-
-
-
セキュリティキー
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
セキュリティキーの管理
注:
- この機能を使用するには、StoreFront™ 1912 LTSR CU2以降と組み合わせて使用する必要があります。
- Secure XML機能は、Citrix ADCおよびCitrix Gatewayリリース12.1以降でのみサポートされています。
この機能を使用すると、承認されたStoreFrontおよびCitrix GatewayマシンのみがCitrix Delivery Controllerと通信できるように設定できます。この機能を有効にすると、キーを含まないすべての要求はブロックされます。この機能を使用して、内部ネットワークからの攻撃に対するセキュリティ層を追加できます。
この機能を使用するための一般的なワークフローは次のとおりです。
-
Studioでセキュリティキー設定を表示します。(Remote PowerShell SDKを使用)
-
展開の設定を構成します。(StudioまたはRemote PowerShell SDKを使用)
-
StoreFrontで設定を構成します。(PowerShellを使用)
-
Citrix ADCで設定を構成します。
展開の設定を構成
StudioまたはPowerShellを使用して、展開の設定を構成できます。
Studioの使用
機能を有効にした後、[Settings]>[Site settings]>[Manage security key]に移動し、[Edit]をクリックします。[Manage Security Key]ブレードが表示されます。[Save]をクリックして変更を適用し、ブレードを終了します。
- > **重要:** >
- >- 使用できるキーは2つあります。XMLポートおよびSTAポートを介した通信に同じキーまたは異なるキーを使用できます。一度に1つのキーのみを使用することをお勧めします。未使用のキーは、キーのローテーションにのみ使用されます。
- >- 使用中のキーを更新するために更新アイコンをクリックしないでください。クリックすると、サービスが中断されます。
- 更新アイコンをクリックして、新しいキーを生成します。
XMLポートを介した通信にキーを要求する(StoreFrontのみ)。選択した場合、XMLポートを介した通信を認証するためにキーを要求します。StoreFrontはこのポートを介してCitrix Cloudと通信します。XMLポートの変更については、Knowledge Centerの記事CTX127945を参照してください。
- **STAポートを介した通信にキーを要求する**。選択した場合、STAポートを介した通信を認証するためにキーを要求します。Citrix GatewayとStoreFrontはこのポートを介してCitrix Cloudと通信します。STAポートの変更については、Knowledge Centerの記事[CTX101988](https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX101988)を参照してください。
- 変更を適用した後、**[Close]**をクリックして**[Manage Security Key]**ブレードを終了します。
Remote PowerShell SDKの使用
以下は、Studioで実行される操作と同等のPowerShell手順です。
-
Remote PowerShell SDKを実行します。
- コマンドウィンドウで、次のコマンドを実行します。
Add-PSSnapIn Citrix*
- 次のコマンドを実行して、キーを生成し、Key1を設定します。
-
New-BrokerXmlServiceKeySet-BrokerSite -XmlServiceKey1 <the key you generated>
-
- 次のコマンドを実行して、キーを生成し、Key2を設定します。
-
New-BrokerXmlServiceKeySet-BrokerSite -XmlServiceKey2 <the key you generated>
-
- 次のコマンドのいずれか、または両方を実行して、通信の認証にキーを使用できるようにします。
- XMLポートを介した通信を認証するには:
Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
- STAポートを介した通信を認証するには:
Set-BrokerSite -RequireXmlServiceKeyForSta $true
- XMLポートを介した通信を認証するには:
- ガイダンスと構文については、PowerShellコマンドヘルプを参照してください。
StoreFrontでの設定構成
展開の設定を完了した後、PowerShellを使用してStoreFrontで関連する設定を構成する必要があります。
StoreFrontサーバーで、次のPowerShellコマンドを実行します。
- XMLポートを介した通信のキーを構成するには、コマンド[Set-STFStoreFarm](https://developer-docs.citrix.com/en-us/storefront-powershell-sdk/current-release/Set-STFStoreFarm.html)を使用します。例:
- ```
- $store = Get-STFStoreService -VirtualPath [Path to store] $farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
- Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
