セキュリティキーの管理
注:
この機能は、StoreFront™ 1912 LTSR CU2以降と組み合わせて使用する必要があります。
この機能を使用すると、承認されたStoreFrontおよびCitrix GatewayマシンのみがCitrix Delivery Controllerと通信できるようになります。この機能を有効にすると、キーを含まないすべての要求はブロックされます。この機能を使用して、内部ネットワークから発生する攻撃から保護するための追加のセキュリティ層を追加します。
この機能を使用するための一般的なワークフローは次のとおりです。
-
PowerShell SDKを使用してStudioで機能を有効にします。
-
Studioで設定を構成します。(StudioコンソールまたはPowerShellを使用します)。
-
StoreFrontで設定を構成します。(PowerShellを使用します)。
セキュリティキー機能を有効にする
デフォルトでは、この機能は無効になっています。有効にするには、Remote PowerShell SDKを使用します。Remote PowerShell SDKの詳細については、「SDKとAPI」を参照してください。
この機能を有効にするには、次の手順を実行します。
- ゼナップ アンド ゼンスクトップ® リモート パワーシェル エスディーケー を実行します。
- コマンドウィンドウで、次のコマンドを実行します。
-
Add-PSSnapIn Citrix*。このコマンドはCitrixスナップインを追加します。 Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"
-
Studioで設定を構成する
StudioコンソールまたはPowerShellを使用して、Studioで設定を構成できます。
Studioコンソールを使用する
機能を有効にした後、Studio > 構成 > セキュリティキーの管理に移動します。セキュリティキーの管理オプションが表示されない場合は、更新をクリックする必要がある場合があります。
セキュリティキーの管理をクリックすると、セキュリティキーの管理ウィンドウが表示されます。
セキュリティキー管理ウィザード(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/manage-security-key-wizard.png)
重要:
- 使用できるキーは2つあります。XMLポートおよびSTAポートを介した通信には、同じキーまたは異なるキーを使用できます。一度に1つのキーのみを使用することをお勧めします。未使用のキーは、キーローテーションにのみ使用されます。
- 使用中のキーを更新するために更新アイコンをクリックしないでください。クリックすると、サービスが中断されます。
新しいキーを生成するには、更新アイコンをクリックします。
XMLポートを介した通信にキーを要求する(StoreFrontのみ)。選択した場合、XMLポートを介した通信を認証するためにキーを要求します。StoreFrontはこのポートを介してCitrix Cloudと通信します。XMLポートの変更については、Knowledge Centerの記事CTX127945を参照してください。
STAポートを介した通信にキーを要求する。選択した場合、STAポートを介した通信を認証するためにキーを要求します。Citrix GatewayとStoreFrontはこのポートを介してCitrix Cloudと通信します。STAポートの変更については、Knowledge Centerの記事CTX101988を参照してください。
変更を適用した後、閉じるをクリックしてセキュリティキーの管理ウィンドウを終了します。
PowerShell の使用について
以下は、Studioの操作に相当するPowerShellの手順です。
-
XenApp® および XenDeskop リモート パワーシェル SDK を実行します。
- コマンドウィンドウで、次のコマンドを実行します。
Add-PSSnapIn Citrix*
- キーを生成し、Key1 を設定するには、次のコマンドを実行します。
New-BrokerXmlServiceKeySet-BrokerSite -XmlServiceKey1 <the key you generated>
- キーを生成し、Key2 を設定するには、次のコマンドを実行します。
New-BrokerXmlServiceKeySet-BrokerSite -XmlServiceKey2 <the key you generated>
- 通信の認証でキーの使用を有効にするには、次のコマンドのいずれかまたは両方を実行します。
- XML ポート経由で通信を認証するには:
Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
- STA ポート経由で通信を認証するには:
Set-BrokerSite -RequireXmlServiceKeyForSta $true
