安全な通信

• Citrix Virtual Apps and DesktopsサーバーとCitrix Workspaceアプリ間の通信を保護するために、Citrix Workspaceアプリの接続を以下のようないくつかの安全なテクノロジーを使用して統合できます。

• Citrix Gateway: 詳細については、このセクションのトピック、およびCitrix GatewayとStoreFrontのドキュメントを参照してください。
• ファイアウォール: ネットワークファイアウォールは、宛先アドレスとポートに基づいてパケットを許可またはブロックできます。
• Transport Layer Security (TLS) バージョン1.2および1.3がサポートされています。
• 信頼されたサーバー: Citrix Workspaceアプリの接続で信頼関係を確立するため。
• ICA®ファイル署名
• ローカルセキュリティ機関 (LSA) 保護
• Citrix Virtual Apps展開専用のプロキシサーバー: SOCKSプロキシサーバーまたはセキュアプロキシサーバー。プロキシサーバーは、ネットワークへのアクセスおよびネットワークからのアクセスを制限するのに役立ちます。また、Citrix Workspaceアプリとサーバー間の接続も処理します。Citrix WorkspaceアプリはSOCKSおよびセキュアプロキシプロトコルをサポートしています。
  • アウトバウンドプロキシ

Citrix Gateway

-  Citrix Gateway (旧称Access Gateway) は、StoreFrontストアへの接続を保護します。また、管理者がデスクトップおよびアプリケーションへのユーザーアクセスを詳細に制御できるようにします。

Citrix Gatewayを介してデスクトップおよびアプリケーションに接続するには、次の手順を実行します。

-  1.  管理者が提供するCitrix GatewayのURLを、以下のいずれかの方法で指定します。

-  セルフサービスユーザーインターフェイスを初めて使用する場合、**アカウントの追加**ダイアログボックスでURLの入力を求められます。
-  後でセルフサービスユーザーインターフェイスを使用する場合、**基本設定** > **アカウント** > **追加**の順にクリックしてURLを入力します。
-  storebrowseコマンドで接続を確立する場合、コマンドラインでURLを入力します

URLはゲートウェイと、オプションで特定のストアを指定します。

• Citrix Workspaceアプリが最初に見つけるストアに接続するには、次の形式のURLを使用します。

  • https://gateway.company.com

• 特定のストアに接続するには、たとえば、次の形式のURLを使用します: https://gateway.company.com?<storename>。この動的URLは非標準形式です。URLに「=」（等号文字）を含めないでください。storebrowseで特定のストアへの接続を確立する場合、storebrowseコマンドのURLを引用符で囲む必要がある場合があります。

1. プロンプトが表示されたら、ユーザー名、パスワード、およびセキュリティトークンを使用して（ゲートウェイを介して）ストアに接続します。この手順の詳細については、Citrix Gatewayのドキュメントを参照してください。

認証が完了すると、デスクトップとアプリケーションが表示されます。

ファイアウォール経由の接続

• ネットワークファイアウォールは、宛先アドレスとポートに基づいてパケットを許可またはブロックできます。ファイアウォールを使用している場合、Citrix Workspaceアプリfor Windowsは、WebサーバーとCitrixサーバーの両方とファイアウォールを介して通信できます。

• 一般的なCitrix通信ポート

• ソース

  種類

  ポート

  詳細

• Citrix Workspaceアプリ

  TCP

  80/443

  StoreFrontとの通信

• ICAまたはHDX

  TCP/UDP

  1494

  アプリケーションおよび仮想デスクトップへのアクセス

• セッションの信頼性を備えたICAまたはHDX

  TCP/UDP

  2598

  アプリケーションおよび仮想デスクトップへのアクセス

• TLS経由のICAまたはHDX

  TCP/UDP

  443

  アプリケーションおよび仮想デスクトップへのアクセス

• ポートの詳細については、Knowledge Centerの記事CTX101810を参照してください。

Transport Layer Security

Transport Layer Security (TLS) は、SSL (Secure Sockets Layer) プロトコルの後継です。Internet Engineering Taskforce (IETF) は、TLSをオープン標準として開発する責任を引き継いだ際に、その名称をTLSに変更しました。

