Web Studioのスマートカード認証を設定する

この記事では、Web Studioのスマートカード認証を設定および有効にするために必要な手順について説明します。

ステップ1：スマートカードドライバーをインストールする

ステップ2：スマートカードユーザーの証明書を発行する

ステップ3：スマートカードユーザーの証明書を登録する

ステップ4：Web Studio IISサーバーを構成する

ステップ5（オプション）：Web Studioの認証委任を構成する

ステップ6：Web Studioのスマートカード認証を有効にする

注：

スマートカード認証は、Web Studioサーバーと同じActive Directoryドメインのユーザーに対してのみサポートされます。

ステップ1：スマートカードドライバーをインストールする

以下のマシンにスマートカードドライバーをインストールします。

• 証明書サービスがインストールされているドメインコントローラー
• ウェブスタジオサーバー
• エンドユーザーがWeb Studioにアクセスするために使用するマシン
• スマートカードユーザーの証明書を登録するために使用するマシン

スマートカードドライバーはベンダーによって異なります。たとえば、ITSが提供するスマートカードハードウェアを使用している場合は、https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-driversからSaftNetドライバーをダウンロードしてください。

ステップ2：スマートカードユーザーの証明書を発行する

注:

以下の手順は、プロセスを案内するための例として提供されています。

ドメインコントローラーで、以下の手順に従ってタスクを完了します。

1. ドメインコントローラーにアクセスし、証明機関を開きます。

   

2. 登録エージェントテンプレートを複製します。詳細な手順は次のとおりです。

   1. 証明書テンプレートを右クリックし、管理を選択します。

      

   2. 登録エージェントを右クリックし、テンプレートの複製を選択します。

   3. サブジェクト名タブで、サブジェクト名に電子メールを含めるが選択されていないことを確認します。

      

   4. 暗号化タブで、Microsoft Base Smart Card Crypto Providerを選択し、OKをクリックします。登録エージェントのコピーという名前のテンプレートが証明書テンプレートリストに表示されます。

      「証明書テンプレート>暗号化」(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/ca-manage-template-crypto.png)

3. スマートカード用の証明書を発行します。詳細な手順は次のとおりです。
   1. 証明書テンプレートを右クリックし、新規 > 発行するテンプレートを選択します。
   2. 登録エージェントのコピーとスマートカードユーザーを選択します。
   3. OKをクリックします。

ステップ3：スマートカードユーザー用の証明書を登録する

注：

以下の手順は、プロセスを案内するための例として提供されています。

ドメインに参加している物理Windowsマシンで、次の手順に従って各スマートカードの証明書を登録します。

1. 登録用にドメインに参加している物理Windowsマシンを準備します。
   1. スマートカードドライバーがインストールされていることを確認します。
   2. スマートカードをマシンに挿入します。
   3. スマートカードに割り当てたいユーザーアカウントを使用してマシンにログオンします。
2. ステップ1で準備したマシンに証明書スナップインを追加します。詳細な手順は次のとおりです。
   1. mmcを開きます。
   2. 「ファイル」をクリックし、「スナップインの追加と削除」をクリックします。
   3. 表示される「スナップインの追加と削除」ウィンドウで、「証明書」を選択し、「追加 >」をクリックします。
   4. 表示されるダイアログボックスで、「マイユーザーアカウント」を選択し、「完了」をクリックします。

   5. 「OK」をクリックします。

      証明書の追加(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/add-certificate-1.png)

3. 証明書スナップインの新しい証明書を要求します。詳細な手順は次のとおりです。

   1. 証明書 - 現在のユーザー > 個人に移動し、「証明書」を右クリックして、「すべてのタスク > 新しい証明書の要求」を選択します。

      新しい証明書の要求(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/add-certificate-2.png)

   2. 表示される「証明書の要求」ダイアログボックスで、「登録エージェントのコピー」と「スマートカードユーザー」を選択します。

      証明書テンプレートの管理(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/add-certificate-3-1.png)

   3. 上記のダイアログボックスで、「スマートカードユーザー」の「詳細」をクリックし、「プロパティ」をクリックします。「証明書のプロパティ」ダイアログボックスが表示されます。

      新しい証明書の要求 > プロパティ(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/add-certificate-3-2.png)

   4. 「秘密キー」タブで、「暗号化サービスプロバイダー」を展開し、「Microsoft Strong 暗号化プロバイダー (暗号化)」のチェックを外し、「Microsoft Base スマートカード暗号化プロバイダー (暗号化)」のみを選択し、「OK」をクリックします。
   5. 「登録」をクリックします。

   6. 表示される「Windowsセキュリティ」ダイアログボックスで、スマートカードのPINコードを入力し、「OK」をクリックします。登録が完了したら、「完了」をクリックします。

      「証明書を登録」(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/add-certificate-4.png)

登録が成功すると、次のスクリーンショットに示すように、証明書 - 現在のユーザー -> 個人 -> 証明書の下に2つの証明書が表示されます。

ステップ4: Web Studio IISサーバーを構成する

各Web Studioサーバーで、スマートカード認証用にIISを構成するには、次の手順に従います。

1. Web Studioマシンに対してクライアント証明書マッピング認証を有効にします。

   <clientCertificateMappingAuthentication>要素は、IIS 7以降のデフォルトインストールでは利用できません。インストールと有効化の詳細については、このMicrosoftの記事を参照してください。

2. Web StudioマシンでIISマネージャーを起動します。

3. マシンに対してActive Directoryクライアント証明書認証を有効にします。詳細な手順は次のとおりです。

   1. 左ペインでマシンを選択し、認証をダブルクリックします。

      

   2. Active Directoryクライアント証明書認証を有効にします。

      「IIS > ACクライアント証明書認証を有効にする」(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/ad-client-auth-2.png)

