Verschlüsseln der Parallels Client-Verbindung

Standardmäßig ist die einzige Art Verschlüsselung eine Verbindung zwischen einem Gateway und Backend-Servern. Um eine Verbindung zwischen Parallels Client und einem Gateway zu verschlüsseln, müssen Sie auch die Verbindungseigenschaften auf der Client-Seite konfigurieren. Öffnen Sie dazu in Parallels Client die Verbindungseigenschaften und stellen Sie den Verbindungsmodus auf Gateway SSL ein.

Um die Konfiguration von Parallels Client zu vereinfachen, wird empfohlen, ein Zertifikat einer vertrauenswürdigen Zertifizierungsstelle eines Drittanbieters oder einer Unternehmenszertifizierungsstelle (CA) zu verwenden. Wenn ein Zertifikat einer Unternehmenszertifizierungsstelle verwendet wird, erhalten Windows-Clients aus Active Directory ein Stamm- oder Zwischenzertifikat einer Unternehmenszertifizierungsstelle. Client-Geräte auf anderen Plattformen müssen manuell konfiguriert werden. Wenn ein Zertifikat eines Drittanbieters von einer bekannten vertrauenswürdigen Zertifizierungsstelle verwendet wird, vertraut das Client-Gerät den Aktualisierungen der vertrauenswürdigen Zertifizierungsstelle für die Plattform.

Konfiguration von Parallels Clients

Wenn das Zertifikat selbstsigniert ist oder von einer Unternehmenszertifizierungsstelle ausgestellt wurde, müssen Parallels Clients wie folgt beschrieben konfiguriert werden.

1. Exportieren Sie das Zertifikat im Base-64 kodierten X.509 (.CER)-Format.

2. Öffnen Sie das exportierte Zertifikat in einem Texteditor, wie z. B. Notepad oder WordPad, und kopieren Sie den Inhalt in die Zwischenablage.

Fügen Sie das Zertifikat dann clientseitig der Liste der vertrauenswürdigen Zertifizierungsstellen hinzu und erlauben Sie Parallels Client, sich über SSL mit einem Zertifikat von einer Unternehmenszertifizierungsstelle zu verbinden.

1. Auf der Client-Seite sollte sich im Verzeichnis „C:\Programmdateien\Parallels\Remote Application Server Client\“ eine Datei mit dem Namen trusted.pem befinden. Diese Datei enthält Zertifikate bekannter vertrauenswürdiger Stellen.

2. Fügen Sie den Inhalt des exportierten Zertifikats (im Anhang der Liste der anderen Zertifikate) ein.

Sichern von RDP-UDP-Verbindungen

Ein Parallels Client kommuniziert normalerweise mit einem RAS Secure Gateway über eine TCP-Verbindung. Jüngere Windows-Clients verwenden eventuell auch eine UDP-Verbindung, um die WAN-Leistung zu verbessern. Um UDP-Verbindungen mit SSL zu schützen, muss DTLS verwendet werden.

So verwenden Sie DTLS auf einem RAS Secure Gateway:

1. Stellen Sie sicher, dass in der Kategorie SSL/TLS die Option SSL aktivieren für Port ausgewählt ist.

2. Stellen Sie sicher, dass in der Kategorie Netzwerk die Option RDP-UDP-Tunnelling aktivieren ausgewählt ist.

Die Parallels Clients müssen für die Verwendung des Modus SSL-Verbindung konfiguriert sein. Diese Option kann clientseitig unter Verbindungseinstellungen > Verbindungsmodus eingestellt werden.

Nachdem die zuvor genannten Optionen korrekt eingestellt wurden, werden sowohl TCP- als auch UDP-Verbindungen über SSL getunnelt.

SSL-Serverkonfiguration

Bei der Konfiguration von RAS Secure Gateway für die Verwendung von SSL-Verschlüsselung sollten Sie darauf achten, wie der SSL-Server konfiguriert ist, um mögliche Fallen und Sicherheitsprobleme zu vermeiden. Insbesondere sollten die folgenden SSL-Komponenten bewertet werden, um festzustellen, wie gut die Konfiguration ist:

• Das Zertifikat, das gültig und vertrauenswürdig sein soll.

• Das Protokoll, der Schlüsselaustausch und die Verschlüsselung sollten unterstützt werden.

Die Bewertung ist ohne spezifische Kenntnisse über SSL möglicherweise nicht einfach durchzuführen. Aus diesem Grund empfehlen wir Ihnen, den SSL-Server-Test zu verwenden, der in den Qualys SSL Labs erhältlich ist. Dies ist ein kostenloser Online-Dienst, der eine Analyse der Konfiguration eines SSL-Webservers im öffentlichen Internet durchführt. Um den Test auf einem RAS Secure Gateway durchzuführen, müssen Sie es möglicherweise vorübergehend in das öffentliche Internet verschieben.

Der Test ist unter der folgenden URL verfügbar: https://www.ssllabs.com/ssltest/

Sie können ein Papier von Qualys SSL Labs, das die bei der Bewertung verwendete Methodik beschreibt, unter folgender URL lesen: https://github.com/ssllabs/research/wiki/SSL-Server-Rating-Guide.

Der Datenverkehr zwischen Parallels RAS-Nutzern und einem RAS Secure Gateway kann verschlüsselt werden. In der Kategorie SSL/TLS können Sie Datenverschlüsselungsoptionen konfigurieren.

