Configuración del modo de conformidad y TLS

Esta opción habilita Citrix Receiver para identificar conexiones seguras y cifrar la comunicación dentro del servidor.

Nota: Citrix recomienda usar un tipo de conexión segura TLS.

A continuación se indican los tipos de conexión segura TLS entre Receiver y XenApp/XenDesktop que Citrix admite:
1. TLS 1.0
2. TLS 1.1
3. TLS 1.2
Seleccione Requerir TLS para todas las conexiones para asegurarse de que Receiver usa TLS para todos los tipos de conexiones.
Los valores de Modo de conformidad para la seguridad son:
- Ninguno: No se aplica ningún modo de conformidad
- SP800-52: Se aplica la conformidad con NIST SP800-52r1
Cuando se selecciona SP800-52 desde el menú desplegable Modo de conformidad para la seguridad, se permite la siguiente directiva de comprobación de revocación de certificados:
-Requerir comprobación con acceso completo y lista de revocación de certificados. Esta es la opción predeterminada.
-Requerir comprobación con acceso completo y todas las listas de revocación de certificados

Puede restringir Receiver para que conecte solo con servidores especificados, mediante una lista de servidores separados por comas en la opción "Servidores TLS permitidos". Puede especificar comodines y números de puerto como, por ejemplo: *.citrix.com:4433, que permite la conexión con cualquier servidor cuyo nombre común termine en .citrix.com en el puerto 4433. La exactitud de la información de un certificado de seguridad es confirmada por el emisor del certificado. Si Receiver no reconoce y no confía en el emisor del certificado, la conexión se rechaza.
La versión de TLS se puede restringir a una combinación de:

- TLS 1.0, TLS 1.1 o TLS 1.2
- TLS 1.1 o TLS 1.2
- Solo TLS 1.2

El conjunto de cifrado TLS se puede configurar con uno de los valores siguientes:

- Cualquiera: Con el valor "Cualquiera", la directiva queda sin configurar y se permiten los siguientes conjuntos de cifrado:

> TLS_RSA_WITH_RC4_128_MD5
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_3DES_EDE_CBC_SHA
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_AES_128_GCM_SHA256
> TLS_RSA_WITH_AES_256_GCM_SHA384

- Comercial: Con el valor "Comercial" solo se permiten los siguientes conjuntos de cifrado:
> TLS_RSA_WITH_RC4_128_MD5
> TLS_RSA_WITH_RC4_128_SHA
> TLS_RSA_WITH_AES_128_CBC_SHA
> TLS_RSA_WITH_AES_128_GCM_SHA256

- Gubernamental: Con el valor "Gubernamental" solo se permiten los siguientes conjuntos de cifrado:
> TLS_RSA_WITH_AES_256_CBC_SHA
> TLS_RSA_WITH_3DES_EDE_CBC_SHA
> TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384

La Directiva de comprobación de revocación de certificados se usa para mejorar la autenticación criptográfica del servidor Citrix y mejora la seguridad general de las conexiones TLS entre un cliente y un servidor.

Cuando se habilita este parámetro, el cliente comprueba si el certificado del servidor ha sido revocado o o no. Hay varios niveles de comprobación de listas de revocación de certificados. Por ejemplo, el cliente se puede configurar para que solo compruebe su lista local de certificados, o para que compruebe la lista local y la lista de red de certificados. Además, se puede configurar la comprobación de certificados para permitir que los usuarios solo puedan iniciar sesión si se han verificado todas las listas de revocación de certificados.

La Directiva de comprobación de revocación de certificados es una función avanzada respaldada por algunos emisores de certificados. Permite a un administrador revocar certificados de seguridad (invalidados antes de su fecha de caducidad) en caso de peligrar la seguridad de la clave privada del certificado.

