プライベートキーの保護
はじめに
FAS証明書は、FASサーバー上の組み込みデータベースに保存されます。FAS証明書に関連付けられたプライベートキーは、FASサーバーのNetwork Serviceアカウントの下に保存されます。デフォルトでは、キーはエクスポート不可の2048ビットRSAであり、Microsoft Software Key Storage Providerで作成および保存されます。
FAS PowerShellコマンド(PowerShellコマンドレット)を使用すると、プライベートキーのプロパティと保存場所を変更できます。
注:
FASの構成と証明書は、FASサーバーにローカルに保存されます。データはFASサーバー間で共有されません。
Citrix Virtual Apps and Desktops 2411より前のFASリリースでは、プライベートキーのプロパティは、
%programfiles%\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe.configにあるXMLファイルを編集することで構成されていました。 これはPowerShellコマンドに置き換えられ、より柔軟性があり、FASサーバーを再起動せずに適用できます。 さらに、XMLファイルの設定とは異なり、PowerShellを使用して行われた構成は、FASサーバーがアップグレードされても保持されます。 したがって、以下の設定に対するXMLファイルを使用した構成はサポートされなくなりました。
Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.KeyProtectionCitrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderLegacyCspCitrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderNameCitrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderTypeCitrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.KeyLength
「Citrix Virtual Apps and Desktops™ 2411より前のFASバージョンからのアップグレード」のセクションを参照してください。
FAS証明書とテンプレートに関する情報
FASが保持する証明書には、通常1つのインスタンスである認証証明書と、ユーザー証明書の2種類があります。
-
注:
-
FAS認証証明書は、登録機関または要求エージェント(RA)証明書と呼ばれることもあります。
-
FASは、次のセクションで説明するように、証明書を要求する際に証明書テンプレートを使用します。FASは証明書要求でテンプレートの名前を指定しますが、テンプレートの内容は読み取りません。したがって、テンプレートの設定を変更しても、FASが行う証明書要求には影響しません。テンプレートの特定のプロパティを変更すると、CAによって生成される証明書に影響します。たとえば、テンプレートを使用して有効期間を変更できます。
FAS認証証明書
この証明書は、FASを構成するときに作成されます。FAS管理コンソールの [承認] または [再承認] ボタンを使用して、新しい認証証明書を要求できます。
より柔軟性を提供するPowerShellコマンドを使用することも可能です。
-
New-FasAuthorizationCertificate:このコマンドはFAS管理コンソールと同様に動作しますが、認証プロセスで使用する証明書テンプレートを指定できます。 -
New-FasAuthorizationCertificateRequest:このコマンドは、認証証明書のオフライン要求を作成します(オフライン認証)。
認証証明書はRA証明書とも呼ばれます。これは、FASが登録機関として機能し、ユーザーに代わって証明書を要求するためです。この証明書には、FASユーザー証明書を要求する際の認証資格情報として使用できる拡張キー使用法 Certificate Request Agent があります。
-
デフォルトでは、認証プロセスは次のテンプレートを使用します。
-
Citrix_RegistrationAuthority_ManualAuthorization:このテンプレートを使用して作成された証明書は一時的で短命であり、認証プロセスをブートストラップするために使用されます。 -
Citrix_RegistrationAuthority:このテンプレートを使用して作成された証明書は有効期間が長く、FASサーバーによって保存されます。
FASを承認すると、次の手順が実行されます。
-
FASはキーペアを作成し、キーペアの公開キーとテンプレート
Citrix_RegistrationAuthority_ManualAuthorizationを指定して、証明書署名要求(CSR)をCAに送信します。 -
