製品ドキュメント
Citrix Virtual Apps and Desktops
Service Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912 LTSR
PDFを表示

Web Studioのスマートカード認証のセットアップ

March 18, 2026
寄稿者: 
C

この記事では、Web Studioのスマートカード認証をセットアップして有効にするために必要な手順を説明します。

手順 1: スマートカードドライバーのインストール

手順 2: スマートカードユーザーの証明書の発行

手順 3: スマートカードユーザーの証明書の登録

手順 4: Web Studio IISサーバーの構成

手順 5 (オプション): Web Studioの認証委任の構成

手順 6: Web Studioのスマートカード認証の有効化

注:

スマートカード認証は、Web Studioサーバーと同じActive Directoryドメインのユーザーのみがサポートされます。

手順 1: スマートカードドライバーのインストール

スマートカードドライバーを以下のマシンにインストールします。

  • 証明書サービスがインストールされているドメインコントローラー
  • Web Studioサーバー
  • エンドユーザーがWeb Studioにアクセスするために使用するマシン
  • スマートカードユーザーの証明書を登録するために使用するマシン

スマートカードドライバーはベンダーによって異なります。たとえば、ITSが提供するスマートカードハードウェアを使用している場合は、SaftNetドライバーをhttps://support.globalsign.com/ssl/ssl-certificates-installation/safenet-driversからダウンロードしてください。

手順 2: スマートカードユーザーの証明書の発行

注:

以下の手順は、プロセスをガイドするための例として提供されています。

ドメインコントローラーで、このタスクを完了するには、以下の手順に従います。

  1. ドメインコントローラーにアクセスし、Certification Authorityを開きます。

    CAの開始

  2. Enrollment Agentテンプレートを複製します。詳細な手順は次のとおりです。

    1. Certificate Templatesを右クリックし、Manageを選択します。

      証明書テンプレートの管理

    2. Enrollment Agentを右クリックし、Duplicate Templateを選択します。

    3. Subject Nameタブで、Include e-mail in subject nameが選択されていないことを確認します。

      証明書テンプレート > サブジェクト名

    4. Cryptographyタブで、Microsoft Base Smart Card Crypto Providerを選択し、OKをクリックします。Copy of Enrollment Agentという名前のテンプレートがCertificate Templatesリストに表示されます。

      証明書テンプレート > 暗号化

  3. スマートカードの証明書を発行します。詳細な手順は次のとおりです。
    1. Certificate Templatesを右クリックし、New > Template to Issueを選択します。
    2. Copy of Enrollment AgentSmartcard Userを選択します。
    3. OKをクリックします。

手順 3: スマートカードユーザーの証明書の登録

注:

以下の手順は、プロセスをガイドするための例として提供されています。

ドメインに参加している物理Windowsマシンで、各スマートカードの証明書を登録するには、以下の手順に従います。

  1. 登録用にドメインに参加している物理Windowsマシンを準備します。
    1. スマートカードドライバーがインストールされていることを確認します。
    2. スマートカードをマシンに挿入します。
    3. スマートカードに割り当てるユーザーアカウントを使用してマシンにログオンします。
  2. 手順1で準備したマシンにCertificatesスナップインを追加します。詳細な手順は次のとおりです。
    1. mmcを開きます。
    2. Fileをクリックし、Add/Remove Snap-inをクリックします。
    3. 表示されるAdd or Remove Snap-insウィンドウで、Certificatesを選択し、Add >をクリックします。
    4. 表示されるダイアログボックスで、My user accountを選択し、Finishをクリックします。

    5. OKをクリックします。

      証明書の追加

  3. Certificatesスナップインの新しい証明書を要求します。詳細な手順は次のとおりです。

    1. Certificates - Current User > Personalに移動し、Certificatesを右クリックして、All Tasks > Request New Certificateを選択します。

      新しい証明書の要求

    2. 表示されるRequest Certificatesダイアログボックスで、Copy of Enrollment AgentSmartcard Userを選択します。

      証明書テンプレートの管理

    3. 上記のダイアログボックスで、Smartcard UserDetailsをクリックし、Propertiesをクリックします。Certificate Propertiesダイアログボックスが表示されます。

      新しい証明書の要求 > プロパティ

    4. Private Keyタブで、Cryptographic Service Providerを展開し、Microsoft Strong Cryptographic Provider (Encrption)の選択を解除し、Microsoft Base Smart Card Crypto Provider (Encryption)のみを選択して、OKをクリックします。
    5. Enrollをクリックします。

    6. 表示されるWindows Securityダイアログボックスで、スマートカードのPINコードを入力し、OKをクリックします。登録が完了したら、Finishをクリックします。

      証明書の登録

登録が成功すると、次のスクリーンショットに示すように、Certificates - Current User -> Personal -> Certificatesの下に2つの証明書が表示されます。 証明書テンプレートの管理

手順 4: Web Studio IISサーバーの構成

各Web Studioサーバーで、スマートカード認証用にIISを構成するには、以下の手順に従います。

  1. Web Studioマシンでクライアント証明書マッピング認証を有効にします。

    <clientCertificateMappingAuthentication>要素は、IIS 7以降のデフォルトインストールでは利用できません。インストールと有効化の詳細については、このMicrosoftの記事を参照してください。

