セキュリティキーを管理する
注:
この機能は、StoreFront™ 1912 LTSR CU2以降と組み合わせて使用する必要があります。
Secure XML機能は、Citrix ADCおよびCitrix Gatewayリリース12.1以降でのみサポートされています。
この機能を使用すると、承認されたStoreFrontおよびCitrix GatewayマシンのみがCitrix Delivery Controllerと通信できるようになります。この機能を有効にすると、キーを含まないすべての要求はブロックされます。この機能を使用して、内部ネットワークから発生する攻撃から保護するための追加のセキュリティ層を追加します。
この機能を使用するための一般的なワークフローは次のとおりです。
-
Studioで機能設定を表示できるようにします。
-
サイトの設定を構成します。
-
StoreFrontで設定を構成します。
-
Citrix ADCで設定を構成します。
Studioで機能設定を表示できるようにする
デフォルトでは、セキュリティキーの設定はStudioに表示されません。Studioでこれらを表示できるようにするには、次のようにPowerShell SDKを使用します。
- シトリックス バーチャル アプリケーションズ アンド デスクトップス™ パワーシェル SDK を実行します。
- コマンドウィンドウで、次のコマンドを実行します。
-
Add-PSSnapIn Citrix*。このコマンドはCitrixスナップインを追加します。 Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"
-
PowerShell SDKの詳細については、「SDKとAPI」を参照してください。
サイトの設定を構成する
StudioまたはPowerShellを使用して、サイトのセキュリティキー設定を構成できます。
Studioコンソールを使用する
-
Studio > 設定 > セキュリティキーの管理に移動し、編集をクリックします。「セキュリティキーの管理」ウィンドウが表示されます。
重要:
- 使用できるキーは2つあります。XMLポートとSTAポートを介した通信に同じキーまたは異なるキーを使用できます。一度に1つのキーのみを使用することをお勧めします。未使用のキーは、キーのローテーションにのみ使用されます。
- 使用中のキーを更新するために更新アイコンをクリックしないでください。クリックすると、サービスが中断されます。
-
新しいキーを生成するには、更新アイコンをクリックします。
-
キーが必要な場所を選択します。
-
XMLポートを介した通信にキーを要求する(StoreFrontのみ)。選択した場合、XMLポートを介した通信を認証するためにキーを要求します。StoreFrontは、このポートを介してCitrix Cloudと通信します。XMLポートの変更については、Knowledge Centerの記事CTX127945を参照してください。
-
STAポートを介した通信にキーを要求する。選択した場合、STAポートを介した通信を認証するためにキーを要求します。Citrix GatewayとStoreFrontは、このポートを介してCitrix Cloudと通信します。STAポートの変更については、Knowledge Centerの記事CTX101988を参照してください。
-
-
保存をクリックして変更を適用し、ウィンドウを閉じます。
パワーシェルを使用する
以下は、Studio操作に相当するPowerShellの手順です。
-
シトリックス バーチャル アプリケーションズ アンド デスクトップ リモート PowerShell SDK を実行します。
- コマンドウィンドウで、次のコマンドを実行します。
Add-PSSnapIn Citrix*
- キーを生成し、Key1を設定するには、次のコマンドを実行します。
New-BrokerXmlServiceKeySet-BrokerSite -XmlServiceKey1 <the key you generated>
- キーを生成し、Key2を設定するには、次のコマンドを実行します。
New-BrokerXmlServiceKeySet-BrokerSite -XmlServiceKey2 <the key you generated>
- 通信の認証でキーの使用を有効にするには、次のコマンドのいずれかまたは両方を実行します。
- XMLポート経由で通信を認証するには:
Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
- STAポート経由で通信を認証するには:
Set-BrokerSite -RequireXmlServiceKeyForSta $true
- XMLポート経由で通信を認証するには:
PowerShellコマンドのヘルプでガイダンスと構文を参照してください。
StoreFrontで設定を構成する