- <!--NeedCopy--> ```
- 次のパラメーターに適切な値を入力します。
- `Path to store`
- `Resource feed name`
- `secret`
- STAポートを介した通信のキーを構成するには、`New-STFSecureTicketAuthority`コマンドと`Set-STFRoamingGateway`コマンドを使用します。例:
$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->
次のパラメーターに適切な値を入力します。
- `Gateway name`
- `STA URL`
- `Secret`
ガイダンスと構文については、PowerShellコマンドヘルプを参照してください。
Citrix ADCでの設定構成
注: - > - > Citrix ADCをゲートウェイとして使用しない限り、Citrix ADCでこの機能を構成する必要はありません。Citrix ADCを使用する場合は、以下の手順に従ってください。
- 1. 次の前提条件となる構成がすでに設定されていることを確認します。
- 次のCitrix ADC関連のIPアドレスが構成されています。
- Citrix ADCコンソールにアクセスするためのCitrix ADC管理IP(NSIP)アドレス。詳細については、「[NSIPアドレスの構成](/ja-jp/citrix-adc/current-release/networking/ip-addressing/configuring-citrix-adc-owned-ip-addresses/configuring-citrix-adc-ip-address.html)」を参照してください。
- Citrix ADCアプライアンスとバックエンドサーバー間の通信を有効にするためのサブネットIP (SNIP) アドレス。詳細については、「[サブネットIPアドレスの構成](/ja-jp/citrix-adc/current-release/networking/ip-addressing/configuring-citrix-adc-owned-ip-addresses/configuring-subnet-ip-addresses-snips.html)」を参照してください。
- セッション起動のためにADCアプライアンスにログインするためのCitrix Gateway仮想IPアドレスおよびロードバランサー仮想IPアドレス。詳細については、「[仮想サーバーの作成](/ja-jp/citrix-adc/current-release/load-balancing/load-balancing-setup.html#creating-a-virtual-server)」を参照してください。
- 
- Citrix ADCアプライアンスで必要なモードと機能が有効になっていること。
- モードを有効にするには、Citrix ADC GUIで **[System] > [Settings] > [Configure Mode]** の順に移動します。
- 機能を有効にするには、Citrix ADC GUIで **[System] > [Settings] > [Configure Basic Features]** の順に移動します。
- 証明書関連の構成が完了していること。
- 証明書署名要求(CSR)が作成されていること。詳細については、「[証明書の作成](/ja-jp/citrix-adc/current-release/ssl/ssl-certificates/obtain-cert-frm-cert-auth.html)」を参照してください。
- 
- サーバー証明書、CA証明書、およびルート証明書がインストールされていること。詳細については、「[インストール、リンク、および更新](/ja-jp/citrix-adc/current-release/ssl/ssl-certificates/add-group-certs.html)」を参照してください。
- 
- 
- Citrix DaaS(旧Citrix Virtual Apps and Desktopsサービス)用にCitrix Gatewayが作成されていること。**[Test STA Connectivity]** ボタンをクリックして接続をテストし、仮想サーバーがオンラインであることを確認します。詳細については、「[Citrix Virtual Apps and Desktops向けCitrix ADCのセットアップ](/ja-jp/citrix-adc/current-release/solutions/deploy-xa-xd.html)」を参照してください。
- 
- 1. リライトアクションを追加します。詳細については、「[リライトアクションの構成](/ja-jp/citrix-adc/current-release/appexpert/rewrite.html#configuring-a-rewrite-action)」を参照してください。
1. **[AppExpert] > [Rewrite] > [Actions]** の順に移動します。
1. **[Add]** をクリックして、新しいリライトアクションを追加します。アクション名を「set Type to INSERT_HTTP_HEADER」にすることができます。
- 
1. **[Type]** で **[INSERT_HTTP_HEADER]** を選択します。
1. **[Header Name]** に「X-Citrix-XmlServiceKey」と入力します。
1. **[Expression]** に、引用符付きで `<XmlServiceKey1 value>` を追加します。XmlServiceKey1の値は、Desktop Delivery Controller™の構成からコピーできます。
