製品ドキュメント

Web Studio のスマートカード認証をセットアップする

May 31, 2026
寄稿者: 
C

この記事では、Web Studio のスマートカード認証をセットアップして有効にするために必要な手順を概説します。

ステップ 1: スマートカードドライバーをインストールする

ステップ 2: スマートカードユーザーに証明書を発行する

ステップ 3: スマートカードユーザーの証明書を登録する

ステップ 4: Web Studio IIS サーバーを構成する

ステップ 5 (オプション): Web Studio の認証委任を構成する

ステップ 6: Web Studio のスマートカード認証を有効にする

注:

スマートカード認証は、Web Studio サーバーと同じ Active Directory ドメインのユーザーに対してのみサポートされます。

ステップ 1: スマートカードドライバーをインストールする

以下のマシンにスマートカードドライバーをインストールします。

  • 証明書サービスがインストールされているドメインコントローラー。
  • ウェブスタジオ サーバー
  • エンドユーザーが Web Studio にアクセスするために使用するマシン
  • スマートカードユーザーの証明書を登録するために使用するマシン

スマートカードドライバーはベンダーによって異なります。たとえば、ITSが提供するスマートカードハードウェアを使用している場合は、https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-driversからSaftNetドライバーをダウンロードしてください。

ステップ2:スマートカードユーザーの証明書を発行する

注:

以下の手順は、プロセスを案内するための例として提供されています。

ドメインコントローラーで、以下の手順に従ってタスクを完了します。

  1. ドメインコントローラーにアクセスし、証明機関を開きます。

    CAの開始

  2. 登録エージェントテンプレートを複製します。詳細な手順は次のとおりです。

    1. 証明書テンプレートを右クリックし、管理を選択します。

      証明書テンプレートの管理

    2. 登録エージェントを右クリックし、テンプレートの複製を選択します。

    3. サブジェクト名タブで、サブジェクト名に電子メールを含めるが選択されていないことを確認します。

      証明書テンプレート > サブジェクト名

    4. 暗号化タブで、Microsoft Base Smart Card Crypto Providerを選択し、OKをクリックします。証明書テンプレートリストに登録エージェントのコピーという名前のテンプレートが表示されます。

      証明書テンプレート>暗号化(/ja-jp/citrix-virtual-apps-desktops/2411/media/ca-manage-template-crypto.png)

  3. スマートカード用の証明書を発行します。詳細な手順は次のとおりです。
    1. 証明書テンプレートを右クリックし、「新規 > 発行するテンプレート」を選択します。
    2. 登録エージェントのコピー」および「スマートカードユーザー」を選択します。
    3. OK」をクリックします。

ステップ3:スマートカードユーザーの証明書を登録する

注:

次の手順は、プロセスを案内するための例として提供されています。

ドメインに参加している物理Windowsマシンで、各スマートカードの証明書を登録するには、次の手順に従います。

  1. 登録用にドメインに参加している物理Windowsマシンを準備します。
    1. スマートカードドライバーがインストールされていることを確認します。
    2. マシンにスマートカードを挿入します。
    3. スマートカードに割り当てたいユーザーアカウントを使用してマシンにログオンします。
  2. ステップ1で準備したマシンに「証明書」スナップインを追加します。詳細な手順は次のとおりです。
    1. mmc」を開きます。
    2. ファイル」をクリックし、「スナップインの追加と削除」をクリックします。
    3. 表示される「スナップインの追加と削除」ウィンドウで、「証明書」を選択し、「追加 >」をクリックします。
    4. 表示されるダイアログボックスで、「マイユーザーアカウント」を選択し、「完了」をクリックします。

    5. OK」をクリックします。

      「証明書の追加」(/ja-jp/citrix-virtual-apps-desktops/2411/media/add-certificate-1.png)

  3. 証明書」スナップインの新しい証明書を要求します。詳細な手順は次のとおりです。

    1. 証明書 - 現在のユーザー > 個人」に移動し、「証明書」を右クリックして、「すべてのタスク > 新しい証明書の要求」を選択します。

      「新しい証明書の要求」(/ja-jp/citrix-virtual-apps-desktops/2411/media/add-certificate-2.png)

    2. 表示される「証明書の要求」ダイアログボックスで、「登録エージェントのコピー」と「スマートカードユーザー」を選択します。

      「証明書テンプレートの管理」(/ja-jp/citrix-virtual-apps-desktops/2411/media/add-certificate-3-1.png)

