セキュリティで保護された通信

Citrix Virtual Apps and DesktopsサーバーとCitrix Workspaceアプリ間の通信を保護するには、以下の一連のセキュリティ保護技術を使用して、Citrix Workspaceアプリの接続を統合できます：

• Citrix Gateway：詳しくは、このセクションのトピックと、Citrix GatewayおよびStoreFrontのドキュメントを参照してください。
• ファイアウォール：ネットワークファイアウォールは、送信先アドレスとポート番号に基づいてパケットを通過させたりブロックしたりできます。
• TLS（Transport Layer Security）バージョン1.0から1.3がサポートされます。
• 信頼済みサーバーで、Citrix Workspaceアプリの接続で信頼関係を確立します。
• ICAファイルの署名
• ローカルセキュリティ機関（LSA）の保護
• Citrix Virtual Apps展開のみでのプロキシサーバー：SOCKSプロキシサーバーまたはセキュアプロキシサーバー。 プロキシサーバーは、ネットワークとのアクセスを制限するのに役立ちます。 また、Citrix Workspaceアプリとサーバー間の接続も処理します。 Citrix Workspaceアプリは、SOCKSプロトコルとセキュアプロキシプロトコルをサポートしています。
• 送信プロキシ

Citrix ゲートウェイ

Citrix Gateway（旧称「Access Gateway」）を使用すると、StoreFrontストアへの接続をセキュアに保護します。 また、管理者がデスクトップやアプリケーションへのユーザーアクセスを詳細に管理できます。

Citrix Gateway経由でデスクトップやアプリケーションに接続するには：

1. 以下のいずれかの方法で、管理者により提供されたCitrix GatewayのURLを指定します：

   • セルフサービスユーザーインターフェイスの初回使用時に、［アカウントの追加］ ダイアログボックスでURLを入力します。
   • 後でセルフサービスユーザーインターフェイスを使用するときは、［設定］ > ［アカウント］ > ［追加］をクリックしてURLを入力します。
   • storebrowseコマンドで接続する場合は、コマンドラインにURLを入力します。

URLにより、ゲートウェイと、必要に応じて特定のストアが指定されます：

• Citrix Workspaceアプリで検出された最初のストアに接続されるようにするには、URLを次の形式で指定します：

  • https://gateway.company.com

• 特定のストアに接続するには、次の形式のURLを使用します。例：https://gateway.company.com?<storename>。 この動的URLは、非標準の形式です。そのため、このURLには等号（=）を含めないでください。 storebrowseコマンドで特定のストアに接続する場合は、URLを引用符で囲んで指定します。

1. 資格情報の入力を確認するメッセージが表示されたら、ユーザー名、パスワード、およびセキュリティトークンを入力します。 この手順について詳しくは、Citrix Gatewayのドキュメントを参照してください。

認証処理が完了すると、デスクトップまたはアプリケーションが表示されます。

ファイアウォールを介した接続

ネットワークファイアウォールは、送信先アドレスとポート番号に基づいてパケットを通過させたりブロックしたりできます。 ファイアウォールが使用されている場合、Windows向けCitrix WorkspaceアプリとWebサーバーおよびCitrix製品のサーバーとの通信がファイアウォールでブロックされないように設定できます。

共通のCitrix通信ポート

ポートについて詳しくは、Knowledge Centerの記事CTX101810を参照してください。

Transport Layer Security

Transport Layer Security（TLS）は、Secure Sockets Layer（SSL）プロトコルに代わるものです。 IETF（Internet Engineering TaskForce）が、TLSの公開標準規格の開発をNetscape Communicationsから引き継いだときに、SSLという名前をTLSに変更しました。

TLSは、サーバーの認証、データの暗号化、メッセージの整合性の確認を行って、データ通信をセキュアに保護します。 米国を含むいくつかの組織 データ通信を保護するためにTLSの使用を必須としている組織もあります。 このような組織では、さらにFIPS 140（Federal Information Processing Standard）などのテスト済み暗号化基準の使用を義務付けられる場合があります。 FIPS 140は、暗号化の情報処理規格です。

通信媒体としてTLS暗号化を使用するには、ユーザーデバイスとCitrix Workspaceアプリを構成する必要があります。 StoreFront通信のセキュリティ保護については、StoreFrontドキュメントの「 セキュリティ保護 」セクションを参照してください。 VDAのセキュリティ保護については、Citrix Virtual Apps and Desktopsドキュメントの「Transport Layer Security（TLS）」を参照してください