テンプレートの発行要件により、CSRはCA管理者によって手動で承認される必要があります。
-
- CA管理者がCSRを承認すると、CAはFASが取得する証明書を作成します。この証明書は有効期間が1日と短く、次の手順にのみ使用されます。使用後、FASは証明書とそのキーペアを破棄します。
-
FASは別のキーペアを作成し、このキーペアの公開キーとテンプレート
Citrix_RegistrationAuthorityを指定して、2番目のCSRをCAに送信します。この要求は、前の手順で取得した証明書によって承認および署名されます。 -
CAは証明書を自動的に発行し、FASは証明書を取得して、FASは承認済みになります。デフォルトでは、この認証証明書の有効期間は2年間です。
前述のキーペアを作成するために使用された設定は、このPowerShellコマンドを使用して表示できます。
Get-FasKeyConfig -Address localhost -CertificateType ra
FASユーザー証明書
FASは、ユーザーをVDAにサインインさせるためにユーザー証明書を作成します。
FASがユーザー証明書を作成すると、次の手順が実行されます。
- FASはキーペアを作成し、キーペアの公開キー、ユーザーのID、およびデフォルトでテンプレート
Citrix_SmartcardLogon(使用されるテンプレートは構成可能)を指定して、CSRをCAに送信します。 - CSRはFAS認証証明書を使用して署名されます。
-
Citrix_SmartcardLogonテンプレートには発行要件Application Policy: Certificate Request Agentがあります。この属性はFAS認証証明書に存在するため、CAはユーザー証明書を自動的に発行します。 - FASは証明書を取得し、FASサーバー上の組み込みデータベースに保存します。
-
デフォルトでは、証明書の有効期間は1週間です。
-
その後、ユーザー証明書はVDAで利用可能になり、ユーザーをサインインさせます。
- 前述のキーペアを作成するために使用された設定は、次のPowerShellコマンドを使用して表示できます。
Get-FasKeyConfig -Address localhost -CertificateType user
秘密キーの保存オプション
FASは、キーペアを作成および保存するための3つのストレージカテゴリで構成できます。
- ソフトウェア: 通常、Microsoft Software Key Storage Providerを使用します。これはソフトウェアのみで保護され、データはディスクに保存されます。
- Trusted Platform Module (TPM): TPMは、コンピューター上の物理ハードウェアであるか、ハイパーバイザーによって提供される仮想TPMである場合があります。
- Hardware Security Module (HSM): これは、暗号化キーを安全に保存するように設計されたハードウェア周辺機器またはネットワークデバイスです。
注:
考慮すべきトレードオフがあります。ハードウェアストレージはより安全である可能性がありますが、特に多数のユーザー証明書キーペアを作成および保存する場合、パフォーマンスが低下することがよくあります。
FAS承認証明書に関連付けられた秘密キーは特に機密性が高く、証明書のポリシーにより、秘密キーを所有する者は誰でも、任意のユーザーの証明書要求を承認できるためです。結果として、このキーを制御する者は誰でも、任意のユーザーとして環境に接続できます。
注:
Microsoft CAは、証明書を発行できるユーザーのセットを含め、FAS承認証明書の権限を制限するように構成できます。委任された登録エージェントを参照してください。
このため、FASでは、承認証明書とユーザー証明書の秘密キープロパティを個別に構成できます。
一般的な構成を次に示します。
| 承認証明書キー | ユーザー証明書キー | コメント |
|---|---|---|
| ソフトウェア | ソフトウェア | デフォルト構成 |
| TPM | ソフトウェア | 承認証明書はハードウェア保護を備えています |
| HSM | HSM | すべての証明書はハードウェア保護を備えています |
注:
ハードウェアTPMはユーザーキーには推奨されません。承認証明書キーにのみTPMを使用してください。FASサーバーを仮想化環境で実行する予定がある場合は、ハイパーバイザーベンダーにTPM仮想化がサポートされているか確認してください。
キー構成のPowerShellコマンド
秘密キーの構成に関連するコマンドは次のとおりです。
Get-FasKeyConfigSet-FasKeyConfigReset-FasKeyConfigTest-FasKeyConfig
詳細については、PowerShellコマンドレットを参照してください。
承認証明書とユーザー証明書のキー構成は独立しており、CertificateType引数によって指定されます。たとえば、承認証明書(RA証明書)を要求するときに使用される秘密キー構成を取得するには、次のようにします。
