配置并启用 TLS

本主题适用于 XenApp 和 XenDesktop 7.6 及更高版本。

要对所有 Citrix Receiver for Windows 通信使用 TLS 加密,请配置用户设备、Citrix Receiver for Windows 以及运行 Web Interface 的服务器(如果使用 Web Interface)。有关确保 Web Interface 安全的信息,请参阅 Web Interface 文档中的安全部分。

必备条件

用户设备必须满足在[系统要求]中指定的要求。(/en-us/receiver/windows/current-release/system-requirements.html)

使用此策略可配置用于确保 Citrix Receiver for Windows 能够安全地标识其所连接到的服务器的 TLS 选项以及加密与服务器的所有通信。

可以使用以下选项执行相应操作:

  • 强制使用 TLS。Citrix 建议通过不受信任的网络(包括 Internet)建立的所有连接使用 TLS。
  • 强制使用 FIPS(Federal Information Processing Standards,联邦信息处理标准)批准的加密以及帮助遵从 NIST SP 800-52 中的建议。这些选项默认处于禁用状态。
  • 强制使用特定版本的 TLS 以及特定的 TLS 密码套件;Citrix 支持在 Citrix Receiver for Windows 与 XenApp 或 XenDesktop 之间使用 TLS 1.0、TLS 1.1 和 TLS 1.2 协议。
  • 仅连接到特定服务器。
  • 检查是否已吊销服务器证书。
  • 检查特定服务器证书颁发策略。
  • 选择特定的客户端证书(如果服务器未配置为请求客户端证书)。

使用组策略对象管理模板配置 TLS 支持

  1. 以管理员身份通过运行 gpedit.msc 打开 Citrix Receiver 组策略对象管理模板。

    • 要在单台计算机上应用该策略,请从“开始”菜单中启动 Citrix Receiver 组策略对象管理模板。
    • 要在域中应用该策略,请使用组策略管理控制台启动 Citrix Receiver 组策略对象管理模板。
  2. 在“计算机配置”节点下,转至管理模板 > Citrix Receiver > 网络路由,然后选择 TLS 和合规模式配置策略。

    本地化后的图片

  3. 选择已启用启用安全连接以及加密服务器上的通信。设置以下选项:

    注意: Citrix 建议使用 TLS 建立安全连接。

  4. 选择要求对所有连接使用 TLS 复选框,强制 Citrix Receiver for Windows 为与已发布的应用程序和桌面建立的所有连接使用 TLS。

  5. 安全性合规模式下拉列表中,选择恰当的选项:

    • - 不强制执行合规模式
    • SP800-52 - 选择 SP800-52 以遵从 NIST SP 800-52。仅当服务器或网关遵从 NIST SP 800-52 建议时才应选择此选项。

      注意

      如果选择 SP800-52,则将自动使用 FIPS 批准的加密,即使未选择启用 FIPS 也是如此。还必须启用 Windows 安全选项系统加密: 将 FIPS 兼容算法用于加密、哈希和签名。否则,Citrix Receiver for Windows 可能会无法连接到已发布的应用程序和桌面。

      如果选择“SP800-52”,必须选择设置为完全访问检查需要完全访问检查和 CRL证书吊销检查策略设置。

      如果选择 SP800-52,Citrix Receiver for Windows 将验证服务器证书是否遵从 NIST SP 800-52 中的建议。如果服务器证书不遵从,Citrix Receiver for Windows 将无法连接。

  6. 启用 FIPS - 选择此选项将强制使用 FIPS 批准的加密。还必须启用操作系统组策略中的 Windows 安全选项 系统加密: 将 FIPS 兼容算法用于加密、哈希和签名。否则,Citrix Receiver for Windows 可能会无法连接到已发布的应用程序和桌面。

  7. 允许的 TLS 服务器下拉列表中,选择端口号。可以确保 Citrix Receiver 仅连接到逗号分隔的列表指定的服务器。可以指定通配符和端口号。例如,*.citrix.com:4433 允许在端口 4433 上连接到公用名以 .citrix.com 结尾的任何服务器。证书的颁发者断言安全证书中的信息的准确性。如果 Citrix Receiver 无法识别和信任颁发者,连接将被拒绝。