以下のポリシーで、次のことを実行できます：

• TLSの使用を適用する：インターネットを含めて、信頼されていないネットワークを介する接続で、TLSの使用をお勧めします。
• FIPS（Federal Information Processing Standards）準拠の暗号化の使用を適用し、NIST SP 800-52の推奨セキュリティに従います。 デフォルトでは、これらのオプションは無効になっています。
• 特定のTLSバージョンおよび特定のTLS暗号の組み合わせの使用を適用する：TLS 1.0、TLS 1.1、TLS 1.2プロトコルがCitrixではサポートされます。
• 特定のサーバーのみに接続する。
• サーバー証明書の失効を確認する。
• 特定のサーバー証明書発行ポリシーを確認する。
• 特定のクライアント証明書を選択する（サーバーが要求するよう構成されている場合）。

Windows向けCitrix WorkspaceアプリはTLS 1.2プロトコルの以下の暗号の組み合わせをサポートします：

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

サポートされている暗号の組み合わせについて詳しくは、Knowledge Centerの記事CTX250104を参照してください。

重要:

次の暗号の組み合わせは、セキュリティを強化するために廃止されました：

• 暗号の組み合わせRC4および3DES
• 接頭辞が「TLS_RSA_*」の暗号の組み合わせ
• TLS_RSA_WITH_AES_256_GCM_SHA384（0x009d）
• TLS_RSA_WITH_AES_128_GCM_SHA256（0x009c）
• TLS_RSA_WITH_AES_256_CBC_SHA256（0x003d）
• TLS_RSA_WITH_AES_256_CBC_SHA（0x0035）
• TLS_RSA_WITH_AES_128_CBC_SHA（0x002f）
• TLS_RSA_WITH_RC4_128_SHA（0x0005）
• TLS_RSA_WITH_3DES_EDE_CBC_SHA（0x000a）

TLSのサポート

1. gpedit.mscを実行して、Citrix WorkspaceアプリのGPO管理用テンプレートを開きます。

2. ［コンピューターの構成］ノードで、［管理用テンプレート］ > ［Citrix Workspace］ > ［ネットワークルーティング］に移動し、［TLS およびコンプライアンスモードの構成］ポリシーを選択します。

   

3. ［有効］ を選択してセキュリティで保護された接続を有効にし、サーバー上の通信を暗号化します。 次のオプションを設定します。

   注：

   セキュリティで保護された接続で、TLSを使用することをCitrixではお勧めします。

   1. ［すべての接続でTLSが必要］ を選択することによって、公開アプリケーションおよびデスクトップに対するCitrix Workspaceアプリの通信で強制的にTLSを使用させることができます。

   2. ［セキュリティコンプライアンスモード］ メニューから、適切なオプションを選択します：

      1. なし - コンプライアンスモードが適用されません。
      2. SP800-52 - SP800-52を選択してNIST SP 800-52に準拠します。 このオプションは、サーバーまたはゲートウェイがNIST SP 800-52推奨セキュリティに従っている場合にのみ選択してください。

      注：

      ［SP800-52］ を選択すると、［FIPSを有効にします］ が選択されていない場合でも、自動的にFIPS準拠の暗号化が使用されます。 また、Windowsセキュリティオプションの ［システム暗号化：暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う］ を有効にします。 有効にしない場合、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できないことがあります。

      ［SP800-52］ を選択した場合、［証明書失効チェックのポリシー］ を ［完全なアクセス権のチェックとCRLが必要です］ に設定します。

      ［SP800-52］ を選択すると、Citrix Workspaceアプリはサーバー証明書がNIST SP 800-52の推奨セキュリティに従っているかを検証します。 サーバー証明書が準拠していない場合、Citrix Workspaceアプリが接続できないことがあります。

      1. FIPSを有効にします - FIPS準拠の暗号化の使用を適用するには、このオプションを選択します。 また、オペレーティングシステムのグループポリシーからWindowsセキュリティオプションの ［システム暗号化：暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う］ を有効にします。 有効にしない場合、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できないことがあります。