TLSは、サーバー認証、データストリームの暗号化、およびメッセージ整合性チェックを提供することにより、データ通信を保護します。米国政府機関を含む一部の組織では、データ通信を保護するためにTLSの使用を義務付けています。これらの組織は、Federal Information Processing Standard (FIPS) 140などの検証済み暗号化の使用を義務付ける場合もあります。FIPS 140は暗号化の標準です。

通信媒体としてTLS暗号化を使用するには、ユーザーデバイスとCitrix Workspaceアプリを構成する必要があります。StoreFront通信の保護の詳細については、StoreFrontドキュメントのSecureセクションを参照してください。VDAの保護の詳細については、Citrix Virtual Apps and DesktopsドキュメントのTransport Layer Security (TLS)を参照してください。

以下のポリシーを使用して、次のことができます。

• TLSの使用を強制する: インターネットを含む信頼できないネットワークを使用する接続には、TLSを使用することをお勧めします。
• FIPS (Federal Information Processing Standards) 準拠の暗号化の使用を強制し、NIST SP 800-52の推奨事項に従う: これらのオプションはデフォルトで無効になっています。
• 特定のバージョンのTLSおよび特定のTLS暗号スイートの使用を強制する: CitrixはTLS 1.2および1.3プロトコルをサポートしています。
• 特定のサーバーにのみ接続する。
• サーバー証明書の失効を確認する。
• 特定のサーバー証明書発行ポリシーを確認する。
• サーバーが要求するように構成されている場合、特定のクライアント証明書を選択する。

Citrix Workspaceアプリfor Windowsは、TLS 1.2および1.3プロトコルに対して以下の暗号スイートをサポートしています。

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

重要:

セキュリティ強化のため、以下の暗号スイートは非推奨になりました。

-  暗号スイートRC4および3DES
-  プレフィックス「TLS_RSA_*」を持つ暗号スイート

-  > -  TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
-  > -  TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
-  > -  TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)

-  TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
-  TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)

-  > -  TLS_RSA_WITH_RC4_128_SHA (0x0005)
-  > -  TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)

-  ### TLSサポート

1. gpedit.msc を実行して、Citrix Workspace アプリ GPO 管理用テンプレートを開きます。

2. コンピューターの構成ノードの下にある、管理用テンプレート > Citrix Workspace > ネットワークルーティングに移動し、TLSおよびコンプライアンスモードの構成ポリシーを選択します。

   • 

   • 1. セキュアな接続を有効にし、サーバー上の通信を暗号化するには、有効を選択します。以下のオプションを設定します。

   注：

   Citrixでは、セキュアな接続にTLSを推奨しています。

   1. 公開アプリケーションおよびデスクトップへの接続にCitrix WorkspaceアプリがTLSを使用するように強制するには、すべての接続にTLSを要求を選択します。

   2. セキュリティコンプライアンスモードメニューから、適切なオプションを選択します。

      1. なし - コンプライアンスモードは適用されません。
      2. SP800-52 - NIST SP 800-52に準拠するには、SP800-52を選択します。このオプションは、サーバーまたはゲートウェイがNIST SP 800-52の推奨事項に従っている場合にのみ選択してください。

      注：

      -  >
      -  > **SP800-52**を選択すると、**FIPSを有効にする**が選択されていなくても、FIPS承認済み暗号化が自動的に使用されます。また、Windowsのセキュリティオプションである**システム暗号化：暗号化、ハッシュ、署名にFIPS準拠アルゴリズムを使用する**を有効にしてください。そうしないと、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できない場合があります。
      

      SP800-52を選択した場合は、証明書失効チェックポリシー設定を完全アクセスチェックとCRL必須に設定します。

      SP800-52を選択すると、Citrix Workspaceアプリはサーバー証明書がNIST SP 800-52の推奨事項に従っていることを確認します。サーバー証明書が準拠していない場合、Citrix Workspaceアプリは接続に失敗する可能性があります。

      1. FIPSを有効にする - FIPS承認済み暗号化の使用を強制するには、このオプションを選択します。また、オペレーティングシステムのグループポリシーからWindowsのセキュリティオプションであるシステム暗号化：暗号化、ハッシュ、署名にFIPS準拠アルゴリズムを使用するを有効にしてください。そうしないと、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できない場合があります。