Get-FasKeyConfig -Address localhost -CertificateType ra
ユーザー証明書を要求するときに使用される秘密キー構成を取得するには、次のようにします。
Get-FasKeyConfig -Address localhost -CertificateType user
Set-FasKeyConfigとGet-FasKeyConfigを使用して、次の秘密キープロパティを設定および検査できます。
| プロパティ | デフォルト | コメント |
|---|---|---|
| 長さ
|
2048
|
ビット単位のキー長。MicrosoftテンプレートGUIのCryptograhyタブでは、最小キーサイズが指定されていることに注意してください。FASで構成されたキー長がテンプレートで指定された最小キーサイズよりも短い場合、CSRはCAによって拒否されます。
RSAキーの場合、長さは1024ビット、2048ビット、または4096ビットにすることができます。 ECCキーの場合、長さは256ビット、384ビット、または521ビットにすることができます。 |
| エクスポート可能 | false | 秘密キーをプロバイダーからエクスポートできるかどうか。 |
| プレフィックス | なし | FASによって生成された秘密キーの識別子に追加するプレフィックスを指定します。生成される識別子は、プレフィックスとGUIDで構成されます。例: MyPrefix70277985-6908-4C6F-BE59-B08691456804。 |
| 楕円曲線 | false | trueの場合、ECCキーペアが生成され、それ以外の場合はRSAキーペアが生成されます。 |
| キー保存プロバイダー (KSP)
|
true
|
trueの場合、FASは最新のWindows CNG APIを使用し、ProviderプロパティでKSPを指定する必要があります。
falseの場合、FASはレガシーCAPI APIを使用し、Providerプロパティで暗号化サービスプロバイダー (CSP) を指定する必要があります。CitrixはKSPの使用を推奨します。 |
| プロバイダー | Microsoft Software Key Storage Provider | キーペアが作成および保存されるプロバイダーの名前。このプロパティを変更して、TPMまたはHSMを指定できます。HSMのKSP(またはCSP)はHSMベンダーによって提供されます。ベンダーは、ソフトウェアのインストール方法とプロバイダーの名前に関する指示を提供します。 |
| CSPタイプ
|
24
|
KSPプロパティがfalseに設定されている場合にのみ関連します。
Microsoft KeyContainerPermissionAccessEntry.ProviderType Property PROV_RSA_AES 24を参照します。HSMをCSPと共に使用し、HSMベンダーが別途指定しない限り、常に24である必要があります。 |
さらに、Set-FasKeyConfigは、便宜のために提供される次のスイッチと共に使用できます。
| フラグ | 説明 |
|---|---|
| -UseDefaultSoftwareProvider | ProviderプロパティをMicrosoft Software Key Storage Providerに、KSPフィールドをtrueに設定します。 |
| -UseDefaultTpmProvider | ProviderプロパティをMicrosoft Platform Crypto Providerに、KSPフィールドをtrueに設定します。 |
Microsoft Software Key Storage Providerは、通常、ディスク上にキーを作成および保存するために使用されるプロバイダーです。
Microsoft Platform Crypto Providerは、通常、TPMにキーを作成および保存するために使用されるプロバイダーです。
- Get-FasKeyConfigは、どのプロバイダーとアルゴリズムが使用されているかを確認するのに役立つフィールドも提供します。
| フィールド | 意味 | |
|---|---|---|
| IsDefaultSoftwareProvider | trueの場合、プロバイダーがMicrosoft Software Key Storage Providerに設定され、KSPフィールドがtrueに設定されていることを示します。 | |
| IsDefaultTpmProvider | trueの場合、プロバイダーがMicrosoft Platform Crypto Providerに設定され、KSPフィールドがtrueに設定されていることを示します。 | |
| アルゴリズム
|
RSAは、RSAキーが作成されることを示します(EllipticCurveプロパティはfalseです)。
|
ECCは、ECCキーが作成されることを示します(EllipticCurveプロパティはtrueです)。 |
