启用证书吊销列表检查以提高安全性

启用证书吊销列表 (CRL) 检查功能后,Citrix Receiver 将检查服务器的证书是否已经吊销。通过强制 Citrix Receiver 对此进行检查,可以改善服务器的加密身份验证,提高用户设备与服务器之间 TLS 连接的总体安全性。

可以启用多个级别的 CRL 检查。例如,可以将 Citrix Receiver 配置为只检查其本地证书列表,也可以配置为同时检查本地和网络证书列表。此外,还可以将证书检查机制配置为只有在验证了所有 CRL 之后才允许用户登录。

在本地计算机中进行这一更改时,如果 Citrix Receiver 正在运行,请先退出。确保包括连接中心在内的所有 Citrix Receiver 组件都已关闭。

  1. 以管理员身份从开始菜单本地运行 gpedit.msc(将策略应用于单台计算机时)或者使用组策略管理控制台(应用域策略时),打开组策略编辑器。 注意: 如果已将 Citrix Receiver for Windows 模板导入到“组策略编辑器”中,可以忽略第 2 步到第 5 步。
  2. 在组策略编辑器的左窗格中,选择“管理模板”文件夹。
  3. 在操作菜单中,选择添加/删除模板。
  4. 选择添加,然后浏览到 Receiver 的 Configuration 文件夹(通常位于 C:\Program Files\Citrix\ICA Client\Configuration),并选择 Citrix Receiver for Windows 模板文件。
    注意: 根据 Windows 操作系统的版本,选择 Citrix Receiver for Windows 模板文件(receiver.adm 或 receiver.admx/receiver.adml)。
  5. 选择打开以添加模板,然后选择关闭以返回到组策略编辑器。
  6. 在组策略编辑器中,依次前往管理模板 > 经典管理模板(ADM) > Citrix 组件 > Citrix Receiver > 网络路由 > TLS/SSL 数据加密和服务器标识。
  7. 在操作菜单中,选择属性,然后选择已启用。
  8. 在 CRL 验证下拉式菜单中,选择其中一个选项。
    • 已禁用。不执行证书吊销列表检查。
    • 只检查存储在本地的 CRL。在证书验证中使用先前安装或下载的 CRL。如果证书被吊销,则连接会失败。
    • 需要 CRL 才能进行连接。检查本地的和网络上来自相关证书颁发者的 CRL。如果证书被吊销或找不到,则连接会失败。
    • 从网络获取 CRL。检查来自相关证书颁发者的 CRL。如果证书被吊销,则连接会失败。 如果未设置 CRL 验证,则默认值为“仅检查本地存储的 CRL”。

启用证书吊销列表检查以提高安全性

In this article