   3. 許可されたTLSサーバードロップダウンメニューから、ポート番号を選択します。Citrix Workspaceアプリが指定されたサーバーにのみ接続するように、コンマ区切りのリストを使用します。ワイルドカードとポート番号を指定できます。たとえば、*.citrix.com: 4433は、共通名が.citrix.comで終わり、ポート4433を使用する任意のサーバーへの接続を許可します。証明書の発行者は、セキュリティ証明書内の情報の正確性を保証します。Citrix Workspaceが発行者を認識または信頼しない場合、接続は拒否されます。

• 1. TLSバージョンメニューから、次のいずれかのオプションを選択します。

  • TLS 1.0、TLS 1.1、またはTLS 1.2 - これはデフォルト設定であり、互換性のためにTLS 1.0のビジネス要件がある場合にのみ推奨されます。

  • TLS 1.1またはTLS 1.2 - 接続がTLS 1.1またはTLS 1.2のいずれかを使用するようにするには、このオプションを使用します。

  • TLS 1.2 - TLS 1.2がビジネス要件である場合は、このオプションが推奨されます。

  1. TLS暗号スイート - 特定のTLS暗号スイートの使用を強制するには、Government (GOV)、Commercial (COM)、またはAll (ALL)を選択します。

  2. 証明書失効チェックポリシーメニューから、次のいずれかを選択します。

  • ネットワークアクセスなしでチェック - 証明書失効リストのチェックが実行されます。ローカルの証明書失効リストストアのみが使用されます。すべての配布ポイントは無視されます。ターゲットのSSLリレー/Citrix Secure Web Gatewayサーバーから利用可能なサーバー証明書を検証する証明書失効リストのチェックは必須ではありません。

  • 完全アクセスチェック - 証明書失効リストのチェックが実行されます。ローカルの証明書失効リストストアとすべての配布ポイントが使用されます。証明書の失効情報が見つかった場合、接続は拒否されます。ターゲットサーバーから利用可能なサーバー証明書を検証するための証明書失効リストのチェックは重要ではありません。

  • 完全アクセスチェックとCRL必須 - ルート証明機関を除く証明書失効リストのチェックが実行されます。ローカルの証明書失効リストストアとすべての配布ポイントが使用されます。証明書の失効情報が見つかった場合、接続は拒否されます。必要なすべての証明書失効リストを見つけることは、検証にとって重要です。

  • 完全アクセスチェックとCRL必須（すべて） - ルートCAを含む証明書失効リストのチェックが実行されます。ローカルの証明書失効リストストアとすべての配布ポイントが使用されます。証明書の失効情報が見つかった場合、接続は拒否されます。必要なすべての証明書失効リストを見つけることは、検証にとって重要です。

  • チェックなし - 証明書失効リストのチェックは実行されません。

  1. ポリシー拡張OIDを使用すると、Citrix Workspaceアプリが特定の証明書発行ポリシーを持つサーバーにのみ接続するように制限できます。ポリシー拡張OIDを選択すると、Citrix Workspaceアプリはポリシー拡張OIDを含むサーバー証明書のみを受け入れます。

  2. クライアント認証メニューから、次のいずれかを選択します。

  • 無効 - クライアント認証は無効になります。

  • 証明書セレクターを表示 - 常にユーザーに証明書の選択を求めます。

  • 可能な場合は自動的に選択 - 識別する証明書の選択肢がある場合にのみ、ユーザーにプロンプトを表示します。

  • 未構成 - クライアント認証が構成されていないことを示します。

  • 指定された証明書を使用 - クライアント証明書オプションで設定されたクライアント証明書を使用します。

  1. クライアント証明書設定を使用して、識別証明書のサムプリントを指定し、ユーザーへの不要なプロンプトを回避します。

  2. 適用とOKをクリックしてポリシーを保存します。

TLSプロトコルバージョン1.3のサポート

バージョン2409以降、Citrix WorkspaceアプリはTransport Layer Securityプロトコル（TLS）バージョン1.3をサポートしています。