    3. 上記のダイアログボックスで、「スマートカードユーザー」の「詳細」をクリックし、「プロパティ」をクリックします。「証明書のプロパティ」ダイアログボックスが表示されます。

      「新しい証明書の要求 > プロパティ」(/ja-jp/citrix-virtual-apps-desktops/2411/media/add-certificate-3-2.png)

    4. 秘密キー」タブで、「暗号化サービスプロバイダー」を展開し、「Microsoft Strong Cryptographic Provider (暗号化)」のチェックを外し、「Microsoft Base Smart Card Crypto Provider (暗号化)」のみを選択して、「OK」をクリックします。
    5. 登録」をクリックします。

    6. 表示される「Windows セキュリティ」ダイアログボックスで、スマートカードのPINコードを入力し、「OK」をクリックします。登録が完了したら、「完了」をクリックします。

      「証明書を登録」(/ja-jp/citrix-virtual-apps-desktops/2411/media/add-certificate-4.png)

登録が成功すると、次のスクリーンショットに示すように、証明書 - 現在のユーザー -> 個人 -> 証明書の下に2つの証明書が表示されます。 証明書テンプレートの管理

ステップ4:Web Studio IISサーバーを構成する

各Web Studioサーバーで、スマートカード認証用にIISを構成するには、次の手順に従います。

  1. Web Studioマシンに対してクライアント証明書マッピング認証を有効にします。

    <clientCertificateMappingAuthentication>要素は、IIS 7以降のデフォルトインストールでは利用できません。インストールと有効化の詳細については、このMicrosoftの記事を参照してください。

  2. Web StudioマシンでIISマネージャーを起動します。

  3. マシンに対してActive Directoryクライアント証明書認証を有効にします。詳細な手順は次のとおりです。

    1. 左ペインでマシンを選択し、認証をダブルクリックします。

      IIS > 認証オプション

    2. Active Directoryクライアント証明書認証を有効にします。

      「IIS > ACクライアント証明書認証を有効にする」(/ja-jp/citrix-virtual-apps-desktops/2411/media/ad-client-auth-2.png)

  4. クライアント証明書認証を使用した、より安全なHTTPSプロトコル用にWeb Studioバックエンドモジュールを構成します。

    1. サイト > 既定のWebサイト > Studio > バックエンド > スマートカードに移動し、IISセクションでSSL設定をダブルクリックします。

      「IISバックエンドモジュール スマートカードSSL」(/ja-jp/citrix-virtual-apps-desktops/2411/media/iis-server-backend-smartcard-ssl.png)

    2. クライアント証明書」で「必須」を選択します。

      IISサーバーのバックエンド スマートカード SSL必須(/ja-jp/citrix-virtual-apps-desktops/2411/media/iis-server-backend-smartcard-ssl-required.png)

    3. サイト > 既定のWebサイト > Studio > バックエンド > スマートカードに戻り、IISセクションの構成エディターをダブルクリックします。

      IIS > 構成エディター(/ja-jp/citrix-virtual-apps-desktops/2411/media/iis-server-backend-smartcard-config.png)

    4. /clientCertificateMappingAuthentication有効な状態 になっていることを確認するようにしてください。

      クライアント認証を有効にする(/ja-jp/citrix-virtual-apps-desktops/2411/media/iis-server-backend-smartcard-config-enabled.png)

  5. (Windows 2022のみ)TCP経由のTLS 3.1を無効にします。詳細な手順は次のとおりです。

    1. サイト > 既定のWebサイト に移動します。
    2. サイトの編集 > バインド」をクリックします。

    3. 表示される「サイトバインディング」ダイアログボックスで、「https」レコードを選択し、「編集」をクリックします。

      ウィンドウズ 2022 のみ HTTPS 編集(/ja-jp/citrix-virtual-apps-desktops/2411/media/iis-server-default-site-https-edit.png)

    4. 表示される「サイトバインディングの編集」ダイアログボックスで、「TCP経由のTLS 1.3を無効にする」を選択し、「OK」をクリックします。

      Windows 2022 のみ:HTTPS 編集が無効化されています(/ja-jp/citrix-virtual-apps-desktops/2411/media/iis-server-default-site-https-edit-disable.png)

ご参考:

Web StudioバックエンドはWeb Studioのモジュールであり、以下の機能を提供します。

  • スマートカード認証。
  • 統合 Windows 認証を使用した Orchestration サービスからの FMA ベアラートークンの取得。

ステップ 5 (オプション) Web Studio の認証委任を構成する

Web Studio と Delivery Controller が異なるサーバーにインストールされている場合、HOST および HTTPS サービスについて、各 Web Studio サーバーから Delivery Controller への委任を構成する必要があります。

