キー記憶域プロバイダー(KSP)リモート処理(Technical Preview)

はじめに

以前は、Windows VDAからFASサーバーへのリモート暗号化操作は、VDA上で実行される2つの暗号化サービスプロバイダー(CSP)を使用して実現されていました:

  • CitrixLogonCsp.dll - VDAへのシングルサインオン(SSO)用
  • CitrixVirtualSmartcardCsp.dll - セッション内証明書用

この機能を使用すると、KSPのペアを使用してリモート暗号化操作も実現できます:

  • CitrixLogonKsp.dll - VDAへのSSO用
  • CitrixVirtualSmartcardKsp.dll - セッション内証明書用

KSPは、暗号化操作をWindowsアプリケーションに公開する最新の方法であり、より多くの機能を提供します。例:

  • ECCキーを使用した証明書がサポートされています
  • 確率的署名スキーム(PSS)パディングがサポートされています

注:

FASでECCキーを有効にすることはできません。

KSPリモート処理を有効にする

KSPリモート処理は、次のレジストリキーを作成することによって有効になります:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\Authentication\UserCredentialService\RemoteKspFeature

種類:string

値:on

  • FASサーバーとVDAソフトウェアの両方で、CVAD 2407ソフトウェアを実行している必要があります。

  • KSPリモート処理は、FASサーバーとVDAの両方にレジストリ キーを作成することによって有効になります。

  • 変更を有効にするには、FASサーバーとVDAを再起動します。

上記の条件のいずれかが満たされない場合、VDAはフォールバックしてCSPリモート処理を使用します。

KSPリモート処理が有効になっているか確認する

FASサーバーでは、Powershellを使用してKSPリモート処理がオンになっているかどうかを確認できます:

KSPリモート処理が有効

KSPリモート処理がVDAのSSOに使用されているかどうかを確認するには、FASサーバーのWindowsアプリケーションログで次のイベントを探します:

VDAのシングルサインオン

Operation SignHash2はKSPリモート処理の使用を示し、SignHashはCSPリモート処理を示します。

同様に、TLSクライアント認証などの暗号化にセッション内証明書が使用される場合は、FASサーバーで次のイベントを探します:

暗号化イベント

既知の制限事項

KSPリモート処理は、FAS自体がKSPを使用するように構成されている場合にのみサポートされます。これはデフォルトの構成です。FASがCSPを使用するように構成されている場合、KSPリモート処理は機能しません。

関連する設定は次のとおりです:

ファイル「%programfiles%\Citrix\Federated Authentication Service\Citrix.Authentication.FederatedAuthenticationService.exe.config」内の<add key="Citrix.TrustFabric.ClientSDK.TrustAreaJoinParameters.ProviderLegacyCsp" value="false" />

ここで、Falseは、FASがKSPで構成されており、KSPリモート処理がサポートされていることを示します。

キー記憶域プロバイダー(KSP)リモート処理(Technical Preview)