注：

この機能強化には、VDAバージョン2303以降が必要です。

この機能はデフォルトで有効になっています。無効にするには、次の手順を実行します。

1. [ファイル名を指定して実行] コマンドでregeditを使用してレジストリエディターを開きます。
2. HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\TLS1.3に移動します。
3. EnableTLS1.3という名前でDWORDキーを作成し、キーの値を0に設定します。

制限事項：

• Access GatewayまたはNetScaler Gateway Serviceを使用する接続はTLS 1.3の使用を試みます。ただし、Access GatewayおよびNetScaler Gateway ServiceはまだTLS 1.3をサポートしていないため、これらの接続はTLS 1.2にフォールバックします。
  • TLS 1.3をサポートしていないVDAバージョンへの直接接続はTLS 1.2にフォールバックします。

信頼済みサーバー

信頼済みサーバー接続の強制

信頼済みサーバー構成ポリシーは、Citrix Workspaceアプリ接続における信頼関係を識別し、強制します。

このポリシーを使用すると、管理者はクライアントが接続する公開アプリケーションまたはデスクトップをどのように識別するかを制御できます。クライアントは、接続における信頼レベル（信頼領域と呼ばれる）を決定します。その後、信頼領域によって、接続のためにクライアントがどのように構成されるかが決定されます。

このポリシーを有効にすると、信頼済み領域にないサーバーへの接続が防止されます。

デフォルトでは、領域の識別はクライアントが接続するサーバーのアドレスに基づいています。信頼済み領域のメンバーであるためには、サーバーはWindowsの信頼済みサイトゾーンのメンバーである必要があります。これは、Windowsインターネットゾーン設定を使用して構成できます。

-  あるいは、非Windowsクライアントとの互換性のために、グループポリシーの**アドレス**設定を使用してサーバーアドレスを具体的に信頼できます。サーバーアドレスは、ワイルドカードの使用をサポートするサーバーのコンマ区切りリストである必要があります。例：`cps*.citrix.com`。

前提条件：

• Citrix Workspaceアプリ for Windowsバージョン2409以降がインストールされていることを確認してください。

  • 内部ストアフロントを使用し、WindowsインターネットオプションでホストFQDNを使用する場合は、DDCでDNS解決をTrueに設定します。詳細については、Knowledge Centerの記事CTX135250を参照してください。

  • 注：

    WindowsインターネットセキュリティゾーンオプションでIPアドレスが使用されている場合、DDCでの変更は不要です。

• 次の表に従って、最新のICAクライアントポリシーテンプレートをコピーして貼り付けます。

• |–|–|–|

• receiver.admx	Installation Directory\ICA Client\Configuration\receiver.admx	%systemroot%\policyDefinitions
  CitrixBase.admx	Installation Directory\ICA Client\Configuration\CitrixBase.admx	%systemroot%\policyDefinitions
  receiver.adml	Installation Directory\ICA Client\Configuration[MUIculture]receiver.adml	%systemroot%\policyDefinitions[MUIculture]
  CitrixBase.adml	Installation Directory\ICA Client\Configuration[MUIculture]\CitrixBase.adml	%systemroot%\policyDefinitions[MUIculture]

注：

• Citrix Workspaceアプリ for Windowsバージョン2409以降に含まれる最新の.admxおよび.admlファイルを使用していることを確認してください。詳細な構成については、グループポリシードキュメントを参照してください。

• 実行中のCitrix Workspaceアプリインスタンスをすべて閉じ、システムトレイからも終了します。

  • 

グループポリシーオブジェクト管理用テンプレートを使用して信頼済みサーバー構成を有効にするには、次の手順を実行します。

• 1. gpedit.mscを実行して、Citrix Workspaceアプリのグループポリシーオブジェクト管理用テンプレートを開きます。
     • 1. コンピューターの構成ノードの下で、管理用テンプレート > Citrixコンポーネント > Citrix Workspace > ネットワークルーティングに移動します。
  • x64展開の場合は、x64マシンで信頼済みサーバー構成を構成を選択します。
  • x86展開の場合は、x86マシンで信頼済みサーバー構成を構成を選択します。

• 

  • 1. 選択したポリシーを有効にし、信頼済みサーバー構成の適用チェックボックスを選択します。

1. Windowsインターネットゾーンドロップダウンメニューから、信頼済みを選択します。

   