Reset-FasKeyConfigを使用して設定をデフォルトに戻すことができます。
Reset-FasKeyConfig -Address localhost -CertificateType ra
Reset-FasKeyConfig -Address localhost -CertificateType user
<!--NeedCopy-->
注:
秘密キー構成(
Set-FasKeyConfigまたはReset-FasKeyConfigを使用)への変更は、新しく作成された証明書にすぐに適用されます。ただし、異なる構成を持つ既存の承認証明書およびユーザー証明書には影響しません。管理コンソールからFASサービスを非承認にするか、FASの非承認とFAS証明書の削除のPowerShellコマンドを使用して、既存の証明書を削除できます。
現在のユーザーキー構成に準拠しないキープール内の事前生成されたキーはすべて破棄されます。
構成シナリオの例
各例では、既存の証明書は構成変更の影響を受けないため、FASサービスを承認する前に、提供されているPowerShellを使用してキー構成を設定してください。
誤ったキー構成の認証またはユーザー証明書が既にある場合は、FAS証明書の検査 および FASの認証解除とFAS証明書の削除 によってそれらを削除できます。
FASサーバーがライブ展開環境にある場合は、構成変更を行う間はメンテナンスモードにすることを検討してください。
例 1 - Microsoft Software Key Storage Providerにすべてのキーを保存
これはデフォルトであるため、追加の構成は不要です。
以前にキー構成を変更した場合は、次のコマンドを使用して Microsoft Software Key Storage Provider に戻すことができます。
Set-FasKeyConfig -Address localhost -CertificateType ra -UseDefaultSoftwareProvider
Set-FasKeyConfig -Address localhost -CertificateType user -UseDefaultSoftwareProvider
<!--NeedCopy-->
Reset-FasKeyConfig を使用して Microsoft Software Key Storage Provider に戻し、さらに他のすべてのキー構成設定をデフォルトに復元できます。
例 2 - TPMへの認証証明書キーの保存
この例では、FAS認証証明書キーをTPM(物理または仮想)に保存し、ユーザー証明書キーは Microsoft Software Key Storage Provider に保存する方法を示します。
FASはTPMで保護されたキーを持つユーザー証明書を生成できますが、大規模な展開ではTPMハードウェアが遅すぎたり、サイズが制限されたりする可能性があります。
次のPowerShellコマンドを使用します。
Set-FasKeyConfig -Address localhost -CertificateType ra -UseDefaultTpmProvider
Set-FasKeyConfig -Address localhost -CertificateType user -UseDefaultSoftwareProvider
<!--NeedCopy-->
例 3 - HSMへのすべてのキーの保存
この例では、HSMを使用して認証証明書とユーザー証明書の秘密キーの両方を保存する方法を示します。この例では、HSMが構成されていることを前提としています。HSMにはプロバイダー名があります。たとえば、HSM Vendor Key Storage Provider などです。
次のPowerShellコマンドを使用します(例のテキストをHSMのプロバイダーの実際の名前で置き換えてください)。
- Set-FasKeyConfig -Address localhost -CertificateType ra -Provider "HSM Vendor Key Storage Provider"
- Set-FasKeyConfig -Address localhost -CertificateType user -Provider "HSM Vendor Key Storage Provider"
<!--NeedCopy-->
デフォルトでは、FASはRSAキーを生成します。この例では、認証証明書とユーザー証明書の両方に楕円曲線(ECC)キーが構成されています。
この例では、異なるキー長を使用しています。認証証明書は384ビットキーで構成され、ユーザー証明書は256ビットキーで構成されています。
- Set-FasKeyConfig -Address localhost -CertificateType ra -EllipticCurve $true -Length 384