   3. ［許可されたTLSサーバー］ ドロップダウンメニューから、ポート番号を選択します。 コンマ区切りの一覧を使用して、Citrix Workspaceアプリが指定されたサーバーにのみ接続できるようにします。 ワイルドカードおよびポート番号を指定できます。 たとえば、*.citrix.com: 4433は、共通名が.citrix.comで終わるすべてのサーバーへのポート4433での接続を許可します。 セキュリティ証明書の情報の正確さは、証明書の発行者によって異なります。 Citrix Workspaceが証明書の発行者を認識しない、または信頼しないと、接続は拒否されます。

   4. ［TLSバージョン］ メニューから、次のいずれかのオプションを選択します：

   • TLS 1.0、TLS 1.1、またはTLS 1.2 - これはデフォルトの設定です。 このオプションは、業務上TLS 1.0との互換性が必要な場合のみお勧めします。

   • TLS 1.1またはTLS 1.2 - このオプションで接続がTLS 1.1またはTLS 1.2を使用するようにします。

   • TLS 1.2 - このオプションは、業務上TLS 1.2が必要な場合のみお勧めします。

   1. TLS暗号セット - 特定のTLS暗号セットの使用を適用するには、GOV（行政機関）、COM（営利企業）、またはALL（すべて）を選択します。 詳しくは、Knowledge Centerの記事CTX250104を参照してください。

   2. ［証明書失効チェックのポリシー］ メニューから、次の任意のオプションを選択します：

   • ネットワークアクセスなしでチェックします - 証明書失効一覧チェックが実行されます。 ローカルの証明書失効一覧のストアのみが使用されます。 すべての配布ポイントが無視されます。 対象のSSL Relay/Citrix Secure Web Gatewayサーバーから利用できるサーバー証明書を検証する証明書失効一覧チェックは、必須ではありません。

   • 完全なアクセス権のチェック - 証明書失効一覧チェックが実行されます。 ローカル証明書失効一覧のストアとすべての配布ポイントが使用されます。 証明書の失効情報が検出されると、接続は拒否されます。 対象のサーバーから利用できるサーバー証明書を検証する証明書失効一覧チェックは重要ではありません。

   • 完全なアクセス権とCRLのチェックが必要です - ルート証明機関を除いて証明書失効一覧チェックが実行されます。 ローカル証明書失効一覧のストアとすべての配布ポイントが使用されます。 証明書の失効情報が検出されると、接続は拒否されます。 証明書失効一覧をすべて検出することが、検証では重要です。

   • すべてに完全なアクセス権とCRLのチェックが必要です - ルートCAを含めた証明書失効一覧チェックが実行されます。 ローカル証明書失効一覧のストアとすべての配布ポイントが使用されます。 証明書の失効情報が検出されると、接続は拒否されます。 証明書失効一覧をすべて検出することが、検証では重要です。

   • チェックなし - 証明書失効一覧チェックは実行されません。

   1. ［ポリシーの拡張OID］ を使用して、Citrix Workspaceアプリが特定の証明書の発行ポリシーがあるサーバーにのみ接続するように制限できます。 ［ポリシーの拡張OID］ を選択すると、Citrix Workspaceアプリはポリシーの拡張OIDがあるサーバー証明書のみを受け入れます。

   2. ［クライアント認証］ メニューから、以下の任意のオプションを選択します：

   • 無効 - クライアント認証が無効になります。

   • 証明書セレクタを表示します - 常にユーザーが証明書を選択するよう求めます。

   • 可能な場合、自動的に選択します - 特定する証明書に選択肢がある場合のみ、ユーザーに表示します。

   • 未構成 - クライアント認証が構成されていないことを意味します。

   • 指定された証明書を使用します - ［クライアント証明書］オプションの設定で指定された「クライアント証明書」を使用します。

   1. ［クライアント証明書］ 設定を使用して、識別証明書の拇印を指定します。これにより、ユーザーに不要なプロンプトを表示しないようにすることができます。

   2. ［適用］ および ［OK］をクリックしてポリシーを保存します。

内部および外部ネットワーク接続マトリックスについて詳しくは、Knowledge Centerの記事CTX250104を参照してください。

信頼されたサーバー

信頼済みサーバーの接続を適用する

信頼済みサーバー構成ポリシーを使用して、Citrix Workspaceアプリの接続で信頼関係を識別し適用できます。

管理者は、このポリシーを使用することで、クライアントが接続先の公開アプリケーションまたはデスクトップをどのように識別するかを制御できます。 クライアントは、接続の「信頼領域」と呼ばれる信頼レベルを決定します。 次に信頼領域はクライアントがどのように接続を構成するかを決定します。