Los valores aplicables para este parámetro son:

- No comprobar: No se lleva a cabo ninguna comprobación de lista de revocación de certificados.
- Comprobar sin acceso a red: Se lleva a cabo una comprobación de lista de revocación de certificados, pero solo se usan los almacenes locales de listas de revocación de certificados. Se ignoran todos los puntos de distribución. Encontrar una lista de revocación de certificados no es requisito fundamental para la verificación del certificado del servidor presentado por el servidor de Traspaso SSL/Secure Gateway de destino.
- Comprobar con acceso completo: Se lleva a cabo una comprobación de lista de revocación de certificados, y para ello se usan los almacenes locales de listas de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación para un certificado, la conexión se rechaza. Encontrar una lista de revocación de certificados no es requisito fundamental para la verificación del certificado del servidor presentado por el servidor de destino.
- Requerir comprobación con acceso completo y lista de revocación de certificados: Se lleva a cabo una comprobación de listas de revocación de certificados, excluida la CA raíz. Se usan los almacenes locales de listas de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación para un certificado, la conexión se rechaza. Encontrar todas las listas de revocación de certificados requeridas es requisito fundamental para la verificación.
- Requerir comprobación con acceso completo y todas las listas de revocación de certificados: Se lleva a cabo una comprobación de listas de revocación de certificados, incluida la CA raíz. Se usan los almacenes locales de listas de revocación de certificados y todos los puntos de distribución. Si se encuentra información de revocación para un certificado, la conexión se rechaza. Encontrar todas las listas de revocación de certificados requeridas es requisito fundamental para la verificación.

Las organizaciones que configuran TLS para diversos productos pueden decidir identificar los servidores destinados a usarse con Citrix Receiver especificando un ID de objeto (OID) de directiva de certificado que forme parte del certificado de seguridad. Si se configura un OID de directiva aquí, Receiver acepta solo los certificados que declaren una directiva compatible.

Cuando se conecta mediante TLS, el servidor se puede configurar para que exija que Receiver suministre un certificado de seguridad que le identifique. Use "Autenticación del cliente" para configurar si la identificación se suministra automáticamente o no, o si se notifica al usuario. Las opciones son:

- Inhabilitado: La autenticación de cliente está inhabilitada
- Mostrar selector de certificados: Pedir siempre al usuario que seleccione un certificado
- Seleccionar automáticamente si es posible: Preguntar al usuario solo si hay varios certificados para elegir
- Nunca suministrar identificación
- Usar un certificado especificado: Usar el certificado de cliente especificado en el parámetro más abajo

Use el parámetro "Certificado del cliente" para especificar la huella digital del certificado de identificación y evitar preguntar al usuario innecesariamente.


Compatible con: Todas las plataformas compatibles con Receiver
Requerir TLS para todas las conexiones
Registry HiveHKEY_CURRENT_USER
Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value NameSSLEnable
Value TypeREG_SZ
Default Valuetrue
True Valuetrue
False Value*
Modo de conformidad para la seguridad


  1. NINGUNO
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueNONE
  2. SP800-52
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLSecurityComplianceMode
    Value TypeREG_SZ
    ValueSP800-52

Habilitar FIPS
Registry HiveHKEY_CURRENT_USER
Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
Value NameSSLFIPSEnable
Value TypeREG_SZ
Default Value*
True Valuetrue
False Value*
Versión de TLS


  1. TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS12
  2. TLS1.1 | TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12
  3. TLS1.0 | TLS1.1 | TLS1.2
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSecureChannelProtocol
    Value TypeREG_SZ
    ValueTLS11_TLS12_TLS13

Conjunto de cifrado TLS


  1. Cualquiera
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    Value
  2. Gubernamental
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueGOV
  3. Comercial
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCiphers
    Value TypeREG_SZ
    ValueCOM

Directiva de comprobación de revocación de certificados


  1. No comprobar
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueNoCheck
  2. Comprobar sin acceso a red
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueCheckNoNetworkAccess
  3. Comprobar con acceso completo
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheck
  4. Requerir comprobación con acceso completo y lista de revocación de certificados
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequired
  5. Requerir comprobación con acceso completo y todas las listas de revocación de certificados
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLCertificateRevocationCheckPolicy
    Value TypeREG_SZ
    ValueFullAccessCheckAndCrlRequiredAll

Autenticación del cliente


  1. No configurado
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    Value
  2. Mostrar selector de certificados
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueAlwaysPromptUser
  3. Inhabilitado
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOff
  4. Usar un certificado especificado
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValueOn
  5. Seleccionar automáticamente, si es posible
    Registry HiveHKEY_CURRENT_USER
    Registry PathSoftware\Policies\Citrix\ICA Client\Engine\Lockdown Profiles\All Regions\Lockdown\Network\SSL
    Value NameSSLClientAuthentication
    Value TypeREG_SZ
    ValuePromptUser


receiver.admx

Plantillas administrativas (equipos)

Plantillas administrativas (usuarios)