_WITH_AES_128_CBC_SHA

        • TLS_RSA_WITH_AES_256_CBC_SHA

        • TLS_RSA_WITH_AES_128_GCM_SHA256

        • TLS_RSA_WITH_AES_256_GCM_SHA384

      • 商用:设置为“商用”时,仅允许使用以下密码套件:

        • TLS_RSA_WITH_RC4_128_MD5

        • TLS_RSA_WITH_RC4_128_SHA

        • TLS_RSA_WITH_AES_128_CBC_SHA

        • TLS_RSA_WITH_AES_128_GCM_SHA256

      • 政府:设置为“政府”时,仅允许使用以下密码套件:

        • TLS_RSA_WITH_AES_256_CBC_SHA

        • TLS_RSA_WITH_3DES_EDE_CBC_SHA

        • TLS_RSA_WITH_AES_128_GCM_SHA256

        • TLS_RSA_WITH_AES_256_GCM_SHA384

    7. 证书吊销检查策略下拉列表中,选择以下任意选项:

      • 在不访问网络的情况下检查 - 执行证书吊销列表检查。仅使用本地证书吊销列表存储。所有分发点都被忽略。对于目标 SSL Relay/Secure Gateway 服务器出示的服务器证书验证来说,查找证书吊销列表并非强制性操作。

      • 完全访问检查 - 执行证书吊销列表检查。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息,连接将被拒绝。查找证书吊销列表并非验证目标服务器提供的服务器证书的关键。

      • 需要完全访问检查和 CRL - 执行证书吊销列表检查,但根 CA 除外。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息,连接将被拒绝。查找所有必要的证书吊销列表对验证非常重要。

      • 全部需要完全访问检查和 CRL - 执行证书吊销列表检查,包括根 CA。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息,连接将被拒绝。查找所有必要的证书吊销列表对验证非常重要。

      • 不检查 - 不执行任何证书吊销列表检查。

    8. 使用策略扩展 OID 可以将 Citrix Receiver for Windows 限制为仅连接到配置了特定证书颁发策略的服务器。如果选择策略扩展 OID,Citrix Receiver for Windows 将仅接受包含策略扩展 OID 的服务器证书。

    9. 客户端身份验证下拉列表中,选择以下任意选项:

      • 已禁用 - 禁用客户端身份验证。

      • 显示证书选择器 - 始终提示用户选择证书。

      • 如果可能,则自动选择 - 仅可以选择要识别的证书时提示用户。

      • 未配置 - 指示未配置客户端身份验证。

      • 使用指定的证书 - 使用在“客户端证书”选项中所设置的客户端证书。

    10. 使用客户端证书设置可指定标识证书的指纹,以避免不必要地提示用户。
  4. 单击应用确定保存此策略。

下表列出了每组中的密码套件:

                   
TLS 密码套件 GOV COM 全部 GOV COM 全部 GOV COM 全部
启用 FIPS
安全性合规模式 SP800-52
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 X   X X   X      
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 X   X X   X      
TLS_RSA_WITH_AES_256_GCM_SHA384 X   X X   X X   X
TLS_RSA_WITH_AES_128_GCM_SHA256 X X X X X X X X X
TLS_RSA_WITH_AES_256_CBC_SHA256 X   X X   X      
TLS_RSA_WITH_AES_256_CBC_SHA X   X X   X X   X
TLS_RSA_WITH_AES_128_CBC_SHA   X X   X X   X X
TLS_RSA_WITH_RC4_128_SHA   X X            
TLS_RSA_WITH_RC4_128_MD5   X X            
TLS_RSA_WITH_3DES_EDE_CBC_SHA X   X X   X X   X
                   

配置并启用 TLS