このポリシーを有効にすると、信頼領域にないサーバーへの接続が防止されます。

デフォルトでは、領域の識別はクライアントが接続しているサーバーのアドレスをベースにしています。 信頼領域のメンバーになるには、サーバーはWindows信頼済みサイトゾーンのメンバーである必要があります。 これは、Windowsのインターネットゾーン設定で構成できます。

あるいは、Windows以外のクライアントとの互換性のために、グループポリシーのアドレス設定を使用して、サーバーアドレスを明示的に信頼することもできます。 サーバーアドレスは、ワイルドカードの使用をサポートするサーバーのカンマ区切りリストである必要があります（例：cps*.citrix.com）。

前提条件：

• Windows向けCitrix Workspaceアプリバージョン2402 LTSR CU1以降がインストールされていることを確認します。
• 内部ストアフロントを使用する場合は、DDCでDNS解決をTrueに設定し、 WindowsインターネットオプションでFQDNをホストします。 詳しくは、Knowledge Centerの記事CTX135250を参照してください。

注：

IPアドレスがWindowsインターネットセキュリティゾーンオプションで使用されている場合、DDCでの変更は必要ありません。

• 次の表に従って、最新のICAクライアントポリシーテンプレートをコピーして貼り付けます。

| **ファイルタイプ** | **コピー元** | **コピー先** | | ————— | ———————————————————————- | ——————————————— | | receiver.admx | インストールディレクトリ\ICA Client\Configuration\receiver.admx | %systemroot%\policyDefinitions | | CitrixBase.admx | インストールディレクトリ\ICA Client\Configuration\CitrixBase.admx | %systemroot%\policyDefinitions | | receiver.adml | インストールディレクトリ\ICA Client\Configuration[MUIculture]receiver.adml | %systemroot%\policyDefinitions[MUIculture] | | CitrixBase.adml | インストールディレクトリ\ICA Client\Configuration[MUIculture]\CitrixBase.adml | %systemroot%\policyDefinitions[MUIculture] |

注：

• Windows向けCitrix Workspaceアプリバージョン2402 LTSR CU1以降に含まれる最新の.admxファイルと.admlファイルを使用していることを確認してください。 構成について詳しくは、グループ ポリシーのドキュメントを参照してください。

• 実行中のCitrix Workspaceアプリインスタンスをすべて閉じ、システムトレイから終了します。

  

グループポリシーオブジェクト管理テンプレートを使用して信頼されたサーバーの構成を有効にするには、次の手順を実行します。

1. gpedit.mscを実行して、Citrix Workspaceアプリのグループポリシー目標管理用テンプレートを開きます。

2. ［コンピューターの構成］ノードで、［管理用テンプレート］ > ［Citrixコンポーネント］ > ［Citrix Workspace］ > ［ネットワークルーティング］に移動します。

   • X64展開の場合は、［x64マシンで信頼されたサーバー構成を構成する］を選択します。
   • X86展開の場合は、［x86マシンで信頼されたサーバー構成を構成する］を選択します。

   

3. 選択したポリシーを有効にし、［信頼できるサーバー構成を強制する］ チェックボックスをオンにします。

4. ［Windowsインターネットゾーン］［ドロップダウンメニュー］から、［信頼済み］を選択します。

   

注：

［アドレス］ ドロップダウンリストからオプションの選択をスキップできます。

1. ［OK］ および ［適用］ をクリックします。

2. 同じログオンユーザーがCitrixリソースを公開している場合は、次の手順に進むか、別のユーザーでログインすることができます。

3. ［Windowsインターネットオプション］を開き、［信頼済みサイト］ > ［サイト］に移動して、ドメインアドレスまたはVDA FQDNを追加します。

注：

機能をテストするには、無効なドメイン*.test.comまたは特定の無効または有効なVDA FQDNを追加できます。

![Windowsインターネットオプション](/en-us/citrix-workspace-app-for-windows/media/internet-options.png)

1. 設定に応じて、［信頼されたサーバー構成ポリシー］内の［Windowsインターネットゾーン］のゾーン選択に基づいて、［信頼済み］または［ローカルイントラネットサイト］に変更します。