  8. TLS 版本下拉列表中,选择以下任意选项:

    • TLS 1.0、TLS 1.1 或 TLS 1.2 - 这是默认设置。仅当对 TLS 1.0 有兼容性方面的业务要求时才建议使用此选项。

    • TLS 1.1 或 TLS 1.2 - 使用此选项可确保 ICA 连接使用 TLS 1.1 或 TLS 1.2

    • TLS 1.2 - 如果 TLS 1.2 属于业务要求,则建议使用此选项。

  9. TLS 密码套件 - 要强制使用特定的 TLS 密码套件,请选择“政府”(GOV)、“商务”(COM) 或“全部”(ALL)。在某些 NetScaler Gateway 配置情况下,您可能需要选择 COM。Citrix Receiver for Windows 支持 1024、2048 和 3072 位长度的 RSA 密钥。此外,还支持 RSA 密钥长度为 4096 位的根证书。

    注意:Citrix 建议不要使用 1024 位长度的 RSA 密钥。

    请参见下面列出了所有受支持的密码套件的表格。

    • 任意: 设置为“任意”时,将不配置策略并允许使用以下任意密码套件:

      • TLS_RSA_WITH_RC4_128_MD5

      • TLS_RSA_WITH_RC4_128_SHA

      • TLS_RSA_WITH_3DES_EDE_CBC_SHA

      • TLS_RSA_WITH_AES_128_CBC_SHA

      • TLS_RSA_WITH_AES_256_CBC_SHA

      • TLS_RSA_WITH_AES_128_GCM_SHA256

      • TLS_RSA_WITH_AES_256_GCM_SHA384

    • 商用: 设置为“商用”时,仅允许使用以下密码套件:

      • TLS_RSA_WITH_RC4_128_MD5

      • TLS_RSA_WITH_RC4_128_SHA

      • TLS_RSA_WITH_AES_128_CBC_SHA

      • TLS_RSA_WITH_AES_128_GCM_SHA256

    • 政府: 设置为“政府”时,仅允许使用以下密码套件:

      • TLS_RSA_WITH_AES_256_CBC_SHA

      • TLS_RSA_WITH_3DES_EDE_CBC_SHA

      • TLS_RSA_WITH_AES_128_GCM_SHA256

      • TLS_RSA_WITH_AES_256_GCM_SHA384

  10. 证书吊销检查策略下拉列表中,选择以下任意选项:

    • 在不访问网络的情况下检查 - 执行证书吊销列表检查。仅使用本地证书吊销列表存储。所有分发点都被忽略。对于目标 SSL Relay/Secure Gateway 服务器出示的服务器证书验证来说,查找证书吊销列表并非强制性操作。

    • 完全访问检查 - 执行证书吊销列表检查。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息,连接将被拒绝。查找证书吊销列表并非验证目标服务器提供的服务器证书的关键。

    • 需要完全访问检查和 CRL - 执行证书吊销列表检查,但根 CA 除外。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息,连接将被拒绝。查找所有必要的证书吊销列表对验证非常重要。

    • 全部需要完全访问检查和 CRL - 执行证书吊销列表检查,包括根 CA。使用本地证书吊销列表存储和所有分发点。如果找到证书的吊销信息,连接将被拒绝。查找所有必要的证书吊销列表对验证非常重要。

    • 不检查 - 不执行任何证书吊销列表检查。

  11. 使用策略扩展 OID 可以将 Citrix Receiver for Windows 限制为仅连接到配置了特定证书颁发策略的服务器。如果选择策略扩展 OID,Citrix Receiver for Windows 将仅接受包含策略扩展 OID 的服务器证书。

  12. 客户端身份验证下拉列表中,选择以下任意选项:

    • 已禁用 - 禁用客户端身份验证。

    • 显示证书选择器 - 始终提示用户选择证书。

    • 如果可能,则自动选择 - 仅可以选择要识别的证书时提示用户。

    • 未配置 - 指示未配置客户端身份验证。

    • 使用指定的证书 - 使用在“客户端证书”选项中所设置的客户端证书。

  13. 使用客户端证书设置可指定标识证书的指纹,以避免不必要地提示用户。

  14. 单击应用确定保存此策略。

下表列出了每组中的密码套件:

本地化后的图片