サイトの構成が完了したら、PowerShellを使用してStoreFrontで関連する設定を構成する必要があります。
StoreFrontサーバーで、次のPowerShellコマンドを実行します。
| XMLポートを介した通信用のキーを構成するには、コマンド[Set-STFStoreFarm | https://developer-docs.citrix.com/ja-jp/storefront-powershell-sdk/current-release/Set-STFStoreFarm.html]を使用します。例: |
$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->
次のパラメーターに適切な値を入力します。
Path to storeResource feed namesecret
STAポートを介した通信用のキーを構成するには、New-STFSecureTicketAuthorityおよびSet-STFRoamingGatewayコマンドを使用します。例:
$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->
次のパラメーターに適切な値を入力します。
Gateway nameSTA URLSecret
PowerShellコマンドのヘルプでガイダンスと構文を参照してください。
Citrix ADCで設定を構成する
注:
Citrix ADCをゲートウェイとして使用しない限り、Citrix ADCでこの機能を構成する必要はありません。Citrix ADCを使用する場合は、以下の手順に従ってください。
-
以下の前提条件となる構成がすでに設定されていることを確認してください。
- 以下のCitrix ADC関連のIPアドレスが構成されています。
- Citrix ADCコンソールにアクセスするためのCitrix ADC管理IP(NSIP)アドレス。詳細については、「NSIPアドレスの構成」を参照してください。
- Citrix ADCアプライアンスとバックエンドサーバー間の通信を有効にするためのサブネットIP(SNIP)アドレス。詳細については、「サブネットIPアドレスの構成」を参照してください。
- セッション起動のためにADCアプライアンスにログインするためのCitrix Gateway仮想IPアドレスとロードバランサー仮想IPアドレス。詳細については、「仮想サーバーの作成」を参照してください。
- Citrix ADCアプライアンスで必要なモードと機能が有効になっています。
- モードを有効にするには、Citrix ADC のグラフィカルユーザーインターフェースで System > Settings > Configure Mode に移動します。
- 機能を有効にするには、Citrix ADC GUI で システム > 設定 > 基本機能の構成 に移動します。
- 証明書関連の構成が完了しています。
- 証明書署名要求 (CSR) が作成されます。詳細については、「証明書の作成」を参照してください。
- サーバー証明書、CA証明書、およびルート証明書がインストールされます。詳細については、「インストール、リンク、および更新」を参照してください。
- Citrix Virtual Desktops 用のCitrix Gatewayが作成されました。Test STA Connectivity ボタンをクリックして接続をテストし、仮想サーバーがオンラインであることを確認します。詳細については、「Citrix Virtual Apps and Desktops 用のCitrix ADCのセットアップ」を参照してください。
- 以下のCitrix ADC関連のIPアドレスが構成されています。
-
リライトアクションを追加します。詳細については、「リライトアクションの構成」を参照してください。
- 「AppExpert」>「リライト」>「アクション」に移動します。
- 追加 をクリックして、新しいリライトアクションを追加します。アクションの名前を「set Type to INSERT_HTTP_HEADER」にすることができます。
- 「タイプ」フィールドで、「INSERT_HTTP_HEADER」を選択します。
- 「ヘッダー名」という項目に「X-Citrix-XmlServiceKey」と入力します。
-
式 に、引用符付きで
<XmlServiceKey1 value>を追加します。Desktop Delivery Controller™ の構成からXmlServiceKey1の値をコピーできます。
- リライトポリシーを追加します。詳細については、リライトポリシーの構成を参照してください。
-
AppExpert > リライト > ポリシー に移動します。
-
Addをクリックして、新しいポリシーを追加します。
- Actionで、前のステップで作成したアクションを選択します。
- In Expression, add HTTP.REQ.IS_VALID.