   詳しくは、「認証」セクションの「Internet Explorerの設定の変更」を参照してください。

2. 管理者コマンドプロンプトを使用して、Citrix Workspaceアプリがインストールされているターゲットデバイスのグループポリシーを更新するか、システムを再起動します。
3. ［信頼されたサーバー構成の構成］ポリシー内の［Windowsインターネットゾーン］のゾーン選択に基づいて、内部StoreFront FQDNがローカルイントラネットゾーンまたは信頼済みサイトゾーンに追加されていることを確認します。 詳しくは、「認証」セクションの「Internet Explorerの設定の変更」を参照してください。 また、ゲートウェイストアの場合は、ゲートウェイURLを信頼済みサイトに追加する必要があります。
4. Citrix Workspaceアプリまたは公開されたリソースを開き、機能を検証します。

注：

上記の手順を構成していない場合、セッションの起動が失敗し、次のエラーメッセージが表示される可能性があります。

回避策として、GPOの信頼されたサーバー構成を構成するポリシーを無効にすることができます。

クライアントが選択する信頼

サーバーへの接続を許可または禁止するだけでなく、クライアントは領域によって、ファイル、マイク、またはWebカメラ、SSOアクセスを識別します。

ユーザーが領域のデフォルト値を選択すると、次のダイアログボックスが表示されることがあります：

管理者は、グループポリシーまたはレジストリを使用して、Client Selective Trust（クライアントが選択する信頼）のレジストリキーを作成および構成することにより、このデフォルトの動作を変更できます。 Client Selective Trustレジストリキーの構成方法について詳しくは、Knowledge Center記事のCTX133565を参照してください。

ICAファイルの署名

ICAファイル署名機能は、認証していないアプリケーションやデスクトップの起動を回避するために役立ちます。 Citrix Workspaceアプリは、信頼できるソースからアプリケーションまたはデスクトップが生成されたことを管理ポリシーに基づいて検証し、信頼されていないサーバーからの起動を防ぎます。 グループポリシーオブジェクトの管理用テンプレートまたはStoreFrontを使用して、ICAファイルの署名を構成できます。 ICAファイルの署名機能はデフォルトで無効になっています。

StoreFrontに対するICAファイル署名については、StoreFrontのドキュメントの「ICAファイル署名の有効化」を参照してください。

ICAファイルの署名の構成

注：

CitrixBase.admx\admlがローカルGPOに追加されていない場合は、ICAファイル署名の有効化ポリシーが存在しない可能性があります。

1. gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
2. ［コンピューターの構成］ノードで、［管理用テンプレート］ > ［Citrixコンポーネント］に移動します。
3. ［ICAファイルの署名を有効にします］ を選択し、必要に応じて次のいずれかのオプションを選択します。
   1. 有効 - 署名証明書の拇印を信頼された機関からの証明書の拇印の許可リストに追加できます。
   2. 信頼証明書 - ［表示］ をクリックして、許可リストから既存の署名証明書の拇印を削除します。 署名証明書のサムプリントは署名証明書のプロパティからコピーして貼り付けることができます。
   3. セキュリティポリシー - メニューから次のいずれかのオプションを選択します。
      1. 署名による起動のみを許可します（安全性が高い）：信頼できるサーバーからの署名されたアプリケーションおよびデスクトップの起動のみを許可します。 無効な署名があると、セキュリティ警告が表示されます。 認証されていないため、セッションを開始できません。
      2. 署名されていない起動（安全性が低い）でユーザーにプロンプトを表示します：署名されていないセッション、または署名が無効なセッションが開始されると、メッセージが表示されます。 起動を続行するか、起動をキャンセルするか（デフォルト）を選択できます。
4. ［適用］ および ［OK］をクリックしてポリシーを保存します。
5. Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。

デジタル署名証明書を選択して配布するには：

デジタル署名証明書を選択するときは、次の一覧の上位のオプションから順にお勧めします：

1. 周知の証明機関からコード署名証明書またはSSL署名証明書を購入する。
2. 社内に証明機関がある場合はその証明機関を使用して、コード署名証明書またはSSL署名証明書を作成する。
3. 既存のSSL証明書を使用する。
4. ルート証明書を作成して、GPOまたは手動インストールによりユーザーデバイスに配布する。

