This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
証明書管理
概要
HDX Direct接続は、ネットワークレベルの暗号化によって保護されます。 これを容易にするために、各セッションホストには、一意の自己署名ルートCA証明書と、自己署名ルートCA証明書によって署名された対応するサーバー証明書があります。
このソリューションには次のメリットがあります:
- 合理化されたセキュリティ:HDX Direct接続は、環境内で証明書を管理する管理オーバーヘッドなしで保護されます。
- 攻撃対象領域の縮小:各ホストには固有のキーと証明書のセットがあるため、攻撃対象領域は単一のホストに制限されます。
- 非永続的な環境のセキュリティ強化:非永続的なセッションホストがある環境では、再起動時に新しいキーと証明書が生成されるため、セキュリティがさらに強化されます。
セッションホスト
Citrix ClxMtpサービスとCitrix Certificate Managerサービスは、各セッション ホスト上の証明書の管理を担当する2つのサービスです。 ClxMtpサービスはキーの生成とローテーションを処理し、Certificate Managerサービスは証明書を生成および管理します。
自己署名ルートCAとサーバー証明書の2つの証明書が作成されます。 どちらも2年間の有効期間で発行されますが、キーがローテーションされると交換されます。 さらに、非永続的なマシンが再起動するたびに新しい証明書が生成されます。
各証明書の詳細は次のとおりです:
-
自己署名ルートCA
- 発行先:CA-Citrix-Certificate-Manager
- 発行者:CA-Citrix-Certificate-Manager
- 発行者の詳細:Citrix Systems, Inc.(組織名)
-
サーバー証明書
- 発行先:<host FQDN>(例: FTLW11-001.ctxlab.net)
- 発行者:CA-Citrix-Certificate-Manager
- 発行者の詳細:Citrix Systems, Inc.(組織名)
注:
Citrix Certificate Managerサービスは、2048ビットキーを利用するRSA証明書を生成します。
Citrix Certificate Managerサービスによって作成された既存のマシン証明書があり、サブジェクト名がマシンのFQDNと一致しない場合、新しい証明書が生成されます。
キーローテーション
Citrix ClxMtpサービスは、6か月ごとにキーを自動的にローテーションします。 ただし、セッションホストのレジストリ内のローテーションカウンターを増やすことで、キーのローテーションを手動でトリガーできます。
キーをローテーションするには、次の値を更新します:
- キー:SOFTWARE\Citrix\ClxMtpConnectorSvcRotateKeyPairs
- 値の種類:DWORD
- 値の名前:ClxMtpRotateRequestCounter
- データ:整数(10進数)
注:
初めてのキーローテーションの場合:
- ClxMtpConnectorSvcRotateKeyPairsキーを作成します。
- ClxMtpRotateRequestCounterを作成し、値を1に設定します。
後続のキーローテーションでは、ClxMtpRotateRequestCounterの値を1増やします。
値が更新されると、Citrix ClxMtpサービスは再起動を必要とせずにキーを自動的にローテーションします。 Citrix Certificate Managerサービスは、新しいキーを検出すると、自動的に新しい証明書を生成します。
クライアントデバイス
ルートCA証明書は、既に確立されている安全で信頼できる接続パスを介してWorkspaceまたはStorefrontによってクライアントに送信されます。 これにより、クライアントデバイスの証明書ストアにCA 証明書を配布する必要がなくなり、クライアントがHDX Direct接続のセキュリティ保護に使用される証明書を信頼できるようになります。
カスタム証明書の使用
HDX Directは、独自のPKIによって発行および管理される証明書の使用をサポートします。 次の手順では、証明書をインストールし、必要な権限を構成し、証明書をセッションマネージャーサービスにバインドし、必要なTLSリスナーを有効にする方法について説明します。
- マシン上でHDX Directが無効になっている場合は、手順2に進みます。 HDX Directが有効になっている場合は、次の手順を実行します:
- レジストリエディター(regedit.exe)を開き、HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawdに移動します。
- SSLEnabled値を0に設定します。
- HKLM\Software\Citrix\HDX-Directに移動します。
- HdxDirectCaInTls値を0に設定します。
-
PKIによって発行された適切な証明書をマシンの証明書ストアにインストールします。
- セッションマネージャーサービスに証明書の秘密キーへの読み取りアクセス権を付与します。
- Microsoft管理コンソール(MMC)を起動します:[スタート]>[ファイル名を指定して実行]> mmc.exe。
- [ファイル]>[スナップインの追加と削除]の順に移動します。
- [証明書]を選択して[追加]をクリックします。
- [コンピューターアカウント]を選択し、[次へ]をクリックします。
- [ローカルコンピューター]を選択し、[完了]をクリックします。
- [証明書(ローカルコンピューター)]>[個人]>[証明書]に移動します。
- 適切な証明書を右クリックし、[すべてのタスク]>[秘密キーの管理]を選択します。
- 以下のいずれかのサービスを追加して、[読み取り]アクセスを許可します。
-
シングルセッションVDAの場合:
NT SERVICE\PorticaService -
マルチセッションVDAの場合:
NT SERVICE\TermService
-
シングルセッションVDAの場合:
- [適用] をクリックし、[OK] をクリックします。
- 証明書をセッションマネージャーサービスにバインドします。
- 証明書の拇印を取得します(証明書 > 詳細 > 拇印をダブルクリックします)。
- レジストリエディター(regedit.exe)を開き、HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawdに移動します。
- SSLThumbprintの値を編集し、証明書の拇印を貼り付けます。
- Citrix TLSリスナーを有効にします。
- 同じレジストリの場所で、SSLEnabledの値を1に設定します。
- HDX Directを有効にします(Citrixポリシー内)。
Citrix Virtual Apps and Desktopsのインストールメディアには、次のタスクのいくつかを自動化するPowerShellスクリプト(Enable-VdaSSL.ps1)が含まれています:
- 証明書のキーの権限を設定する
- 証明書をセッションマネージャーサービスにバインドする
- Citrix TLSリスナーを有効にする
このスクリプトは、Support > Tools > SslSupportディレクトリにあります。 詳しくは、「VDA上のTLS構成:PowerShellスクリプトの使用」を参照してください。
注:
独自の証明書を使用している場合は、セッションホストに接続するデバイスに正しいルートCA証明書と中間CA証明書がインストールされている必要があります。
共有
共有
この記事の概要
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.