Set-FasKeyConfig -Address localhost -CertificateType user -EllipticCurve $true -Length 256
<!--NeedCopy-->
この時点では、FAS証明書テンプレートの最小キーサイズがデフォルトで1024ビットに設定されているため、CAによって認証およびユーザー証明書要求が拒否される可能性があります。
-
したがって、この例では、テンプレートの最小キーサイズを次のように変更する必要があります。
-
Citrix_RegistrationAuthority_ManualAuthorizationおよびCitrix_RegistrationAuthority: 最小キーサイズを384(またはそれ以下)に変更 -
Citrix_SmartcardLogon: 最小キーサイズを256(またはそれ以下)に変更
テンプレートを編集するには、mmc.exe を実行し、証明書テンプレート スナップインを追加します。テンプレートを見つけて、そのプロパティを開きます。最小キーサイズの設定は、テンプレートのプロパティの 暗号化 タブにあります。
注:
ECCキーを持つユーザー証明書は、Citrix Virtual Apps and Desktops 2411以降を実行しているWindows VDAでのみサポートされています。
ECCキーはLinux VDAではサポートされていません。
秘密キー構成のテスト
Set-FasKeyConfig コマンドは一部の検証を行いますが、無効なキー構成を設定することも可能です。たとえば、HSMのプロバイダー名で間違いを犯したり、指定したキー長がハードウェアでサポートされていなかったりする場合があります。
Test-FasKeyConfig コマンドが役立ちます。これは、現在のキー構成を使用してキーペアを作成しようとし、成功 または 失敗 を報告します。失敗が発生した場合は、失敗理由の表示が提供されます。成功した場合は、キーペアはすぐに破棄されます。
次のPowerShellコマンドは、認証およびユーザーキー構成をそれぞれテストします。
- Test-FasKeyConfig -Address localhost -CertificateType ra
- Test-FasKeyConfig -Address localhost -CertificateType user
<!--NeedCopy-->
FASサーバーを認証し、ルールを作成したら、次のようにユーザー証明書のテストCSRをさらに作成できます。
Test-FasCertificateSigningRequest -Address localhost -UserPrincipalName user@example.com -Rule default
<<user@example.com>/> を実際の Active Directory 展開の UPN に置き換えます。FAS ルールは通常、default という名前です。ただし、設定済みの別のルールをテストしたい場合は、代わりにその名前を指定してください。
CSR が成功した場合、FAS は結果の証明書を破棄します。
FAS 証明書の検査
PowerShell を使用して、証明書のプロパティを検査し、関連付けられた秘密鍵がどこに保存されているかを判断できます。
承認証明書の検査
FAS 管理コンソールで authorization certificate リンクをクリックすると、承認証明書を表示できます。
ただし、より詳細な情報については PowerShell を使用してください。
Get-FasAuthorizationCertificate -Address localhost -FullCertInfo
PrivateKeyProvider を含むいくつかのフィールドが返されます。これには、証明書が作成および保存されたプロバイダーの表示が含まれます。
| PrivateKeyProvider | 鍵の保存場所 |
|---|---|
| Microsoft Software Key Storage Provider | 鍵はディスク上に保存され、Microsoft のソフトウェアプロバイダーによって保護されます。 |
| Microsoft Platform Crypto Provider | 鍵は TPM (物理または仮想) に保存されます。 |
| HSM Vendor Key Storage Provider (例) | 鍵は HSM に保存されます (この例では、ベンダーのプロバイダーは HSM Vendor Key Storage Provider という名前です)。 |
ユーザー証明書の検査
FAS サーバーにキャッシュされているすべてのユーザー証明書のリストを次のように取得できます。
Get-FasUserCertificate -Address localhost -KeyInfo $true
*KeyInfo* パラメーターを指定すると、出力に証明書に関連付けられた秘密鍵に関する詳細情報が含まれます。特に、PrivateKeyProvider フィールドは、証明書に関連付けられたキーペアがどこに保存されているかを示します (この値の解釈については、前のセクションを参照してください)。