• 注：

• アドレスドロップダウンリストからオプションを選択する手順はスキップできます。

1. OKと適用をクリックします。
2. 同じログオンユーザーがCitrixリソースを公開している場合、以下の手順に進むか、別のユーザーでログインできます。

• 1. Windowsのインターネットオプションを開き、信頼済みサイト > サイトに移動して、ドメインアドレスまたはVDA FQDNを追加します。

• 注：

• この機能をテストするために、無効なドメイン *.test.com または特定の無効または有効なVDA FQDNを追加できます。

  

1. 設定に応じて、信頼済みサーバー構成ポリシー内のWindowsインターネットゾーンでのゾーン選択に基づいて、信頼済みまたはローカルイントラネットサイトに変更します。

   詳細については、「認証」セクションの「Internet Explorerの設定を変更する」を参照してください。

2. Citrix Workspaceアプリがインストールされているターゲットデバイスで、管理者コマンドプロンプトを使用してグループポリシーを更新するか、システムを再起動します。
3. 信頼済みサーバー構成ポリシー内のWindowsインターネットゾーンでのゾーン選択に基づいて、内部StoreFront FQDNがローカルイントラネットゾーンまたは信頼済みサイトゾーンに追加されていることを確認します。詳細については、「認証」セクションの「Internet Explorerの設定を変更する」を参照してください。また、Gatewayストアの場合、Gateway URLが信頼済みサイトに追加されていることを確認してください。
4. Citrix Workspaceアプリまたは公開されたリソースを開き、機能を検証します。

注：

前述の手順を設定していない場合、セッションの起動に失敗し、次のエラーメッセージが表示されることがあります。

回避策として、GPOで信頼済みサーバー構成の構成ポリシーを無効にすることができます。

クライアント選択的信頼

サーバーへの接続を許可または防止するだけでなく、クライアントはファイル、マイク、またはWebカメラ、SSOアクセスを識別するためにリージョンも使用します。

ユーザーがリージョンのデフォルト値を選択した場合、次のダイアログボックスが表示されることがあります。

管理者は、グループポリシーまたはレジストリを使用してクライアント選択的信頼レジストリキーを作成および構成することで、このデフォルトの動作を変更できます。クライアント選択的信頼レジストリキーの構成方法の詳細については、Knowledge Centerの記事CTX133565を参照してください。

ローカルセキュリティ機関 (LSA) 保護

Citrix Workspaceアプリは、システムのローカルセキュリティのあらゆる側面に関する情報を維持するWindowsローカルセキュリティ機関 (LSA) 保護をサポートしています。このサポートにより、ホストされたデスクトップにLSAレベルのシステム保護が提供されます。

プロキシサーバー経由の接続

プロキシサーバーは、ネットワークへのアクセスを制限し、Windows向けCitrix Workspaceアプリとサーバー間の接続を処理するために使用されます。Citrix Workspaceアプリは、SOCKSおよびセキュアプロキシプロトコルをサポートしています。

サーバーと通信する場合、Citrix Workspaceアプリは、Web用ワークスペースを実行しているサーバーでリモートで構成されたプロキシサーバー設定を使用します。

Webサーバーと通信する場合、Citrix Workspaceアプリは、ユーザーデバイスのデフォルトWebブラウザーのインターネット設定を通じて構成されたプロキシサーバー設定を使用します。ユーザーデバイスのデフォルトWebブラウザーのインターネット設定を適切に構成してください。

StoreFront上のICAファイルを介してプロキシ設定を適用するには、Knowledge Centerの記事CTX136516を参照してください。

EDTのSOCKS5プロキシサポート

以前、Citrix WorkspaceアプリはTCPで動作するHTTPプロキシのみをサポートしていました。しかし、SOCKS5プロキシ機能はVirtual Delivery Agent (VDA) 内で既に完全にサポートされていました。VDAサポートの詳細については、「Rendezvous V2」ドキュメントを参照してください。

バージョン2409以降、Citrix WorkspaceアプリはEnlightened Data Transport (EDT) 用のSOCKS5プロキシをサポートするようになり、最新のエンタープライズネットワーク構成との互換性が向上しました。

