StoreFront

ICAファイルの署名

StoreFrontには、ICAファイルにデジタル署名を追加するオプションが用意されています。これにより、この機能をサポートするバージョンのCitrix Workspaceアプリで、ICAファイルが信頼されるサーバーからのものであることを検証できるようになります。StoreFrontでファイルの署名を有効にすると、ユーザーがアプリケーションを起動するときに生成されるICAファイルが、StoreFrontサーバーの個人証明書ストアにある証明書を使用して署名されます。StoreFrontサーバーのオペレーティングシステムでサポートされる任意のハッシュアルゴリズムを使ってICAファイルを署名できます。クライアントソフトウェアがこの機能をサポートしない場合やICAファイルの署名用に構成されていない場合、デジタル署名は無視されます。署名処理に失敗した場合は、デジタル署名なしでICAファイルが生成され、Citrix Workspaceアプリに送信されます。未署名のファイルを受け入れるかどうかは、Receiver側での構成により決定されます。

StoreFrontのICAファイルの署名機能で使用する証明書には秘密キーが含まれ、許可された有効期間内である必要があります。証明書にキー使用法の拡張が含まれる場合、キーをデジタル署名に使用できるようにする必要があります。拡張キー使用法エクステンションが含まれる場合は、コード署名またはサーバー認証用に設定されている必要があります。

ICAファイルを署名する場合、商用の証明機関または組織内の独自の証明機関から取得したコード署名またはSSL署名証明書を使用することをお勧めします。証明機関から適切な証明書を取得できない場合は、サーバー証明書のような既存のSSL証明書を使用するか、新しいルート証明機関証明書を作成してユーザーデバイスに配布することができます。

ICAファイルの署名機能はデフォルトでは無効になっています。ICAファイルの署名機能を有効にするには、証明書をインストールし、その証明書を使用するようにストアを構成する必要があります。ICAファイルに署名しても、Windows向けCitrix Workspaceアプリで証明書を要求するように構成しない限り機能しません。詳しくは、「ICAファイルの署名」を参照してください。

注:

StoreFront管理コンソールとPowerShellコンソールを同時に開くことはできません。StoreFront管理コンソールを閉じてからPowerShellコンソールを開いてください。同様に、PowerShellのすべてのインスタンスを閉じてからStoreFront管理コンソールを開いてください。

  1. StoreFrontサーバーで、[Manage computer certificates] を開きます。

  2. Citrix Delivery Services証明書ストアで、使用する証明書を追加します。

  3. 証明書を開き、[Details] タブに移動し、サムプリントを書き留めておきます。

  4. Set-STFStoreService PowerShellコマンドレットを使用して署名を有効にします:

    $storeService = Get-STFStoreService
    Set-STFStoreService $storeService -IcaFileSigning $true -IcaFileSigningCertificateThumbprint [certificatethumbprint]
    $certificate = Get-DSCertificate "[certificatethumbprint]"
    Add-DSCertificateKeyReadAccess -certificate $certificates[0] -accountName IIS APPPOOL\Citrix Delivery Services Resources
    <!--NeedCopy-->
    

    ここで [certificatethumbprint] は、ハッシュアルゴリズムにより生成される証明書データのダイジェスト(または拇印)です。

    SHA-1以外のハッシュアルゴリズムを使用する場合は、必要に応じてsha256、sha384、またはsha512に設定された-IcaFileSigningHashAlgorithmパラメーターを追加します。

ICAファイルの署名

この記事の概要