This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
証明書管理
概要
-
HDX™ Direct接続は、ネットワークレベルの暗号化によって保護されています。これを容易にするため、各セッションホストは一意の自己署名ルートCA証明書と、その自己署名ルートCA証明書によって署名された対応するサーバー証明書を持っています。
-
このソリューションには、以下の利点があります。
- 合理化されたセキュリティ: HDX Direct接続は、環境内で証明書を管理する管理上のオーバーヘッドなしに保護されます。
-
攻撃対象領域の削減: 各ホストが一意のキーと証明書のセットを持つため、攻撃対象領域は単一のホストに限定されます。
- 非永続環境のセキュリティ強化: 非永続セッションホストを使用する環境では、再起動時に新しいキーと証明書が生成されるため、セキュリティがさらに強化されます。
セッションホスト
- **Citrix ClxMtp Service**と**Citrix Certificate Manager Service**は、各セッションホストで証明書を管理する2つのサービスです。ClxMtp Serviceはキーの生成とローテーションを処理し、Certificate Manager Serviceは証明書を生成および管理します。
- 自己署名ルートCAとサーバー証明書の2つの証明書が作成されます。どちらも2年間の有効期間で発行されますが、キーがローテーションされると置き換えられます。さらに、非永続マシンが再起動するたびに新しい証明書が生成されます。
- 各証明書の詳細は以下のとおりです。
- **自己署名ルートCA**
- 発行先: CA-Citrix-Certificate-Manager
- 発行元: CA-Citrix-Certificate-Manager
- 発行者詳細: 組織はCitrix Systems, Inc.です。
-
サーバー証明書
- 発行先: <ホストFQDN> (例: FTLW11-001.ctxlab.net)
- 発行元: CA-Citrix-Certificate-Manager
- 発行者詳細: 組織はCitrix Systems, Inc.です。
- 発行先: <ホストFQDN> (例: FTLW11-001.ctxlab.net)
-
注:
-
-
Citrix Certificate Manager Serviceは、2048ビットキーを利用するRSA証明書を生成します。
Citrix Certificate Manager Serviceによって作成された既存のマシン証明書があり、そのサブジェクト名がマシンのFQDNと一致しない場合、新しい証明書が生成されます。
キーのローテーション
Citrix ClxMtp Serviceは、6か月ごとにキーを自動的にローテーションします。ただし、セッションホストのレジストリにあるローテーションカウンターを増やすことで、手動でキーのローテーションをトリガーできます。
キーをローテーションするには、以下の値を更新します。
- キー: SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
- 値の型: DWORD
- 値の名前: ClxMtpRotateRequestCounter
- データ: 整数 (10進数)
注:
初めてキーをローテーションする場合:
- ClxMtpConnectorSvcRotateKeyPairsキーを作成します。
- ClxMtpRotateRequestCounter値を作成し、1に設定します。
その後のキーローテーションでは、ClxMtpRotateRequestCounter値を1ずつ増やします。
値が更新されると、Citrix ClxMtp Serviceは再起動を必要とせずにキーを自動的にローテーションします。その後、Citrix Certificate Manager Serviceは新しいキーを検出すると、自動的に新しい証明書を生成します。
クライアントデバイス
- ルートCA証明書は、WorkspaceまたはStorefront™によって、すでに確立された安全で信頼できる接続パスを介してクライアントに送信されます。これにより、CA証明書をクライアントデバイスの証明書ストアに配布する必要がなくなり、クライアントがHDX Direct接続を保護するために使用される証明書を信頼することが保証されます。
カスタム証明書の使用
HDX Directは、独自のPKIによって発行および管理される証明書の使用をサポートしています。以下の手順では、証明書のインストール、必要な権限の設定、セッションマネージャーサービスへのバインド、および必要なTLSリスナーの有効化について説明します。
- マシンでHDX Directが無効になっている場合は、手順2に進みます。HDX Directが有効になっている場合は、以下の手順に従います。
- レジストリエディター (regedit.exe) を開き、HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd に移動します。
- SSLEnabled の値を 0 に設定します。
- HKLM\Software\Citrix\HDX-Direct に移動します。
- HdxDirectCaInTls の値を 0 に設定します。
-
- PKIによって発行された適切な証明書をマシンの証明書ストアにインストールします。
- セッションマネージャーサービスに証明書の秘密キーへの読み取りアクセス権を付与します。
- Microsoft管理コンソール (MMC) を起動します: [スタート] > [ファイル名を指定して実行] > mmc.exe。
- [ファイル] > [スナップインの追加と削除] に移動します。
- [証明書] を選択し、[追加] をクリックします。
- [コンピューターアカウント] を選択し、[次へ] をクリックします。
- [ローカルコンピューター] を選択し、[完了] をクリックします。
- [証明書 (ローカルコンピューター)] > [個人] > [証明書] に移動します。
- 適切な証明書を右クリックし、[すべてのタスク] > [秘密キーの管理] を選択します。
- 以下のいずれかのサービスを追加し、読み取りアクセス権を付与します。
-
シングルセッションVDAの場合:
NT SERVICE\PorticaService -
マルチセッションVDAの場合:
NT SERVICE\TermService
-
シングルセッションVDAの場合:
- [適用] をクリックし、次に [OK] をクリックします。
- 証明書をセッションマネージャーサービスにバインドします。
- 証明書のサムプリントを取得します (証明書をダブルクリック > [詳細] > [サムプリント])。
- レジストリエディター (regedit.exe) を開き、HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd に移動します。
- SSLThumbprint の値を編集し、証明書のサムプリントを貼り付けます。
- Citrix TLSリスナーを有効にします。
- 同じレジストリの場所で、SSLEnabled の値を 1 に設定します。
- HDX Directを有効にします (Citrixポリシー内)。
Citrix Virtual Apps and Desktopsのインストールメディアには、これらのタスクのいくつかを自動化するPowerShellスクリプト (Enable-VdaSSL.ps1) が含まれています。
- 証明書のキーの権限を設定する
- 証明書をセッションマネージャーサービスにバインドする
- Citrix TLSリスナーを有効にする
このスクリプトは、Support > Tools > SslSupportディレクトリにあります。詳細については、「PowerShellスクリプトを使用してVDAでTLSを構成する」を参照してください。
注:
独自の証明書を使用している場合、セッションホストに接続するデバイスには、正しいルートCA証明書と中間CA証明書がインストールされている必要があります。
共有
共有
この記事の概要
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.