ローカルセキュリティ機関（LSA）の保護

Citrix WorkspaceアプリはWindowsのローカルセキュリティ機関（LSA）の保護をサポートします。この仕組みはシステムのローカルセキュリティに関するあらゆる情報を管理します。 このサポートにより、ホストされるデスクトップにLSAレベルのシステム保護が提供されます。

プロキシサーバー経由の接続

プロキシサーバーは、ネットワークから外部へのアクセスや外部からネットワークへのアクセスを制限して、Windows向けCitrix Workspaceアプリとサーバー間の接続を制御するために使います。 Citrix Workspaceアプリは、SOCKSプロトコルとセキュアプロキシプロトコルをサポートしています。

Citrix Workspaceアプリでサーバーと通信する場合、Web向けWorkspaceを実行するサーバー上でリモートで構成されているプロキシサーバー設定が使用されます。

また、Citrix WorkspaceアプリがWebサーバーと通信するときは、ユーザーデバイス上でデフォルトのWebブラウザーのインターネット設定で構成したプロキシサーバー設定が使用されます。 適宜、ユーザーデバイス上のデフォルトのWebブラウザーで、インターネット設定を構成します。

StoreFrontのICAファイルを介してプロキシ設定を適用するには、Knowledge Centerの記事CTX136516を参照してください。

送信プロキシのサポート

SmartControlを使用すると、管理者は環境に影響を与えるポリシーを構成して適用できます。 たとえば、ユーザーがドライブをリモートデスクトップにマップできないようにしたい場合があります。 Citrix GatewayのSmartControl機能を使用して、このような詳細設定を実現できます。

Citrix WorkspaceアプリとCitrix Gatewayが別々のエンタープライズアカウントに属している場合、状況は異なります。 このような場合は、クライアントドメインにゲートウェイが存在しないため、ドメインはSmartControl機能を適用できません。 代わりに、送信ICAプロキシを利用できます。 送信ICAプロキシ機能を使用すると、Citrix WorkspaceアプリとCitrix Gatewayが異なる組織に展開されている場合でも、SmartControl機能を使用できます。

Citrix Workspaceアプリは、NetScaler LANプロキシを使用したセッションの起動をサポートします。 送信プロキシプラグインを使用して、単一の静的プロキシを構成するか、実行時にプロキシサーバーを選択します。

送信プロキシは、次の方法を使用して構成できます：

• 静的プロキシ：プロキシのホスト名とポート番号を指定してプロキシサーバーを構成します。
• 動的プロキシ：プロキシプラグインDLLを使用して、1つ以上のプロキシサーバーから1つのプロキシサーバーを選択できます。

グループポリシーオブジェクト管理用テンプレートまたはレジストリエディターを使用して、送信プロキシを構成できます。

送信プロキシについて詳しくは、Citrix Gatewayのドキュメントの「送信ICAプロキシのサポート」を参照してください。

送信プロキシのサポート - 構成

注：

静的プロキシと動的プロキシの両方が構成されている場合は、動的プロキシの構成が優先されます。

GPO管理用テンプレートを使用した送信プロキシの構成：

1. gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
2. ［コンピューターの構成］ノードで、［管理用テンプレート］ > ［Citrix Workspace］ > ［ネットワークルーティング］に移動します。
3. 次のいずれかのオプションを選択します：
   • 静的プロキシの場合：［NetScaler LANプロキシを手動で構成する］ ポリシーを選択します。 ［有効］ を選択して、ホスト名とポート番号を入力します。
   • 動的プロキシの場合：［NetScaler LANプロキシをDLLを使用して構成する］ ポリシーを選択します。 ［有効］ を選択して、DLLファイルのフルパスを入力します。 たとえば、 C:\Workspace\Proxy\ProxyChooser.dllです。
4. ［適用］、［OK］ の順にクリックします。

レジストリエディターを使用して、次のように送信プロキシを構成します：

• 静的プロキシの場合：
  • レジストリエディターを起動し、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScalerに移動します。

  • DWORD値キーを次のように作成します：

    "StaticProxyEnabled"=dword:00000001 "ProxyHost"="testproxy1.testdomain.com "プロキシポート"=dword:000001bb

• 動的プロキシの場合：

  • レジストリエディターを起動し、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxyに移動します。
  • DWORD値キーを次のように作成します： "DynamicProxyEnabled" = dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"

