秘密鍵の保護

はじめに

• 証明書はFASサーバー上の組み込みデータベースに保存されます。関連する秘密鍵は、FASサーバーのネットワークサービスアカウントによって保存され、デフォルトでエクスポート不可としてマークされます。

秘密鍵には次の2種類があります。

• Citrix_RegistrationAuthority証明書テンプレートからの、登録機関証明書に関連付けられた秘密鍵

• Citrix_SmartcardLogon証明書テンプレートからの、ユーザー証明書に関連付けられた秘密鍵

• 実際には2つの登録機関証明書があります。Citrix_RegistrationAuthority_ManualAuthorization（デフォルトで24時間有効）とCitrix_RegistrationAuthority（デフォルトで2年間有効）です。

Federated Authentication Service (FAS)管理コンソールの初期設定タブのステップ3で、承認をクリックすると、FASサーバーはキーペアを生成し、Citrix_RegistrationAuthority_ManualAuthorization証明書のために証明機関に証明書署名要求を送信します。これは一時的な証明書であり、デフォルトで24時間有効です。証明機関はこの証明書を自動的に発行しません。その発行は、証明機関で管理者によって手動で承認される必要があります。証明書がFASサーバーに発行されると、FASはCitrix_RegistrationAuthority_ManualAuthorization証明書を使用して、Citrix_RegistrationAuthority証明書（デフォルトで2年間有効）を自動的に取得します。FASサーバーは、Citrix_RegistrationAuthority証明書を取得するとすぐに、Citrix_RegistrationAuthority_ManualAuthorizationの証明書と鍵を削除します。

登録機関証明書に関連付けられた秘密鍵は特に機密性が高いです。なぜなら、登録機関証明書ポリシーにより、秘密鍵を所有する者は誰でも、テンプレートで構成されたユーザーセットに対して証明書要求を発行できるからです。結果として、この鍵を制御する者は誰でも、そのセット内の任意のユーザーとして環境に接続できます。

FASサーバーを構成して、組織のセキュリティ要件に合った方法で秘密鍵を保護できます。次のいずれかを使用します。

• 登録機関証明書とユーザー証明書の両方の秘密鍵に、Microsoft Enhanced RSA and AES Cryptographic ProviderまたはMicrosoft Software Key Storage Providerを使用する
• 登録機関証明書の秘密鍵にTrusted Platform Module (TPM)チップを備えたMicrosoft Platform Key Storage Providerを使用し、ユーザー証明書の秘密鍵にMicrosoft Enhanced RSA and AES Cryptographic ProviderまたはMicrosoft Software Key Storage Providerを使用する
• 登録機関証明書とユーザー証明書の両方の秘密鍵に、HSMデバイスを備えたハードウェアセキュリティモジュール (HSM) ベンダーの暗号化サービスまたはキーストレージプロバイダーを使用する

秘密鍵の構成設定

FASを構成して、3つのオプションのいずれかを使用します。テキストエディターを使用して、Citrix.Authentication.FederatedAuthenticationService.exe.configファイルを編集します。ファイルのデフォルトの場所は、FASサーバー上のProgram Files\Citrix\Federated Authentication Serviceフォルダー内です。

FASは、サービスが開始されたときにのみ構成ファイルを読み取ります。いずれかの値が変更された場合、新しい設定を反映させるにはFASを再起動する必要があります。

Citrix.Authentication.FederatedAuthenticationService.exe.configファイルで関連する値を次のように設定します。

Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderLegacyCsp (CAPI APIとCNG APIを切り替える)

Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderName (使用するプロバイダーの名前)

Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderType (CAPI APIの場合にのみ必要)

Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.KeyProtection (FASが秘密鍵操作を実行する必要がある場合、ここで指定された値を使用します) 秘密鍵の「エクスポート可能」フラグを制御します。ハードウェアでサポートされている場合、TPMキーストレージの使用を許可します。

Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.KeyLength (秘密鍵のサイズをビット単位で指定)