- XML ポート経由で通信を認証するには:
ガイダンスと構文については、PowerShell コマンドのヘルプを参照してください。
StoreFront での設定の構成
Studioでの構成が完了したら、PowerShellを使用してStoreFrontで関連する設定を構成する必要があります。
StoreFrontサーバーで、次のPowerShellコマンドを実行します。
- XMLポートを介した通信のキーを構成するには、
Get-STFStoreServieおよびSet-STFStoreServiceコマンドを使用します。例:PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers <domain name1, domain name2> -XMLValidationEnabled $true -XMLValidationSecret <the key you generated in Studio>
- STAポートを介した通信のキーを構成するには、
New-STFSecureTicketAuthorityコマンドを使用します。例:PS C:\> $sta = New-STFSecureTicketAuthority –StaUrl <STA URL> -StaValidationEnabled $true -StavalidationSecret <the key you generated in Studio>
ガイダンスと構文については、PowerShellコマンドのヘルプを参照してください。
Citrix ADCでの設定を構成する
注:
Citrix ADCをゲートウェイとして使用しない限り、Citrix ADCでこの機能を構成する必要はありません。Citrix ADCを使用する場合は、以下の手順に従ってください。
-
次の前提条件となる構成がすでに完了していることを確認してください。
- 次のCitrix ADC関連のIPアドレスが構成されています。
- Citrix ADCコンソールにアクセスするためのCitrix ADC管理IP(NSIP)アドレス。詳細については、「NSIPアドレスの構成」を参照してください。
ADC管理IPアドレス(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/adc-management-ip.png)
- Citrix ADCアプライアンスとバックエンドサーバー間の通信を有効にするためのサブネットIP (SNIP) アドレス。詳細については、「サブネットIPアドレスの構成」を参照してください。
- セッション起動のためにADCアプライアンスにログインするためのCitrix Gateway仮想IPアドレスとロードバランサー仮想IPアドレス。詳細については、「仮想サーバーの作成」を参照してください。
- Citrix ADCアプライアンスで必要なモードと機能が有効になっています。
- モードを有効にするには、Citrix ADCのグラフィカルユーザーインターフェースで、System > Settings > Configure Mode に移動します。
- 機能を有効にするには、Citrix ADCのグラフィカルユーザーインターフェースで、System > Settings > Configure Basic Features に移動します。
- 証明書関連の構成が完了しています。
- 証明書署名要求 (CSR) が作成されます。詳細については、「証明書の作成」を参照してください。
- サーバー証明書、CA証明書、およびルート証明書がインストールされます。詳細については、「インストール、リンク、および更新」を参照してください。
- Citrix Virtual Desktops用にCitrix Gatewayが作成されています。Test STA Connectivity ボタンをクリックして、仮想サーバーがオンラインであることを確認し、接続をテストします。詳細については、「Citrix Virtual Apps and Desktops向けCitrix ADCのセットアップ」を参照してください。
- 次のCitrix ADC関連のIPアドレスが構成されています。
-
リライトアクションを追加します。詳細については、「リライトアクションの構成」を参照してください。
- AppExpert > リライト > アクション に移動します。
- 新しいリライトアクションを追加するには、[Add] をクリックします。アクション名は「set Type to INSERT_HTTP_HEADER」とすることができます。
リライトアクションの追加(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/adc-appexpert-rewrite-action.png)
- タイプの項目で、INSERT_HTTP_HEADERを選択します。
- In Header Name, enter X-Citrix-XmlServiceKey.