接続と証明書

接続

• HTTPストア
• HTTPSストア
• Citrix Gateway 10.5以降

証明書

注：

Windows向けCitrix Workspaceアプリはデジタル署名されています。 デジタル署名にはタイムスタンプが付けられています。 したがって、証明書は有効期限が切れても有効です。

• プライベート（自己署名）証明書
• ルート証明書
• ワイルドカード証明書
• 中間証明書

プライベート（自己署名）証明書

リモートゲートウェイにプライベート証明書が存在する場合、Citrixリソースにアクセスするユーザーデバイスに組織の証明機関のルート証明書をインストールします。

注：

接続時にリモートゲートウェイの証明書を検証できない場合、信頼されていない証明書の警告が表示されます。 この警告は、ルート証明書がローカルキーストアにない場合に表示されます。 ユーザーが警告に対してそのまま続行することを選択した場合、アプリの一覧が表示されますが、アプリの起動に失敗することがあります。

ルート証明書

ドメイン参加コンピューターでは、グループポリシーオブジェクト管理用テンプレートを使用してCA証明書を配布および信頼できます。

ドメイン非参加コンピューターでは、カスタムインストールパッケージを作成して、CA証明書を配布およびインストールできます。 詳しくは、システム管理者に問い合わせてください。

ワイルドカード証明書

ワイルドカード証明書は、同一ドメイン内のサーバーで使用されます。

Citrix Workspaceアプリでは、ワイルドカード証明書がサポートされています。 ワイルドカード証明書は、組織のセキュリティポリシーに従って使用してください。 サーバー名とサブジェクトの別名（SAN）拡張の一覧が含まれる証明書が、ワイルドカード証明書に代わるものです。 このような証明書は、私的証明機関および公的証明機関が発行します。

中間証明書

証明書チェーンに中間証明書が含まれる場合は、中間証明書をCitrix Gatewayのサーバー証明書に追加する必要があります。 詳しくは、「中間証明書の構成」を参照してください。

証明書失効一覧

証明書失効一覧（CRL）によって、Citrix Workspaceアプリはサーバー証明書が失効していないかチェックできます。 証明書のチェックにより、サーバーの暗号化認証機能が強化され、ユーザーデバイスとサーバー間のTLS接続の全体的なセキュリティが向上します。

証明書失効一覧のチェック機能はさまざまな設定レベルで有効にできます。 たとえば、ローカルの証明書一覧だけがチェックされるようにCitrix Workspaceアプリを構成したり、ローカルおよびネットワーク上の証明書一覧がチェックされるように構成したりできます。 すべての証明書失効一覧で証明書の有効性が検証されたときのみログオンするように構成することもできます。

ローカルコンピューターで証明書チェックを構成する場合は、Citrix Workspaceアプリを終了します。 コネクションセンターを含むすべてのCitrix Workspaceコンポーネントが停止しているかどうか確認します。

詳しくは、「Transport Layer Security」を参照してください。

中間者攻撃を回避するためのサポート

Windows向けCitrix Workspaceアプリは、Microsoft Windowsの証明書のピン留め機能を使用して、中間者攻撃のリスクを軽減します。 中間者攻撃は、相互に直接通信していると考えている2者間のメッセージを密かに攻撃者が傍受して中継するサイバー攻撃の一種です。

以前は、ストアのサーバーに接続するときに、受信した応答が接続しようとしているサーバーからのものかどうかを確認する方法がありませんでした。 Microsoft Windowsのエンタープライズ証明書のピン留め機能を使用すると、サーバーの証明書をピン留めすることで、サーバーの有効性と整合性を検証できます。

Windows向けCitrix Workspaceアプリは、証明書ピン留め規則を使用して、特定のドメインまたはサイトに必要なサーバー証明書を認識するように事前構成されています。 サーバー証明書が事前構成済みのサーバー証明書と一致しない場合、Windows向けCitrix Workspaceアプリはセッションが実行されないようにします。

エンタープライズの証明書ピン留め機能を展開する方法については、Microsoft社のドキュメントを参照してください。

注：

証明書の有効期限に注意し、グループポリシーと証明書信頼リストを正しく更新する必要があります。 そうしないと、攻撃がない場合でも、セッションを開始できないことがあります。