構成ファイルの設定は次のようにグラフィカルに表されます（インストールのデフォルトは赤で表示されます）。

構成シナリオの例

例1

この例では、Microsoft Software Key Storage Providerを使用して保存される登録機関証明書の秘密鍵とユーザー証明書の秘密鍵について説明します。

これはデフォルトのインストール後設定です。追加の秘密鍵設定は不要です。

例 2

この例では、登録機関証明書の秘密鍵がMicrosoft Platform Key Storage Providerを介してFASサーバーマザーボードのハードウェアTPMに保存され、ユーザー証明書の秘密鍵がMicrosoft Software Key Storage Providerを使用して保存されることを示します。

このシナリオでは、FASサーバーマザーボード上のTPMが、TPM製造元のドキュメントに従ってBIOSで有効化され、その後Windowsで初期化されていることを前提としています。詳細については、https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-vista/cc749022(v=ws.10)を参照してください。

FAS管理コンソールの使用

FAS管理コンソールはオフラインの証明書署名要求を実行できないため、組織が登録機関証明書に対してオンラインの証明書署名要求を許可しない限り、その使用は推奨されません。

FASの初期設定を行う際、証明書テンプレートを展開し、証明機関を設定した後、サービスを承認する前（構成シーケンスのステップ3）に、次の手順を実行します。

ステップ 1: 構成ファイルを編集し、次の行を以下のように変更します。

ファイルは次のようになります。

一部のTPMはキー長を制限します。デフォルトのキー長は2048ビットです。ハードウェアでサポートされているキー長を指定してください。

ステップ 2: 構成ファイルから値を読み取るために、Citrix Federated Authentication Serviceを再起動します。

ステップ 3: サービスを承認します。

ステップ 4: 証明機関サーバーから保留中の証明書要求を手動で発行します。登録機関証明書が取得されると、管理コンソールのセットアップシーケンスのステップ3が緑色になります。この時点で、登録機関証明書の秘密キーがTPMで生成されます。証明書はデフォルトで2年間有効です。

登録機関証明書の秘密キーがTPMに正しく保存されていることを確認するには、次のPowerShellコマンドを使用します。登録機関証明書の秘密キーがTPMに保存されている場合、PrivateKeyProviderフィールドは Microsoft Platform Crypto Provider に設定されます。

Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1
Get-FasAuthorizationCertificate -FullCertInfo -Address localhost
<!--NeedCopy-->

ステップ 5: 構成ファイルを次のように編集し直します。

注:

FASはTPMで保護されたキーを持つユーザー証明書を生成できますが、大規模な展開ではTPMハードウェアが遅すぎる場合があります。

ステップ 6: FASを再起動します。これにより、サービスは構成ファイルを再読み込みし、変更された値を反映します。その後の自動秘密キー操作はユーザー証明書キーに影響を与えます。これらの操作は秘密キーをTPMに保存せず、Microsoft Software Key Storage Providerを使用します。

ステップ 7: FAS管理コンソールで [ルール] タブを選択し、インストールと構成に記載されている設定を編集します。

PowerShellの使用

登録機関証明書は、PowerShellを使用してオフラインで要求できます。これは、証明機関がオンライン証明書署名要求を介して登録機関証明書を発行することを望まない組織に適しています。FAS管理コンソールを使用してオフライン登録機関証明書署名要求を行うことはできません。

ステップ 1: 管理コンソールを使用したFASの初期構成中に、「証明書テンプレートの展開」と「証明機関の設定」の最初の2つのステップのみを完了します。

ステップ 2: 証明機関サーバーで、証明書テンプレートMMCスナップインを追加します。Citrix_RegistrationAuthority_ManualAuthorization テンプレートを右クリックし、[テンプレートの複製] を選択します。

[全般] タブを選択します。名前と有効期間を変更します。この例では、名前は Offline_RA で、有効期間は2年です。

ステップ 3: 証明機関サーバーで、証明機関MMCスナップインを追加します。[証明書テンプレート] を右クリックします。[新規] を選択し、[発行する証明書テンプレート] をクリックします。作成したばかりのテンプレートを選択します。