-UserPrincipalName などのさまざまなオプションパラメーターを使用して、返される証明書のセットをフィルターできます。
コマンド出力の証明書フィールドは、PEM エンコードされたユーザー証明書です。テキストを .crt ファイルにコピーして、Windows 証明書 GUI を使用して証明書を次のように表示します。
| コマンド | 説明 |
|---|---|
$CertInfos = Get-FasUserCertificate -Address localhost |
このリストには複数のユーザー証明書が含まれる場合があります。 |
$CertInfo = $CertInfos[0] |
この例では、最初のユーザー証明書を選択します。 |
$CertInfo.Certificate > c:\temp\user.crt |
PEM データを .crt ファイルにパイプします。 |
c:\temp\user.crt |
Windows GUI で .crt ファイルを開きます。 |
Citrix Virtual Apps and Desktops 2411 より前の FAS バージョンからのアップグレード
Citrix Virtual Apps and Desktops 2411 より前の FAS リリースでは、秘密鍵のプロパティは次の場所にある XML ファイルを編集することで構成されていました。
%programfiles%\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe.config
<!--NeedCopy-->
これは、このドキュメントで説明されている PowerShell コマンドに置き換えられました。これらのコマンドは、より柔軟性があり、FAS サーバーを再起動せずに適用できます。
さらに、XML ファイルの設定とは異なり、PowerShell を使用して行われた構成は、FAS サーバーがアップグレードされても保持されます。
秘密鍵の構成に関連する XML ファイルの設定と、それに対応する PowerShell パラメーター (Get-FasKeyConfig および Set-FasKeyConfig で使用される) を次に示します。
| XML ファイル設定 | XML ファイルのデフォルト値 | PowerShell の同等物 | コメント |
|---|---|---|---|
Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.KeyLength |
2048 | -Length | - |
Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.KeyProtection
|
GenerateNonExportableKey
|
-Exportable
-UseDefaultTpmProvider |
|
Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderLegacyCsp
|
false
|
-Ksp
|
-Ksp を $true に設定することで -ProviderLegacyCsp false が実現されます。
-Ksp を $false に設定することで -ProviderLegacyCsp true が実現されます。 |
Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderName |
- | -Provider | - |
Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderType |
- | -CspType | - |
XML 構成のデフォルトと PowerShell のデフォルトは機能的に同等です。つまり、デフォルトでは、このバージョンおよび Citrix Virtual Apps and Desktops 2411 より前のバージョンで FAS によって生成されるキーペアのプロパティは同じです。
したがって、XML 構成ファイルで上記のいずれの設定も変更していない場合は、FAS をアップグレードする際に何もアクションを実行する必要はありません。
ただし、上記のいずれかの設定を変更した場合は、次のように FAS をアップグレードしてください。
- FAS をメンテナンスモードにします。メンテナンスモード。
- FAS インストーラーを実行するだけで、FAS をインプレースでアップグレードします。アップグレード後、以前の設定はすべて XML ファイルに存在せず、XML ファイルで構成することはできません。
-
キー構成 PowerShell コマンドで説明されているように、PowerShell コマンド
Set-FasKeyConfigを使用して、FAS 秘密鍵の構成を希望どおりに設定します。承認証明書とユーザー証明書に必要な設定を考慮してください。 - 秘密鍵構成のテストで説明されているように、構成をテストします。