各 Web Studio サーバーでタスクを完了するには、次の手順に従います。

  1. Delivery Controller™ オーケストレーション HTTPS 証明書をインポートする(#import-the-delivery-controller-orchestration-https-certificate)
  2. Web Studio サーバーの委任を構成する(#configure-delegation-for-the-web-studio-server)
  3. (オプション) Web Studio IIS サーバーのサービスアカウントの委任を構成する(#optional-configure-delegation-for-the-web-studio-iis-servers-service-account)

Delivery Controller のオーケストレーション HTTPS 証明書をインポートする

Web Studio サーバーで、Delivery Controller Orchestration HTTPS 証明書を 信頼されたルート証明機関 にインポートします。詳細な手順は次のとおりです。

  1. 設定 > コンピューター証明書の管理 を開始します。

  2. 信頼されたルート証明機関 > 証明書 を右クリックし、すべてのタスク > インポート を選択します。

    DDC 証明書をインポートする(/ja-jp/citrix-virtual-apps-desktops/2411/media/web-server-ddc-cert-import.png)

  3. 画面の指示に従って、Delivery Controller のオーケストレーション HTTPS 証明書をインポートします。

Web Studio サーバーの委任を構成する

ドメインコントローラーで、Web StudioサーバーからDelivery ControllerへのHOSTおよびHTTPサービスに対する委任を構成します。このタスクを完了するには、次の手順に従います。

  1. ドメインコントローラーで、Active Directory管理センターを起動します。
  2. 委任を構成するWeb Studioサーバーのコンピューターアカウントを見つけます(例:Dan002)。

  3. アカウントを右クリックし、プロパティを選択して、次の手順を完了します。

    Studioサーバーの委任を構成する(/ja-jp/citrix-virtual-apps-desktops/2411/media/kerbero-delegation-1.png)

    1. 委任タブに移動します。

      委任構成を入力する(/ja-jp/citrix-virtual-apps-desktops/2411/media/kerbero-delegation-2.png)

    2. 指定されたサービスへの委任でのみこのユーザーを信頼する > 任意の認証プロトコルを使用するを選択します。
    3. 追加をクリックして、このコンピューターアカウントが委任できるサービスを指定します。
    4. 表示されるサービスの追加ダイアログボックスで、ユーザーまたはコンピューターの追加をクリックして、Delivery Controllerのコンピューター名を見つけます(例:Dan001)。
    5. HOSTおよびHTTPサービスを選択し、OKをクリックします。

構成結果を次のスクリーンショットに示します。 証明書テンプレートを管理する(/ja-jp/citrix-virtual-apps-desktops/2411/media/kerbero-delegation-result-1.png)

(オプション)Web Studio IISサーバーのサービスアカウントの委任を構成します

Web Studio IISサーバーにサービスアカウントを構成している場合、このサービスアカウントからDelivery ControllerへのHOSTおよびHTTPサービスに対する委任も構成する必要があります。この委任が確立されると、Web Studioサーバーは、そのサービスアカウントを使用して、現在のスマートカードユーザーを偽装し、HOSTおよびHTTPサービスのためにDelivery Controllerにアクセスできます。構成を完了するには、次の手順に従います。

  1. ドメインコントローラーで、Active Directory管理センターを起動します。
  2. Web Studio IISサーバーのユーザーアカウント(サービスアカウント)を見つけます。委任を構成したいアカウントです(例:svr-stud-002)。
  3. アカウントを右クリックし、プロパティを選択します。
  4. Web Studio IISサーバーのサービスアカウントを、HOSTサービスとHTTPサービスのためにDelivery Controllerに委任するには、Web Studioサーバーの委任を構成するのステップ3に記載されている手順に従ってください。

構成結果を次のスクリーンショットに示します。

証明書テンプレートの管理

ステップ6:Web Studioでスマートカード認証を有効にする

Web Studioでスマートカード認証を有効にするには、次の手順に従います。

  1. Web Studioにサインインし、左ペインで設定を選択します。
  2. 必要に応じて、スマートカード認証またはドメイン資格情報またはスマートカード認証を選択します。

  3. 適用をクリックします。

    証明書テンプレートの管理

Web Studio のスマートカード認証をセットアップする
May 31, 2026
寄稿者: 
C
May 31, 2026
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.