ステップ 4: FASサーバーで次のPowerShellコマンドレットをロードします。

Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1

ステップ 5: FASサーバーのTPM内でRSAキーペアを生成し、FASサーバーで次のPowerShellコマンドレットを入力して証明書署名要求を作成します。注: 一部のTPMはキー長を制限します。デフォルトのキー長は2048ビットです。ハードウェアでサポートされているキー長を必ず指定してください。

New-FasAuthorizationCertificateRequest -UseTPM $true -address \<FQDN of FAS Server>

例:

New-FasAuthorizationCertificateRequest -UseTPM $true -address fashsm.auth.net

次のように表示されます。

注:

• Id GUID（この例では「5ac3d8bd-b484-4ebe-abf8-4b2cfd62ca39」）は、後続のステップで必要になります。
• このPowerShellコマンドレットは、登録機関証明書の秘密キーを生成するために使用される1回限りの「オーバーライド」と考えることができます。
• このコマンドレットを実行すると、FASの起動時に構成ファイルから読み取られた値がチェックされ、使用するキー長（デフォルトは2048）が決定されます。
• この手動のPowerShellで開始された登録機関証明書の秘密キー操作では、-UseTPMが$trueに設定されているため、システムはTPMを使用するために必要な設定と一致しないファイルからの値を無視します。
• このコマンドレットを実行しても、構成ファイルの設定は変更されません。
• その後の自動FAS開始ユーザー証明書秘密キー操作では、FASの起動時にファイルから読み取られた値が使用されます。
• FASサーバーがユーザー証明書を発行する際に、構成ファイルのKeyProtection値をGenerateTPMProtectedKeyに設定して、TPMで保護されたユーザー証明書秘密キーを生成することも可能です。

TPMがキーペアの生成に使用されたことを確認するには、キーペアが生成された時点のFASサーバーのWindowsイベントビューアーのアプリケーションログを確認します。

注: 「[TPM: True]」

以下に続きます。

注: “プロバイダー: [CNG] Microsoft Platform Crypto Provider”

手順 6: 証明書要求セクションをテキストエディターにコピーし、テキストファイルとしてディスクに保存します。

手順 7: FASサーバーでPowerShellに以下を入力して、証明書署名要求を証明機関に提出します。

certreq -submit -attrib "certificatetemplate:\<certificate template from step 2>" \<certificate request file from step 6>

例:

certreq -submit -attrib "certificatetemplate:Offline_RA" C:\Users\Administrator.AUTH\Desktop\usmcertreq.txt

以下が表示されます。

この時点で、[証明機関リスト] ウィンドウが表示される場合があります。この例の証明機関では、HTTP (上) と DCOM (下) の両方の登録が有効になっています。利用可能な場合は、DCOM オプションを選択します。

証明機関が指定されると、PowerShellにRequestIDが表示されます。

手順 8: 証明機関サーバーで、証明機関MMCスナップインの [保留中の要求] をクリックします。要求IDをメモします。次に、要求を右クリックして [発行] を選択します。

手順 9: [発行された証明書] ノードを選択します。発行されたばかりの証明書を見つけます (要求IDが一致するはずです)。証明書をダブルクリックして開きます。[詳細] タブを選択します。[ファイルにコピー] をクリックします。証明書のエクスポートウィザードが起動します。[次へ] をクリックします。ファイル形式について、以下のオプションを選択します。

形式は「Cryptographic Message Syntax Standard – PKCS #7 Certificates (.P7B)」である必要があります。また、「可能な場合は証明のパスにあるすべての証明書を含める」が選択されている必要があります。

手順 10: エクスポートした証明書ファイルをFASサーバーにコピーします。

手順 11: FASサーバーで以下のPowerShellコマンドレットを入力して、登録機関証明書をFASサーバーにインポートします。

例:

以下が表示されます。

登録機関証明書の秘密キーがTPMに正しく保存されていることを確認するには、以下のPowerShellコマンドを使用します。登録機関証明書の秘密キーがTPMに保存されている場合、PrivateKeyProviderフィールドは Microsoft Platform Crypto Provider に設定されます。

Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1
Get-FasAuthorizationCertificate -FullCertInfo -Address localhost
<!--NeedCopy-->