主な利点:

• プロキシ互換性の拡張: 企業ネットワークチームでTCPおよびUDPトラフィックの両方をサポートするために広く使用されているSOCKS5プロキシを介してシームレスに接続します。
• EDTパフォーマンスの向上: Citrix Workspaceアプリセッション内で最適化されたデータ転送のために、EDT（UDPベース）のすべての利点を活用します。

この機能はデフォルトで無効になっています。この機能を有効にするには、次の手順を実行します。

1. gpedit.mscを実行して、Citrix WorkspaceアプリGPO管理用テンプレートを開きます。

2. コンピューターの構成ノードの下で、管理用テンプレート > Citrix Workspace > ネットワークルーティング > プロキシ > クライアントプロキシ設定の構成に移動し、プロキシの種類を選択します。

3. 次のパラメーターを設定します。

   • ProxyType: SocksV5
   • ProxyHost: プロキシサーバーのアドレスを指定します。

詳細については、「ICA Settings Reference」およびKnowledge Centerの記事「CTX136516」を参照してください。

アウトバウンドプロキシのサポート

SmartControlを使用すると、管理者は環境に影響を与えるポリシーを構成および適用できます。たとえば、ユーザーがリモートデスクトップにドライブをマッピングすることを禁止したい場合があります。Citrix GatewayのSmartControl機能を使用することで、きめ細かな制御を実現できます。

Citrix WorkspaceアプリとCitrix Gatewayが別々の企業アカウントに属している場合、シナリオは変わります。このような場合、ゲートウェイがドメイン上に存在しないため、クライアントドメインはSmartControl機能を適用できません。その場合、Outbound ICA Proxyを使用できます。Outbound ICA Proxy機能を使用すると、Citrix WorkspaceアプリとCitrix Gatewayが異なる組織に展開されている場合でもSmartControl機能を使用できます。

Citrix Workspaceアプリは、NetScaler LANプロキシを使用したセッション起動をサポートしています。アウトバウンドプロキシプラグインを使用して、単一の静的プロキシを構成するか、実行時にプロキシサーバーを選択します。

アウトバウンドプロキシは、次の方法で構成できます。

• 静的プロキシ: プロキシホスト名とポート番号を指定してプロキシサーバーを構成します。
• 動的プロキシ: プロキシプラグインDLLを使用して、1つ以上のプロキシサーバーの中から単一のプロキシサーバーを選択できます。

Group Policy Object管理用テンプレートまたはレジストリエディターを使用して、アウトバウンドプロキシを構成できます。

アウトバウンドプロキシの詳細については、Citrix Gatewayドキュメントの「Outbound ICA Proxy support」を参照してください。

アウトバウンドプロキシのサポート - 構成

注:

静的プロキシと動的プロキシの両方が構成されている場合、動的プロキシ構成が優先されます。

GPO管理用テンプレートを使用したアウトバウンドプロキシの構成:

1. gpedit.mscを実行して、Citrix WorkspaceアプリGroup Policy Object管理用テンプレートを開きます。
2. コンピューターの構成ノードの下で、管理用テンプレート > Citrix Workspace > ネットワークルーティングに移動します。
3. 次のいずれかのオプションを選択します。
   • 静的プロキシの場合: NetScaler® LANプロキシを手動で構成ポリシーを選択します。有効を選択し、ホスト名とポート番号を指定します。
   • 動的プロキシの場合: DLLを使用してNetScaler LANプロキシを構成ポリシーを選択します。有効を選択し、DLLファイルへのフルパスを指定します。例: C:\Workspace\Proxy\ProxyChooser.dll。
4. 適用とOKをクリックします。

レジストリエディターを使用したアウトバウンドプロキシの構成:

• 静的プロキシの場合:
  • レジストリエディターを起動し、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScalerに移動します。

  • 次のようにDWORD値キーを作成します。

    "StaticProxyEnabled"=dword:00000001 "ProxyHost"="testproxy1.testdomain.com "ProxyPort"=dword:000001bb

• 動的プロキシの場合:

  • レジストリエディターを起動し、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxyに移動します。
  • 次のようにDWORD値キーを作成します。 "DynamicProxyEnabled"=dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"