  2. Web StudioマシンでIIS Managerを起動します。

  3. マシンでActive Directory Client Certificate Authenticationを有効にします。詳細な手順は次のとおりです。

    1. 左ペインでマシンを選択し、Authenticationをダブルクリックします。

      IIS > 認証

    2. Active Directory Client Certificate Authenticationを有効にします。

      IIS > ACクライアント証明書認証の有効化

  4. クライアント証明書認証を使用して、より安全なHTTPSプロトコル用にWeb Studioバックエンドモジュールを構成します。

    1. Sites > Web StudioがインストールされているIISサイト名(サイトID = 1、デフォルトではDefault Web Site) > Studio > Backend > Smartcardに移動し、IISセクションでSSL Settingsをダブルクリックします。

      IISバックエンドモジュール スマートカードSSL

    2. Client certificatesRequireを選択します。

      IISサーバーバックエンド スマートカードSSL必須

    3. Sites > Web StudioがインストールされているIISサイト名(サイトID = 1、デフォルトではDefault Web Site) > Studio > Backend > Smartcardに戻り、IISセクションでConfiguration Editorをダブルクリックします。

      IIS > 構成エディター

    4. /clientCertificateMappingAuthenticationenabledになっていることを確認します。

      クライアント認証の有効化

  5. (Windows 2022のみ) TCP経由のTLS 3.1を無効にします。詳細な手順は次のとおりです。

    1. Sites > Web StudioがインストールされているIISサイト名(サイトID = 1、デフォルトではDefault Web Site)に移動します。
    2. Edit Site > Bindingをクリックします。

    3. 表示されるSite Bindingsダイアログボックスで、httpsレコードを選択し、Editをクリックします。

      Windows 2022のみ HTTPS編集

    4. 表示されるEdit Site Bindingダイアログボックスで、Disable TLS 1.3 over TCPを選択し、OKをクリックします。

      Windows 2022のみ HTTPS編集無効

参考情報:

Web Studioバックエンドは、Web Studio内のモジュールであり、以下の機能を提供します。

  • スマートカード認証
  • 統合Windows認証を使用したOrchestrationサービスからのFMAベアラートークンの取得

手順 5 (オプション): Web Studioの認証委任の構成

Web StudioとDelivery Controllerが異なるサーバーにインストールされている場合、各Web StudioサーバーからDelivery ControllerへのHOSTおよびHTTPSサービスに対する委任を構成する必要があります。

各Web Studioサーバーでこのタスクを完了するには、以下の手順に従います。

  1. Delivery Controller™ Orchestration HTTPS証明書のインポート
  2. Web Studioサーバーの委任の構成
  3. (オプション)Web Studio IISサーバーのサービスアカウントの委任の構成

Delivery Controller Orchestration HTTPS証明書のインポート

Web Studioサーバーで、Delivery Controller Orchestration HTTPS証明書をTrusted Root Certification Authoritiesにインポートします。詳細な手順は次のとおりです。

  1. Settings > Manage computer certificatesを起動します。

  2. Trusted Root Certification Authorities > Certificatesを右クリックし、All Tasks > Importを選択します。

    DDC証明書のインポート

  3. 画面の指示に従って、Delivery Controller Orchestration HTTPS証明書をインポートします。

Web Studioサーバーの委任の構成

ドメインコントローラーで、Web StudioサーバーからDelivery ControllerへのHOSTおよびHTTPサービスに対する委任を構成します。このタスクを完了するには、以下の手順に従います。

  1. ドメインコントローラーで、Active Directory Administrative Centerを起動します。
  2. 委任を構成するWeb Studioサーバーのコンピューターアカウント(例: Dan002)を見つけます。

  3. アカウントを右クリックし、Propertiesを選択して、以下の手順を完了します。

    Studioサーバーの委任の構成

    1. Delegationタブに移動します。

      委任構成の入力

    2. Trust this user for delegation to specified services only > Use any authentication protocolを選択します。
    3. このコンピューターアカウントを委任できるサービスを指定するためにAddをクリックします。
    4. 表示されるAdd Serviceダイアログボックスで、Add Users or ComputersをクリックしてDelivery Controllerのコンピューター名(例: Dan001)を見つけます。
    5. HOSTおよびHTTPサービスを選択し、OKをクリックします。

構成結果は次のスクリーンショットに示されています。 証明書テンプレートの管理

(オプション) Web Studio IISサーバーのサービスアカウントの委任の構成

Web Studio IISサーバーのサービスアカウントを構成している場合は、このサービスアカウントからDelivery ControllerへのHOSTおよびHTTPサービスに対する委任も構成する必要があります。この委任が確立されると、Web Studioサーバーはサービスアカウントを使用して現在のスマートカードユーザーを偽装し、HOSTおよびHTTPサービスのためにDelivery Controllerにアクセスできます。構成を完了するには、以下の手順に従います。

  1. ドメインコントローラーで、Active Directory Administrative Centerを起動します。
  2. 委任を構成するWeb Studio IISサーバーのユーザーアカウント(サービスアカウント)(例: svr-stud-002)を見つけます。
  3. アカウントを右クリックし、Propertiesを選択します。
  4. Web Studioサーバーの委任の構成の手順3で説明されている手順に従って、Web Studio IISサーバーのサービスアカウントをDelivery ControllerのHOSTおよびHTTPサービスに委任します。

構成結果は次のスクリーンショットに示されています。

証明書テンプレートの管理

手順 6: Web Studioのスマートカード認証の有効化

Web Studioのスマートカード認証を有効にするには、以下の手順に従います。

  1. Web Studioにサインインし、左ペインでSettingsを選択します。
  2. 必要に応じて、Smart card authenticationまたはDomain credentials or smart card authenticationを選択します。

  3. Applyをクリックします。

    証明書テンプレートの管理

Web Studioのスマートカード認証のセットアップ
March 18, 2026
寄稿者: 
C
March 18, 2026
寄稿者: 
C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.