手順 12: FAS管理コンソールを閉じてから再起動します。

注: 「このサービスを承認」の手順に緑色のチェックマークが付いています。

手順 13: FAS管理コンソールの [ルール] タブを選択し、インストールと構成で説明されている設定を編集します。

例 3

この例では、HSMに保存されている登録機関証明書の秘密キーとユーザー証明書の秘密キーについて説明します。この例は、構成済みのHSMを前提としています。HSMには、たとえば「HSM_Vendor’s Key Storage Provider」のようなプロバイダー名があります。

仮想化環境でFASサーバーを実行する予定がある場合は、ハイパーバイザーのサポートについてHSMベンダーに確認してください。

手順 1. 管理コンソールを使用してFASの初期設定を行う際は、最初の2つの手順である「証明書テンプレートの展開」と「証明機関のセットアップ」のみを完了します。

ステップ 2: HSM ベンダーのドキュメントを参照して、HSM の ProviderName 値を決定します。HSM が CAPI を使用している場合、ドキュメントではプロバイダーが Cryptographic Service Provider (CSP) と呼ばれることがあります。HSM が CNG を使用している場合、プロバイダーは Key Storage Provider (KSP) と呼ばれることがあります。

ステップ 3: 次のように構成ファイルを編集します。

ファイルは次のようになります。

このシナリオでは、HSM が CNG を使用しているため、ProviderLegacyCsp の値は false に設定されています。HSM が CAPI を使用している場合、ProviderLegacyCsp の値は true に設定する必要があります。HSM が CAPI と CNG のどちらを使用しているかを判断するには、HSM ベンダーのドキュメントを参照してください。また、非対称 RSA キー生成でサポートされているキー長については、HSM ベンダーのドキュメントを参照してください。この例では、キー長はデフォルトの 2048 ビットに設定されています。指定するキー長がハードウェアでサポートされていることを確認してください。

ステップ 4: Citrix Federated Authentication Service を再起動して、構成ファイルから値を読み取ります。

ステップ 5: FAS 管理コンソールの [Initial Setup] タブで [Authorize] をクリックして、HSM 内で RSA キーペアを生成し、証明書署名要求を作成します。

ステップ 6: キーペアが HSM で生成されたことを確認するには、Windows イベントログのアプリケーションエントリを確認します。

注: [Provider: [CNG] HSM_Vendor’s Key Storage Provider]

ステップ 7: 証明機関サーバーで、証明機関 MMC の [Pending Requests] ノードを選択します。

要求を右クリックし、[Issue] を選択します。

注: 「Authorize this service」のステップに緑色のチェックマークが表示されます。

ステップ 8: FAS 管理コンソールの [Rules] タブを選択し、「インストールと構成」の説明に従って設定を編集します。

FAS 証明書ストレージ

FAS は、FAS サーバー上の Microsoft 証明書ストアを使用して証明書を保存しません。組み込みデータベースを使用します。

登録機関証明書の GUID を決定するには、FAS サーバーで次の PowerShell コマンドレットを入力します。

Add-pssnapin Citrix.a\*

Get-FasAuthorizationCertificate –address \<FAS server FQDN>

例: Get-FasAuthorizationCertificate –address cg-fas-2.auth.net:

ユーザー証明書のリストを取得するには、次のように入力します。

Get-FasUserCertificate –address \<FAS server FQDN>

例: Get-FasUserCertificate –address cg-fas-2.auth.net

注:

HSM を使用して秘密キーを保存する場合、HSM コンテナは GUID で識別されます。HSM 内の秘密キーの GUID は、次を使用して取得できます。

Get-FasUserCertificate –address \<FAS server FQDN> -KeyInfo $true

例:

Get-FasUserCertificate –address fas3.djwfas.net -KeyInfo $true

関連情報

• インストールと構成は、FAS のインストールと構成に関する主要なリファレンスです。
• 一般的な FAS 展開については、「Federated Authentication Services のアーキテクチャの概要」の記事にまとめられています。
• その他の「ハウツー」記事は、「高度な構成」の記事で紹介されています。