- OKをクリックします。
-
-
負荷分散を設定します。STAサーバーごとに1つの負荷分散仮想サーバーを構成する必要があります。そうしないと、セッションの起動に失敗します。
詳細については、基本的な負荷分散の設定を参照してください。
- 負荷分散仮想サーバーを作成します。
- トラフィック管理 > 負荷分散 > サーバー に移動します。
- 「Virtual Servers」ページに移動し、「Add」をクリックします。
- プロトコルで、HTTPを選択します。
- 負荷分散仮想IPアドレスを追加し、Portで80を選択します。
- 「OK」をクリックします。
- 負荷分散サービスを作成します。
- トラフィック管理 > ロードバランシング > サービスに移動します。
負荷分散サービスを追加する(/ja-jp/citrix-virtual-apps-desktops/2203-ltsr/media/adc-create-lb-service.png)
- Existing Serverで、前の手順で作成した仮想サーバーを選択します。
- ProtocolでHTTPを選択し、Portで80を選択します。
- 「OK」をクリックし、次に「Done」をクリックします。
- サービスを仮想サーバーにバインドします。
- 以前に作成した仮想サーバーを選択し、「Edit」をクリックします。
- サービスとサービスグループで、「ロードバランシング仮想サーバーサービスバインディングなし」をクリックします。
サービスを仮想サーバーにバインドする(/ja-jp/citrix-virtual-apps-desktops/2203-ltsr/media/adc-bind-service-to-lbvserver.png)
- Service Bindingで、以前に作成したサービスを選択します。
- 「Bind」をクリックします。
- 以前に作成した書き換えポリシーを仮想サーバーにバインドします。
- 以前に作成した仮想サーバーを選択し、「Edit」をクリックします。
- 「Advanced Settings」で「Policies」をクリックし、次に「Policies」セクションで「+」をクリックします。
リライトポリシーのバインド(/ja-jp/citrix-virtual-apps-desktops/2203-ltsr/media/adc-bind-rewrite-policy.png)
- 「ポリシーの選択」で「Rewrite」を選択し、「種類の選択」で「Request」を選択します。
- 「Continue」をクリックします。
- 「Select Policy」で、以前に作成したリライトポリシーを選択します。
- 「Bind」をクリックします。
- 「Done」をクリックします。
- 必要に応じて、仮想サーバーの永続性を設定します。
- 以前に作成した仮想サーバーを選択し、「Edit」をクリックします。
- 「詳細設定」で「永続性」をクリックします。
永続性の設定(/ja-jp/citrix-virtual-apps-desktops/2203-ltsr/media/adc-lb-vserver-persistence.png)
- 永続性の種類として「Others」を選択します。
- 仮想サーバーによって選択されたサービスのIPアドレス(宛先IPアドレス)に基づいて永続セッションを作成するには、「DESTIP」を選択します。
- 「IPv4 Netmask」で、DDCと同じネットワークマスクを追加します。
- 「OK」をクリックします。
- 他の仮想サーバーについても、これらの手順を繰り返します。
- 負荷分散仮想サーバーを作成します。
Citrix ADCアプライアンスがCitrix Virtual Desktops™で既に構成されている場合の構成変更
Citrix ADCアプライアンスをCitrix Virtual Desktopsで既に構成している場合、Secure XML機能を使用するには、以下の構成変更を行う必要があります。
- セッション起動前に、ゲートウェイのSecurity Ticket Authority URLを、ロードバランシング仮想サーバーのFQDNを使用するように変更します。
-
TrustRequestsSentToTheXmlServicePortパラメーターがFalseに設定されていることを確認します。デフォルトでは、TrustRequestsSentToTheXmlServicePortパラメーターはFalseに設定されています。ただし、お客様がCitrix ADCをCitrix Virtual Desktops用に既に構成している場合、TrustRequestsSentToTheXmlServicePortはTrueに設定されています。
- Citrix ADCのグラフィカルユーザーインターフェースで、構成 > Citrix製品との統合に移動し、XenApp and XenDesktop®をクリックします。
-
ゲートウェイインスタンスを選択し、編集アイコンをクリックします。
既存のゲートウェイ構成を編集(/ja-jp/citrix-virtual-apps-desktops/2203-ltsr/media/edit-gateway-instance.png)
-
StoreFrontペインで、編集アイコンをクリックします。
-
セキュアチケットオーソリティURLを追加します。
- Secure XML機能が有効になっている場合、STA URLはロードバランシングサービスのURLである必要があります。
- Secure XML機能が無効になっている場合、STA URLはSTAのURL(DDCのアドレス)である必要があり、DDC上のTrustRequestsSentToTheXmlServicePortパラメーターはTrueに設定されている必要があります。
