Citrix DaaS

セキュリティキーの管理

  • この機能は、StoreFront 1912 LTSR CU2以降とともに使用する必要があります。

  • Secure XML機能は、Citrix ADCおよびCitrix Gatewayリリース12.1以降でのみサポートされます。

この機能を使用すると、承認されたStoreFrontマシンおよびCitrix GatewayマシンのみがCitrix Delivery Controllerと通信できるようになります。 この機能を有効にすると、キーが含まれていないすべての要求がブロックされます。 この機能を使用して、内部ネットワークの攻撃から保護するセキュリティ層を追加します。

この機能を使用するための一般的なワークフローは次のとおりです:

  1. Studioでセキュリティキー設定を表示する。 (Remote PowerShell SDKを使用)

  2. 展開の設定を構成します。 (StudioまたはRemote PowerShell SDKを使用)。

  3. StoreFrontで設定を構成します。 (PowerShellを使用します)。

  4. Citrix ADCで設定を構成します。

展開の設定を構成する

StudioまたはPowerShellを使用して、展開の設定を構成できます。

Studioの使用

この機能を有効にした後、[設定]>[セキュリティキーの管理]に移動し、[編集]をクリックします。 [セキュリティキーの管理] ブレードが開きます。 [保存] をクリックして変更を適用し、ブレードを終了します。

[セキュリティキーの管理]ウィザード

重要:

  • 2つのキーを使用できます。 XMLポートとSTAポートを介した通信に、同じキーまたは異なるキーを使用できます。 一度に1つのキーのみを使用することをお勧めします。 未使用のキーは、キーの交換にのみ使用されます。
  • 既に使用中のキーを更新するために更新アイコンをクリックしないでください。 クリックした場合、サービスが中断されます。

更新アイコンをクリックしてキーを生成します。

XMLポート経由の通信にキーが必須とする(StoreFrontのみ)。 選択されている場合、XMLポート経由での通信を認証するためにキーを必要とするかを示します。 StoreFrontは、このポートを介してCitrix Cloudと通信します。 XMLポートの変更について詳しくは、Knowledge CenterのCTX127945を参照してください。

STAポート経由の通信にキーが必須とする。 選択されている場合、STAポート経由での通信を認証するためにキーを必要とするかを示します。 Citrix GatewayおよびStoreFrontは、このポートを介してCitrix Cloudと通信します。 STAポートの変更について詳しくは、Knowledge CenterのCTX101988を参照してください。

変更を適用後、[閉じる] をクリックして [セキュリティキーの管理] ブレードを終了します。

Remote PowerShell SDKを使用する

以下は、Studioで実行される操作に相当するPowerShellの手順です。

  1. Remote PowerShell SDKを実行します。

  2. コマンドウィンドウで、次のコマンドを実行します:
    • Add-PSSnapIn Citrix*
  3. 次のコマンドを実行してキーを生成し、Key1を設定します:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. 次のコマンドを実行してキーを生成し、Key2を設定します:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. 次のコマンドのいずれかまたは両方を実行して、通信の認証でキーを使用できるようにします:
    • XMLポート経由での通信を認証するには、次を実行します:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • STAポート経由での通信を認証するには、次を実行します:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

ガイダンスと構文について詳しくは、PowerShellコマンドのヘルプを参照してください。

StoreFrontでの設定の構成

展開の設定が完了したら、PowerShellを使ってStoreFrontで関連する設定を構成する必要があります。

StoreFrontサーバーで、次のPowerShellコマンドを実行します:

XMLポート経由での通信のキーを構成するには、次のコマンドを使用します。Set-STFStoreFarm。 次に例を示します:

  $store = Get-STFStoreService -VirtualPath [Path to store]
  $farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
  Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

次のパラメーターの適切な値を入力します:

  • Path to store
  • Resource feed name
  • secret

STAポート経由での通信のキーを設定するには、New-STFSecureTicketAuthorityおよびSet-STFRoamingGatewayコマンドを使用します。 次に例を示します:

  $gateway = Get-STFRoamingGateway -Name [Gateway name]
  $sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
  $sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
  Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

次のパラメーターの適切な値を入力します:

  • Gateway name
  • STA URL
  • Secret

ガイダンスと構文について詳しくは、PowerShellコマンドのヘルプを参照してください。

Citrix ADCでの設定の構成

ゲートウェイとしてCitrix ADCを使用しない限り、Citrix ADCでこの機能を構成する必要はありません。 Citrix ADCを使用する場合は、以下の手順に従ってください。

  1. 以下の前提条件の構成が既に設定されていることを確認してください:

    • 以下のCitrix ADC関連のIPアドレスが構成されている。
      • Citrix ADCコンソールにアクセスするためのCitrix ADC管理IP(NSIP)アドレス。 詳しくは、「NSIPアドレスの構成」を参照してください。

      ADC管理IPアドレス

      • Citrix ADCアプライアンスとバックエンドサーバー間の通信を有効にするためのサブネットIP(SNIP)アドレス。 詳しくは、「サブネットIPアドレスの構成」を参照してください。
      • ADCアプライアンスにログインしてセッションを起動するためのCitrix Gateway仮想IPアドレスとロードバランサー仮想IPアドレス。 詳しくは、「仮想サーバーの作成」を参照してください。

      サブネットIPアドレス

    • Citrix ADCアプライアンスで必要なモードと機能が有効である。
      • モードを有効にするには、Citrix ADC GUIで[System]>[Settings]>[Configure Mode]の順に移動します。
      • 機能を有効にするには、Citrix ADC GUIで[System]>[Settings]>[Configure Basic Features]の順に移動します。
    • 証明書関連の構成が完了している。
      • 証明書署名要求(CSR:Certificate Signing Request)が作成されていること。 詳しくは、「証明書の作成」を参照してください。

      CSR証明書の作成

      サーバー証明書のインストール

      CA証明書のインストール

      • Citrix DaaS(旧称Citrix Virtual Apps and Desktopsサービス)用のCitrix Gatewayが作成されました。 [Test STA Connectivity] ボタンをクリックして接続をテストし、仮想サーバーがオンラインであることを確認します。 詳しくは、「Citrix Virtual Apps and Desktops用のCitrix ADCのセットアップ」を参照してください。

      仮想デスクトップのゲートウェイ

  2. 書き換えアクションを追加します。 詳しくは、「書き換えアクションの構成」を参照してください。

    1. [AppExpert]>[Rewrite]>[Actions]の順に移動します。
    2. [Add] をクリックして、新しい書き換えアクションを追加します。 アクションに「set Type to INSERT_HTTP_HEADER」という名前を付けることができます。

    書き換えアクションの追加

    1. [Type] で、[INSERT_HTTP_HEADER] を選択します。
    2. [Header Name] に「X-Citrix-XmlServiceKey」と入力します。
    3. [Expression]に、引用符付きで「&lt;XmlServiceKey1 value&gt;」を追加します。 XmlServiceKey1の値は、Desktop Delivery Controllerの構成からコピーできます。

    XML Serviceのキーの値

  3. 書き換えポリシーを追加します。 詳しくは、「書き換えポリシーの構成」を参照してください。
    1. [AppExpert]>[Rewrite]>[Policies]の順に移動します。

    2. [Add] をクリックして、新しいポリシーを追加します。

    書き換えポリシーの追加

    1. [Action] で、前の手順で作成したアクションを選択します。
    2. [Expression] に、「HTTP.REQ.IS_VALID」を追加します。
    3. [OK]をクリックします。
  4. 負荷分散を設定します。 STAサーバーごとに1つの負荷分散仮想サーバーを構成する必要があります。 そうしない場合、セッションの起動が失敗します。

    詳しくは、「基本的な負荷分散の設定」を参照してください。

    1. 負荷分散仮想サーバーを作成します。
      • [Traffic Management]>[Load Balancing]>[Servers]の順に移動します。
      • [Virtual Servers] ページで [Add] をクリックします。