4. クライアント証明書認証を使用して、より安全なHTTPSプロトコル用にWeb Studioバックエンドモジュールを構成します。

   1. サイト > 既定のWebサイト > Studio > バックエンド > スマートカードに移動し、IISセクションでSSL設定をダブルクリックします。

      「IISバックエンドモジュール スマートカードSSL」(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/iis-server-backend-smartcard-ssl.png)

   2. 「クライアント証明書」に対して「必須」を選択します。

      IISサーバーバックエンドのスマートカードSSL必須(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/iis-server-backend-smartcard-ssl-required.png)

   3. 「サイト > デフォルトWebサイト > スタジオ > バックエンド > スマートカード」に戻り、IISセクションで構成エディターをダブルクリックします。

      IIS > 構成エディター(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/iis-server-backend-smartcard-config.png)

   4. 確実に /clientCertificateMappingAuthentication が 有効な状態になっている ことを確認してください。

      クライアント認証を有効にする(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/iis-server-backend-smartcard-config-enabled.png)

5. (Windows 2022のみ) TCP経由のTLS 3.1を無効にします。詳細な手順は次のとおりです。

   1. 「サイト > 既定のWebサイト」に移動します。
   2. 「サイトの編集 > バインド」をクリックします。

   3. 表示されるサイトバインディングダイアログボックスで、httpsレコードを選択し、編集をクリックします。

      ウィンドウズ 2022のみ、HTTPS設定の編集(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/iis-server-default-site-https-edit.png)

   4. 表示されるサイトバインディングの編集ダイアログボックスで、TCP経由のTLS 1.3を無効にするを選択し、OKをクリックします。

      ウィンドウズ 2022のみ、HTTPS設定の編集が無効(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/iis-server-default-site-https-edit-disable.png)

参考:

Web StudioバックエンドはWeb Studioのモジュールであり、以下の機能を提供します。

• スマートカード認証。
• 統合Windows認証を使用したオーケストレーションサービスからのFMAベアラートークンの取得。

ステップ5 (オプション) Web Studioの認証委任を構成する

Web StudioとDelivery Controllerが異なるサーバーにインストールされている場合、HOSTサービスとHTTPSサービスについて、各Web StudioサーバーからDelivery Controllerへの委任を構成する必要があります。

各Web Studioサーバーでタスクを完了するには、次の手順に従います。

1. デリバリーコントローラー™ オーケストレーション HTTPS証明書をインポートする
2. Web Studioサーバーの委任を構成する
3. （オプション）Web Studio IISサーバーのサービスアカウントの委任を構成する

デリバリーコントローラー オーケストレーション HTTPS証明書のインポート

Web Studioサーバーで、Delivery Controller Orchestration HTTPS証明書を信頼されたルート証明機関にインポートします。詳細な手順は次のとおりです。

1. 設定 > コンピューター証明書の管理を開始します。

2. 信頼されたルート証明機関 > 証明書を右クリックし、すべてのタスク > インポートを選択します。

   

3. 画面に表示される指示に従って、Delivery Controller Orchestration HTTPS 証明書をインポートしてください。

Web Studioサーバーの委任を構成する

ドメインコントローラーで、Web StudioサーバーからDelivery ControllerへのHOSTサービスとHTTPサービスの委任を構成します。このタスクを完了するには、次の手順に従います。

1. ドメインコントローラーで、Active Directory管理センターを起動します。
2. 委任を構成するWeb Studioサーバーのコンピューターアカウントを見つけます（例：Dan002）。

3. アカウントを右クリックし、プロパティを選択して、次の手順を完了します。

   Studioサーバーの委任を構成する(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/kerbero-delegation-1.png)

   1. 委任タブに移動します。

      委任構成を入力する(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/kerbero-delegation-2.png)

   2. 指定されたサービスへの委任でのみこのユーザーを信頼する > 任意の認証プロトコルを使用するを選択します。
   3. 追加をクリックして、このコンピューターアカウントに委任できるサービスを指定します。
   4. 表示されるサービスの追加ダイアログボックスで、ユーザーまたはコンピューターの追加をクリックして、Delivery Controllerのコンピューター名を見つけます（例：Dan001）。
   5. HOSTサービスとHTTPサービスを選択し、OKをクリックします。

構成結果を次のスクリーンショットに示します。 証明書テンプレートを管理する(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/kerbero-delegation-result-1.png)

（オプション）Web Studio IISサーバーのサービスアカウントの委任を構成します

Web Studio IISサーバーのサービスアカウントを構成している場合は、このサービスアカウントからDelivery ControllerへのHOSTサービスとHTTPサービスの委任も構成する必要があります。この委任が確立されると、Web Studioサーバーはサービスアカウントを使用して現在のスマートカードユーザーを偽装し、HOSTサービスとHTTPサービスのためにDelivery Controllerにアクセスできます。構成を完了するには、次の手順に従います。

1. ドメインコントローラーで、Active Directory管理センターを起動します。
2. Web Studio IISサーバーのユーザーアカウント（サービスアカウント）で、委任を構成したいものを特定します（例：svr-stud-002）。
3. アカウントを右クリックし、プロパティを選択します。
4. Web Studio IISサーバーのサービスアカウントを、HOSTおよびHTTPサービスのためにDelivery Controllerに委任するには、Web Studioサーバーの委任を構成するのステップ3に記載されている手順に従ってください。

構成結果を次のスクリーンショットに示します。

ステップ6：Web Studioのスマートカード認証を有効にする

Web Studioのスマートカード認証を有効にするには、次の手順に従います。

1. Web Studioにサインインし、左ペインで設定を選択します。
2. 必要に応じて、スマートカード認証またはドメイン資格情報またはスマートカード認証を選択します。

3. 適用をクリックします。