- FAS サーバーをメンテナンスモードから解除します。
次回アップグレードするときは、FAS 秘密鍵の構成設定が保持されるため、特別なアクションを実行する必要はありません。
暗号化リモート処理
FASユーザー証明書に関連付けられた秘密キーがVDAに転送されることはありません。代わりに、VDAがユーザーのFAS証明書を使用する必要がある場合、VDAへのサインインのため、またはセッション内での使用のため、暗号化要求はFASサーバーにリモート処理されます。これにより、秘密キーがFASキー格納場所(ソフトウェア格納場所、TPM、またはHSMのいずれであっても)から離れることがないため、セキュリティが向上します。
Windows VDAでは、これはVDA上のプロバイダーのペアを使用することで実現されます。暗号化要求を行うアプリケーションまたはオペレーティングシステムコードは、その操作がFASサーバーにリモート処理されていることを認識しません。
Citrix Virtual Apps and Desktops 2411より前は、プロバイダーは暗号化サービスプロバイダー (CSP) であり、アプリケーションおよびオペレーティングシステムコードのアクセスは、古いWindows CAPI APIを介して行われていました。プロバイダーは次のとおりでした。
-
CitrixLogonCsp.dll: VDAへのシングルサインオン用 -
CitrixVirtualSmartcardCsp.dll: セッション内証明書用
Citrix Virtual Apps and Desktops 2411以降、追加のキー格納プロバイダー (KSP) がVDAに提供されます。アプリケーションおよびオペレーティングシステムコードは、新しいWindows CNG APIを使用してこれらにアクセスします。新しいプロバイダーは次のとおりです。
-
CitrixLogonKsp.dll: VDAへのシングルサインオン用 -
CitrixVirtualSmartcardKsp.dll: セッション内証明書用
KSPは、Windowsアプリケーションに暗号化操作を公開する、より最新の方法であり、より多くの機能を提供します。例:
- ECCキーを持つ証明書がサポートされます
- 確率的署名方式 (PSS) パディングがサポートされます
FASとVDAの両方がCitrix Virtual Apps and Desktops 2411以降を実行している場合、KSPリモート処理(つまり、新しいKSPを介したリモート処理)が使用されます。それ以外の場合、システムはリモート処理に古いCSPを使用するようにフォールバックします。
KSPリモート処理の無効化
互換性の問題が発生した場合、KSPリモート処理を無効にすることができます。これにより、常に古いCSPリモート処理を使用できるようになります。
次のPowerShellを使用します。
Set-FasServer -Address localhost -KspRemoting $false
メンテナンスモード
稼働中のFASサーバーの構成に変更を加える場合、メンテナンスモードにすることを検討してください。
FASがメンテナンスモードの場合、次のことが当てはまります。
- WorkspaceまたはStoreFront™が公開アプリケーションまたはデスクトップの起動シーケンスの一部としてFASを呼び出すと、FASはメンテナンスモードであることを示します。呼び出し元は、別のFASサーバーを選択することでこれに対応する必要があります。
- 追加の予防措置として、FASは、メンテナンスモード中にユーザー証明書の自動作成を許可しません。これにより、意図しない設定でユーザー証明書が誤って作成されることを回避できます。
- ただし、VDAサインインやセッション内での使用など、既存のユーザー証明書に関連するアクティビティは引き続き許可されます。
ユーザー証明書の自動作成は許可されていませんが、管理者は、New-FasUserCertificateやTest-FasCertificateSigningRequestなどのPowerShellコマンドを使用してユーザー証明書を作成できます。
管理コンソールの使用
PowerShellの使用
FASサーバーをメンテナンスモードにするには、次のようにします。
Set-FasServer -Address localhost -MaintenanceMode $true
FASサーバーをメンテナンスモードから解除し(通常の操作に戻す)、次のようにします。
Set-FasServer -Address localhost -MaintenanceMode $false
関連情報
- インストールと構成は、FASのインストールと構成に関する主要なリファレンスです。
- 一般的なFAS展開については、Federated Authentication Servicesのアーキテクチャの概要の記事にまとめられています。
- その他のハウツー記事は、高度な構成の記事で紹介されています。