接続と証明書

接続

• HTTPストア
• HTTPSストア
• Citrix Gateway 10.5以降

証明書

注記:

Windows向けCitrix Workspaceアプリはデジタル署名されています。デジタル署名にはタイムスタンプが付与されています。そのため、証明書の有効期限が切れた後でも、証明書は有効です。

• プライベート (自己署名)
• ルート
• ワイルドカード
• 中間

プライベート (自己署名) 証明書

リモートゲートウェイにプライベート証明書が存在する場合、Citrixリソースにアクセスするユーザーデバイスに組織の証明機関のルート証明書をインストールします。

注記:

接続時にリモートゲートウェイの証明書を検証できない場合、信頼されていない証明書の警告が表示されます。この警告は、ローカルのキーストアにルート証明書がない場合に表示されます。ユーザーが警告を無視して続行することを選択した場合、アプリは表示されますが、起動できません。

ルート証明書

ドメイン参加済みコンピューターの場合、グループポリシーオブジェクトの管理用テンプレートを使用してCA証明書を配布し、信頼できます。

ドメインに参加していないコンピューターの場合、組織はカスタムインストールパッケージを作成してCA証明書を配布およびインストールできます。詳細については、システム管理者にお問い合わせください。

ワイルドカード証明書

ワイルドカード証明書は、同じドメイン内のサーバーで使用されます。

Citrix Workspaceアプリはワイルドカード証明書をサポートしています。組織のセキュリティポリシーに従ってワイルドカード証明書を使用してください。ワイルドカード証明書の代替として、サーバー名のリストとサブジェクト代替名 (SAN) 拡張機能を持つ証明書があります。プライベートおよびパブリックの証明機関がこれらの証明書を発行します。

中間証明書

証明書チェーンに中間証明書が含まれている場合、中間証明書をCitrix Gatewayサーバー証明書に追加する必要があります。詳細については、「中間証明書の構成」を参照してください。

証明書失効リスト

証明書失効リスト (CRL) を使用すると、Citrix Workspaceアプリはサーバーの証明書が失効しているかどうかを確認できます。証明書チェックにより、サーバーの暗号化認証と、ユーザーデバイスとサーバー間のTLS接続全体のセキュリティが向上します。

CRLチェックは複数のレベルで有効にできます。たとえば、Citrix Workspaceアプリがローカル証明書リストのみをチェックするように、またはローカルとネットワークの証明書リストの両方をチェックするように構成できます。また、すべてのCRLが検証された場合にのみユーザーがログオンできるように、証明書チェックを構成することもできます。

ローカルコンピューターで証明書チェックを構成する場合は、Citrix Workspaceアプリを終了します。Connection Centerを含むすべてのCitrix Workspaceコンポーネントが閉じていることを確認します。

詳細については、「トランスポート層セキュリティ」セクションを参照してください。

中間者攻撃を軽減するためのサポート

Windows向けCitrix Workspaceアプリは、Microsoft WindowsのEnterprise Certificate Pinning機能を使用して、中間者攻撃のリスクを軽減するのに役立ちます。中間者攻撃とは、攻撃者が直接通信していると信じている2者間でメッセージを密かに傍受し、中継するサイバー攻撃の一種です。

以前は、ストアサーバーに接続する際、受信した応答が意図したサーバーからのものであるかどうかを確認する方法がありませんでした。Microsoft WindowsのEnterprise Certificate Pinning機能を使用すると、サーバーの証明書をピン留めすることで、サーバーの有効性と整合性を検証できます。

Windows向けCitrix Workspaceアプリは、証明書ピン留めルールを使用して、特定のドメインまたはサイトに対してどのサーバー証明書を期待すべきかを事前に構成されています。サーバー証明書が事前に構成されたサーバー証明書と一致しない場合、Windows向けCitrix Workspaceアプリはセッションの確立を阻止します。

Enterprise Certificate Pinning機能の展開方法については、Microsoftドキュメントを参照してください。

注記:

証明書の有効期限を認識し、グループポリシーと証明書信頼リストを正しく更新する必要があります。そうしないと、攻撃がない場合でもセッションを開始できない可能性があります。