Um die Standardeinstellungen der Site zu verwenden, klicken Sie auf die Option Standardeinstellungen erben. Wenn Sie Ihre eigenen Einstellungen festlegen möchten, deaktivieren Sie diese Option.

HSTS

Im Abschnitt HSTS können Sie die HTTP Strict Transport Security (HSTS) erzwingen, einen Mechanismus, der einen Webbrowser dazu bringt, mit dem Webserver nur über sichere HTTPS-Verbindungen zu kommunizieren. Wenn HSTS für ein RAS Secure Gateway durchgesetzt wird, sind alle Webanforderungen an es gezwungen, HTTPS zu verwenden. Das betrifft insbesondere das Nutzerportal, das normalerweise nur HTTPS-Anfragen akzeptiert.

• Strenge HTTP-Transportsicherheit (HSTS) durchsetzen: Aktiviert oder deaktiviert HSTS für das Gateway.

• Max. Alter: Gibt das maximale Alter für HSTS in Monaten an, d. h. die Zeit, in der der Webbrowser nur über HTTPS mit dem Gateway kommunizieren kann. Der Standardwert (und empfohlene) Wert beträgt 12 Monate. Akzeptable Werte sind 4 bis 120 Monate.

• Subdomains einbeziehen: Gibt an, ob Subdomains eingefügt werden sollen (falls anwendbar).

• Vorab laden: Aktiviert oder deaktiviert das Vorab-Laden von HSTS. Dies ist ein Mechanismus, bei dem eine Liste von Hosts, die die Verwendung von SSL/TLS auf ihrer Site erzwingen möchten, in einem Webbrowser fest kodiert wird. Die Liste wird von Google erstellt und von den Browsern Chrome, Firefox, Safari und Edge verwendet. Wenn HSTS Preload verwendet wird, versucht ein Webbrowser nicht, eine Anforderung über HTTP zu senden, sondern verwendet jedes Mal HTTPS. Bitte lesen Sie auch den wichtigen Hinweis unten.

Hinweis: Um HSTS Preload zu verwenden, müssen Sie Ihren Domainnamen für die Aufnahme in die HSTS Preload-Liste von Chrome einreichen. Ihre Domain wird in allen Webbrowsern, die die Liste verwenden, fest kodiert. Wichtig: Die Aufnahme in die Preload-Liste kann nicht ohne weiteres rückgängig gemacht werden. Sie sollten die Aufnahme nur dann beantragen, wenn Sie sicher sind, dass Sie HTTPS für Ihre gesamte Site und alle ihre Subdomains langfristig (in der Regel 1-2 Jahre) unterstützen können.

Beachten Sie auch die folgenden Anforderungen:

• Ihre Site muss über ein gültiges SSL-Zertifikat verfügen.

• Alle Subdomains (falls vorhanden) müssen in Ihrem SSL-Zertifikat enthalten sein. Erwägen Sie, ein Wildcard-Zertifikat zu bestellen.

Verschlüsselung

Standardmäßig wird einem RAS Secure Gateway bei der Installation des Gateways ein selbstsigniertes Zertifikat zugewiesen. Jedem RAS Secure Gateway muss ein Zertifikat zugewiesen werden und das Zertifikat sollte den vertrauenswürdigen Stammzertifizierungsstellen auf der Client-Seite hinzugefügt werden, um Sicherheitswarnungen zu vermeiden.

SSL-Zertifikate werden auf Site-Ebene erstellt. Sobald ein Zertifikat erstellt ist, kann es einem RAS Secure Gateway zugewiesen werden. Informationen zum Erstellen und Verwalten von Zertifikaten finden Sie unter .

So konfigurieren Sie die Verschlüsselung:

1. Wählen Sie die Option SSL aktivieren für Port und geben Sie eine Portnummer an (Standardeinstellung ist 443).

2. Wählen Sie in der Dropdownliste Akzeptierte SSL-Versionen aus.

3. Wählen Sie im Feld Verschlüsselungsstärke eine gewünschte Verschlüsselungsstärke aus.

4. Geben Sie im Feld Verschlüsselung die Verschlüsselung an. Eine stärkere Chiffre ermöglicht eine stärkere Verschlüsselung, wodurch mehr Aufwand erforderlich ist, um sie zu knacken.

5. Die Option Verschlüsselungen entsprechend Serverpräferenz verwenden ist standardmäßig aktiviert. Sie können Client-Einstellungen verwenden, indem Sie diese Option deaktivieren.

6. Wählen Sie in der Dropdownliste Zertifikate das gewünschte Zertifikat aus. Die Option <Alle übereinstimmenden Verwendungen> verwendet jedes Zertifikat, das für die Verwendung durch Gateways konfiguriert ist. Wenn Sie ein Zertifikat erstellen, geben Sie die Eigenschaft „Verwendung“ an, in der Sie „Gateway“, „HALB“ oder beides auswählen können. Wenn bei dieser Eigenschaft die Option „Gateway“ ausgewählt ist, kann sie mit einem Gateway verwendet werden. Hinweis: Wenn Sie diese Option wählen, aber kein einziges passendes Zertifikat vorhanden ist, wird eine Warnung angezeigt und Sie zuerst ein Zertifikat erstellen müssen.

Zusatzinformationen