      負荷分散サーバーの追加

      • [Protocol] で、[HTTP] を選択します。
      • 負荷分散仮想IPアドレスを追加し、[Port][80] を選択します。
      • [OK]をクリックします。
    2. 負荷分散サービスを作成します。
      • [Traffic Management]>[Load Balancing]>[Services]の順に移動します。

      負荷分散サービスの追加

      • [Existing Server] で、前の手順で作成した仮想サーバーを選択します。
      • [Protocol][HTTP] を選択し、[Port][80] を選択します。
      • [OK] をクリックし、[Done] をクリックします。
    3. サービスを仮想サーバーにバインドします。
      • 以前に作成した仮想サーバーを選択し、[Edit] をクリックします。
      • [Services and Service Groups][No Load Balancing Virtual Server Service Binding] をクリックします。

      サービスを仮想サーバーにバインド

      • [Service Binding] で、前に作成したCitrix DaaSを選択します。
      • [Bind] をクリックします。
    4. 以前に作成した書き換えポリシーを仮想サーバーにバインドします。
      • 以前に作成した仮想サーバーを選択し、[Edit] をクリックします。
      • [Advanced Settings][Policies] をクリックし、[Policies] セクションで [+] をクリックします。

      書き換えポリシーのバインド

      • [Choose Policy][Rewrite] を選択し、[Choose Type][Request] を選択します。
      • [続行] をクリックします。
      • [Select Policy] で、前に作成した書き換えポリシーを選択します。
      • [Bind] をクリックします。
      • [完了] をクリックします。
    5. 必要に応じて、仮想サーバーの永続性を設定します。
      • 以前に作成した仮想サーバーを選択し、[Edit] をクリックします。
      • [Advanced Settings] で、[Persistence] をクリックします。

      永続性の設定

      • 永続性タイプを [Others] にします。
      • 仮想サーバーによって選択されたサービスのIPアドレス(宛先IPアドレス)に基づいて、永続セッションを作成するには、[DESTIP] を選択します。
      • [IPv4 Netmask] で、DDCと同じネットワークマスクを追加します。
      • [OK]をクリックします。
    6. 他の仮想サーバーについても、これらの手順を繰り返します。

Citrix ADCアプライアンスが既にCitrix DaaSにより構成されている場合の構成の変更

Citrix DaaSを使用してCitrix ADCアプライアンスを既に構成している場合、Secure XML機能を使用するには、次の構成変更を行う必要があります。

  • セッションを起動する前に、ゲートウェイのSecurity Ticket Authority URLを変更して、負荷分散仮想サーバーのFQDN(完全修飾ドメイン名)を使用します。
  • TrustRequestsSentToTheXmlServicePortパラメーターがFalseに設定されていることを確認してください。 デフォルトでは、TrustRequestsSentToTheXmlServicePortパラメーターはFalseに設定されています。 ただし、顧客がCitrix DaaS用にCitrix ADCを既に構成している場合は、TrustRequestsSentToTheXmlServicePortがTrueに設定されています。
  1. Citrix ADC GUIで、[Configuration]>[Integrate with Citrix Products]の順に移動し、[XenApp and XenDesktop]をクリックします。
  2. ゲートウェイインスタンスを選択し、編集アイコンをクリックします。

    既存のゲートウェイ構成の編集

  3. StoreFrontペインで、編集アイコンをクリックします。

    StoreFrontの詳細の編集

  4. [Secure Ticket Authority URL] を追加します。
    • Secure XML機能が有効になっている場合、STA URLは負荷分散サービスのURLである必要があります。
    • Secure XML機能が無効になっている場合、STA URLはSTAのURL(DDCのアドレス)である必要があり、DDCのTrustRequestsSentToTheXmlServicePortパラメーターはTrueに設定されている必要があります。

    STA URLの追加

セキュリティキーの管理