系统要求和兼容性

支持的操作系统

适用于 Mac 的 Citrix Workspace 应用程序支持以下操作系统:

  • macOS Sonoma 14.6
  • macOS Ventura 13
  • macOS Monterey 12

在任何时候,Citrix 都仅支持最新的和之前的两个 macOS 操作系统(N、N-1 和 N-2)。

兼容的 Citrix 产品

Citrix Workspace 应用程序与当前所有受支持的 Citrix Virtual Apps and Desktops、Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)和 Citrix Gateway 版本兼容,这些版本在 Citrix 产品生命周期列表中列出。

兼容的浏览器

适用于 Mac 的 Citrix Workspace 应用程序与以下浏览器兼容:

  • Google Chrome
  • Microsoft Edge
  • Safari

硬件要求

  • 1 GB 可用磁盘空间
  • 用来连接服务器的正常运行的网络或 Internet 连接

连接、证书和身份验证

连接

适用于 Mac 的 Citrix Workspace 应用程序支持与 Citrix Virtual Apps and Desktops 和 Citrix DaaS(以前称为 Citrix Virtual Apps and Desktops 服务)的以下连接:

  • HTTPS
  • ICA-over-TLS
  • ICA-over-DTLS

适用于 Mac 的 Citrix Workspace 应用程序支持以下配置:

对于 LAN 连接 对于安全的远程连接或本地连接
使用 StoreFront Services 或 Citrix Receiver for Web 站点的 StoreFront; Citrix Gateway 12.x-13.x,包括 VPX

Certificates(证书)

重要:

如果您运行的是 macOS 10.15,请确保您的系统符合 Apple 的 macOS 10.15 中的可信证书应满足的要求。请在升级到适用于 Mac 的 Citrix Workspace 应用程序 2106 之前执行此检查。

专用(自签名)证书

如果远程网关上安装了专用证书,您必须在用户设备上安装组织的证书颁发机构颁发的根证书。然后,您可以使用适用于 Mac 的 Citrix Workspace 应用程序成功访问 Citrix 资源。

注意:

如果在连接时无法验证远程网关的证书,将显示不受信任的证书警告,因为本地密钥库中不包含根证书。当用户继续添加应用商店时,添加应用商店将失败。但是,在 Web 浏览器上,用户可能能够对应用商店进行身份验证,但连接到会话将失败。

导入设备的根证书

可以获取证书颁发者的根证书,并通过电子邮件将其发送给设备上已配置的帐户。单击附件时,系统会要求您导入根证书。

通配符证书

通配符证书用于代替同一域内任意服务器的各个服务器证书。适用于 Mac 的 Citrix Workspace 应用程序支持通配符证书。

中间证书与 Citrix Gateway

如果您的证书链中包含中间证书,必须将该中间证书映射到 Citrix Gateway 服务器证书。有关此任务的信息,请参阅 Citrix Gateway 文档。有关安装、链接和更新证书的详细信息,请参阅 How to Install and Link Intermediate Certificate with Primary CA on Citrix Gateway(如何在 Citrix Gateway 上安装中间证书并将其与主 CA 关联)。

服务器证书验证策略

适用于 Mac 的 Citrix Workspace 应用程序引入了更加严格的服务器证书验证策略。

重要

安装此版本的适用于 Mac 的 Citrix Workspace 应用程序之前,请确认服务器或网关证书已按本文所述正确配置。以下情况下连接可能会失败:

  • 服务器或网关配置包括错误的根证书
  • 服务器或网关配置不包括所有中间证书
  • 服务器或网关配置包括过期或无效的中间证书
  • 服务器或网关配置包括交叉签名的中间证书

验证服务器证书时,适用于 Mac 的 Citrix Workspace 应用程序将使用服务器(或网关)提供的所有证书。然后,适用于 Mac 的 Citrix Workspace 应用程序会检查证书是否受信任。如果所有证书都不可信,连接将失败。

与 Web 浏览器中的证书策略相比,此策略更加严格。许多 Web 浏览器都包括大量信任的根证书。

必须为服务器(或网关)配置一组正确的证书。一组不正确的证书可能会导致适用于 Mac 的 Citrix Workspace 应用程序连接失败。

假定为网关配置了以下有效的证书。建议需要更加严格的验证的客户使用此配置,方法是准确确定适用于 Mac 的 Citrix Workspace 应用程序使用的根证书。

然后,适用于 Mac 的 Citrix Workspace 应用程序将检查所有这些证书是否都有效。适用于 Mac 的 Citrix Workspace 应用程序还将检查其是否已信任“根证书”。如果适用于 Mac 的 Citrix Workspace 应用程序不信任“根证书”,连接将失败。

重要

某些证书颁发机构具有多个根证书。如果您需要使用这一更加严格的验证方法,请确保您的配置使用恰当的根证书。例如,当前存在两个可验证相同服务器证书的证书(DigiCert/GTE CyberTrust Global Root 和 DigiCert Baltimore Root/Baltimore CyberTrust Root)。在某些用户设备上,这两个根证书都可用。在其他设备上,只有一个证书可用 (DigiCert Baltimore Root/Baltimore CyberTrust Root)。如果您在网关上配置了 GTE CyberTrust Global Root,则这些用户设备上的适用于 Mac 的 Citrix Workspace 应用程序连接将失败。请参阅证书颁发机构的文档以确定必须使用的根证书。根证书最终会过期,所有证书也是如此。

注意:

某些服务器和网关从不发送根证书,即使已配置也是如此。更加严格的验证因而不可行。

现在假定为网关配置了以下有效的证书。通常推荐使用此配置(忽略根证书):