- 「式」に、引用符付きで
<XmlServiceKey1 value>を追加します。XmlServiceKey1 の値は、Desktop Delivery Controller™ の構成からコピーできます。
XMLサービスキーの値(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/xml-service-key-values.png)
- リライトポリシーを追加します。詳細については、「リライトポリシーの構成」を参照してください。
-
「AppExpert > 書き換え > ポリシー」に移動します。
-
新しいポリシーを追加するには、[Add] をクリックします。
リライトポリシーの追加(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/adc-appexpert-rewrite-policy.png)
- [Action] で、前の手順で作成したアクションを選択します。
- 式の項目に、HTTP.REQ.IS_VALID を追加してください。
- [OK] をクリックします。
-
-
負荷分散を設定します。STAサーバーごとに1つの負荷分散仮想サーバーを構成する必要があります。構成しない場合、セッションの起動に失敗します。
詳細については、「基本ロードバランシングのセットアップ」を参照してください。
- ロードバランシング仮想サーバーを作成します。
- トラフィック管理 > 負荷分散 > サーバー に移動します。
- 仮想サーバー ページで、追加 をクリックします。
ロードバランシングサーバーを追加(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/adc-create-lb-vserver.png)
- プロトコル で、HTTP を選択します。
- ロードバランシング仮想IPアドレスを追加し、Port で 80 を選択します。
- OK をクリックします。
- ロードバランシングサービスを作成します。
- トラフィック管理 > 負荷分散 > サービス に移動します。
ロードバランシングサービスを追加(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/adc-create-lb-service.png)
- Existing Server で、前の手順で作成した仮想サーバーを選択します。
- Protocol で HTTP を選択し、Port で 80 を選択します。
- OK をクリックし、次に Done をクリックします。
- サービスを仮想サーバーにバインドします。
- 以前に作成した仮想サーバーを選択し、Editをクリックします。
- 「サービスとサービスグループ」で、「負荷分散仮想サーバーサービスバインディングなし」をクリックします。
サービスを仮想サーバーにバインドする(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/adc-bind-service-to-lbvserver.png)
- Service Bindingで、以前に作成したサービスを選択します。
- Bindをクリックします。
- 以前に作成した書き換えポリシーを仮想サーバーにバインドします。
- 以前に作成した仮想サーバーを選択し、Editをクリックします。
- Advanced SettingsでPoliciesをクリックし、その後Policiesセクションで+をクリックします。
書き換えポリシーをバインドする(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/adc-bind-rewrite-policy.png)
- 「ポリシーの選択」で「リライト」を選択し、「タイプの選択」で「リクエスト」を選択します。
- Continueをクリックします。
- Select Policyで、以前に作成した書き換えポリシーを選択します。
- Bindをクリックします。
- Doneをクリックします。
- 必要に応じて、仮想サーバーの永続性を設定します。
- 以前に作成した仮想サーバーを選択し、編集をクリックします。
- 詳細設定で、永続性をクリックします。
永続性の設定(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/adc-lb-vserver-persistence.png)
- 永続性の種類としてその他を選択します。
- 仮想サーバーによって選択されたサービスのIPアドレス(宛先IPアドレス)に基づいて永続セッションを作成するには、DESTIPを選択します。
- IPv4ネットマスクに、DDCと同じネットワークマスクを追加します。
- OKをクリックします。
- 他の仮想サーバーについても、これらの手順を繰り返します。
- ロードバランシング仮想サーバーを作成します。
Citrix ADCアプライアンスがCitrix Virtual Desktops™で既に構成されている場合の構成変更
Citrix ADCアプライアンスをCitrix Virtual Desktopsで既に構成している場合は、Secure XML機能を使用するために、以下の構成変更を行う必要があります。
- セッション起動前に、ゲートウェイのSecurity Ticket Authority URLを、負荷分散仮想サーバーのFQDNを使用するように変更します。
-
TrustRequestsSentToTheXmlServicePortパラメーターがFalseに設定されていることを確認します。デフォルトでは、TrustRequestsSentToTheXmlServicePortパラメーターはFalseに設定されています。ただし、顧客がCitrix Virtual Desktops用にCitrix ADCを既に構成している場合、TrustRequestsSentToTheXmlServicePortはTrueに設定されます。
- In the Citrix ADC GUI, navigate to Configuration > Integrate with Citrix Products and click XenApp and XenDesktop.
-
ゲートウェイインスタンスを選択し、編集アイコンをクリックします。
既存のゲートウェイ構成を編集(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/edit-gateway-instance.png)
-
StoreFrontペインで、編集アイコンをクリックします。
StoreFront の詳細を編集します(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/edit-storefront-details.png)
-
セキュアチケットオーソリティURLを追加します。
- Secure XML機能が有効になっている場合、STA URLはロードバランシングサービスのURLである必要があります。
- Secure XML機能が無効になっている場合、STA URLはSTAのURL(DDCのアドレス)である必要があり、DDC上のTrustRequestsSentToTheXmlServicePortパラメーターはTrueに設定されている必要があります。
STA URL を追加します(/ja-jp/xenapp-and-xendesktop/7-15-ltsr/media/add-sta-urls.png)