  • “示例服务器证书”
  • “示例中间证书”

之后,适用于 Mac 的 Citrix Workspace 应用程序将使用这两个证书。随后将搜索用户设备上的根证书。如果发现可正确验证的受信任证书(例如“示例根证书”),连接将成功。否则,连接将失败。此配置提供适用于 Mac 的 Citrix Workspace 应用程序所需的中间证书,但是还允许适用于 Mac 的 Citrix Workspace 应用程序选择任何有效的可信根证书。

现在假定为网关配置了以下证书:

  • “示例服务器证书”
  • “示例中间证书”
  • “错误的根证书”

Web 浏览器可能会忽略错误的根证书。但是,适用于 Mac 的 Citrix Workspace 应用程序将不忽略错误的根证书,并且连接将失败。

某些证书颁发机构使用多个中间证书。在这种情况下,通常为网关配置所有中间证书(但不配置根证书),例如:

  • “示例服务器证书”
  • “示例中间证书 1”
  • “示例中间证书 2”

重要

某些证书颁发机构使用交叉签名的中间证书,用于存在多个根证书的情况。较早的根证书仍与更高版本的根证书同时使用。在这种情况下,至少存在两个中间证书。例如,早期版本的根证书“Class 3 Public Primary Certification Authority”具有相应的交叉签名的中间证书“Verisign Class 3 Public Primary Certification Authority - G5”。但是,相应的较高版本的根证书“Verisign Class 3 Public Primary Certification Authority - G5”也可用,该版本将替换“Class 3 Public Primary Certification Authority”。更高版本的根证书不使用交叉签名的中间证书。

注意

交叉签名的中间证书和根证书的使用者名称相同(颁发对象),但交叉签名的中间证书具有不同的颁发者名称(颁发者)。此差别可以将交叉签名的中间证书与普通的中间证书(例如,示例中间证书 2)区分开来。

通常推荐使用此配置(忽略根证书和交叉签名的中间证书):

  • “示例服务器证书”
  • “示例中间证书”

请避免将网关配置为使用交叉签名的中间证书,因为网关将选择更早版本的根证书:

  • “示例服务器证书”
  • “示例中间证书”
  • “示例交叉签名中间证书”[不推荐]

不建议仅为网关配置服务器证书:

  • “示例服务器证书”

在此情况下,如果适用于 Mac 的 Citrix Workspace 应用程序找不到所有中间证书,连接将失败。

身份验证

对于与 StoreFront 的连接,适用于 Mac 的 Citrix Workspace 应用程序支持以下身份验证方法:

| 身份验证方法 | 适用于 Web 的 Workspace(使用浏览器) | StoreFront 服务站点(本机) | Citrix Gateway 到适用于 Web 的 Workspace(浏览器) | Citrix Gateway 到 StoreFront 服务站点(本机) | | ————————————— | ——————————- | ——————————— | —————————————- | ————————————— | ———————————————- | | 匿名 | 是 | 是 | | | | | 域 | 是 | 是 | | 是* | 是* | | 域直通 | | | | | | | 安全令牌 | | | | 是* | 是* | | 双重身份验证(域 + 安全令牌) | | | | 是* | 是* | | SMS | | | | 是* | 是* | | 智能卡 | 是 | 是 | | 是* | 是 | | 用户证书 | | | | 是 | 是(Citrix Gateway 插件) |

*仅适用于包含 Citrix Gateway 的部署,而无论设备上是否已安装关联的插件。

连接要求

功能标志管理

如果生产环境中的 Citrix Workspace 应用程序出现问题,我们可以在 Citrix Workspace 应用程序中动态禁用受影响的功能,即使该功能已发布亦如此。为此,我们将使用功能标志以及名为 LaunchDarkly 的第三方服务。

不需要做任何配置即可启用传输到 LaunchDarkly 的流量,但当您配置了阻止出站流量的防火墙或代理时除外。在这种情况下,您根据策略要求通过特定 URL 或 IP 地址启用传输到 LaunchDarkly 的流量。

可以通过以下方式启用传输到 LaunchDarkly 的流量和通信:

启用传输到以下 URL 的流量

  • events.launchdarkly.com
  • stream.launchdarkly.com
  • clientstream.launchdarkly.com
  • Firehose.launchdarkly.com
  • mobile.launchdarkly.com

在允许列表中列出 IP 地址

如果必须在允许列表中列出 IP 地址,请参阅 LaunchDarkly public IP list(LaunchDarkly 公用 IP 列表),获取当前所有 IP 地址范围的列表。此列表可用于确保您的防火墙配置自动更新,以便与基础结构更新保持一致。有关基础结构变更的状态的详细信息,请参阅 LaunchDarkly Statuspage 页面。

LaunchDarkly 系统要求

如果您在 Citrix ADC 上将以下服务的拆分通道设置为,请确保应用程序能够与以下服务通信:

  • LaunchDarkly 服务。
  • APNs 侦听器服务

预配以通过 MDM 工具禁用 LaunchDarkly 服务

自版本 2210 起,您可以在 Citrix Workspace 应用程序中禁用 LaunchDarkly 服务,而无论其用户是在组织的防火墙之内还是外部。要禁用 LaunchDarkly 服务,请将 DisableFeatureFlag 设置的值设为 True。

此服务适用于使用 MDM 工具管理 Mac 设备的管理员。

注意:

禁用 FeatureFlag 需要管理员重新启动设备才能使此设置生效。

有关如何使用 MDM 的详细信息,请参阅移动设备管理

系统要求和兼容性