- 1. リライトポリシーを追加します。詳細については、「[リライトポリシーの構成](/ja-jp/citrix-adc/current-release/appexpert/rewrite.html#configure-rewrite-policy)」を参照してください。
1. **[AppExpert] > [Rewrite] > [Policies]** の順に移動します。
1. **[Add]** をクリックして、新しいポリシーを追加します。
1. **[Action]** で、前の手順で作成したアクションを選択します。
1. **[Expression]** に「HTTP.REQ.IS_VALID」を追加します。
1. **[OK]** をクリックします。
-
負荷分散を設定します。STAサーバーごとに1つの負荷分散仮想サーバーを構成する必要があります。そうしないと、セッションの起動に失敗します。
詳細については、「基本的な負荷分散のセットアップ」を参照してください。
- 負荷分散仮想サーバーを作成します。
- [Traffic Management] > [Load Balancing] > [Servers] の順に移動します。
- [Virtual Servers] ページで、[Add] をクリックします。
- [Protocol] で [HTTP] を選択します。
- 負荷分散仮想IPアドレスを追加し、[Port] で [80] を選択します。
- [OK] をクリックします。
- 負荷分散サービスを作成します。
- [Traffic Management] > [Load Balancing] > [Services] の順に移動します。
- [Existing Server] で、前の手順で作成した仮想サーバーを選択します。
- [Protocol] で [HTTP] を選択し、[Port] で [80] を選択します。
- [OK] をクリックし、次に [Done] をクリックします。
- サービスを仮想サーバーにバインドします。
- 以前に作成した仮想サーバーを選択し、[Edit] をクリックします。
- [Services and Service Groups] で [No Load Balancing Virtual Server Service Binding] をクリックします。
- [Service Binding] で、以前に作成したCitrix DaaS™を選択します。
- [Bind] をクリックします。
- 以前に作成したリライトポリシーを仮想サーバーにバインドします。
- 以前に作成した仮想サーバーを選択し、[Edit] をクリックします。
- [Advanced Settings] で [Policies] をクリックし、[Policies] セクションで [+] をクリックします。
- [Choose Policy] で [Rewrite] を選択し、[Choose Type] で [Request] を選択します。
- [Continue] をクリックします。
- [Select Policy] で、以前に作成したリライトポリシーを選択します。
- [Bind] をクリックします。
- [Done] をクリックします。
- 必要に応じて、仮想サーバーの永続性を設定します。
- 以前に作成した仮想サーバーを選択し、[Edit] をクリックします。
- [Advanced Settings] で [Persistence] をクリックします。
- 永続性タイプとして [Others] を選択します。
- 仮想サーバーによって選択されたサービス(宛先IPアドレス)のIPアドレスに基づいて永続性セッションを作成するには、[DESTIP] を選択します。
- [IPv4 Netmask] に、DDCと同じネットワークマスクを追加します。
- [OK] をクリックします。
- 他の仮想サーバーについても、これらの手順を繰り返します。
- 負荷分散仮想サーバーを作成します。
Citrix ADCアプライアンスがCitrix DaaSで構成済みの場合の構成変更
Citrix ADCアプライアンスがすでにCitrix DaaSで構成されている場合は、Secure XML機能を使用するために、次の構成変更を行う必要があります。
- セッション起動前に、ゲートウェイの [Security Ticket Authority URL] を、負荷分散仮想サーバーのFQDNを使用するように変更します。
-
TrustRequestsSentToTheXmlServicePortパラメーターがFalseに設定されていることを確認します。デフォルトでは、TrustRequestsSentToTheXmlServicePortパラメーターはFalseに設定されています。ただし、顧客がCitrix DaaS用にCitrix ADCをすでに構成している場合は、TrustRequestsSentToTheXmlServicePortがTrueに設定されています。
- Citrix ADC GUIで、[Configuration] > [Integrate with Citrix Products] に移動し、[XenApp and XenDesktop®] をクリックします。
- ゲートウェイインスタンスを選択し、編集アイコンをクリックします。
- StoreFrontペインで、編集アイコンをクリックします。
-
[Secure Ticket Authority URL] を追加します。
- Secure XML機能が有効になっている場合、STA URLは負荷分散サービスのURLである必要があります。
- Secure XML機能が無効になっている場合、STA URLはSTAのURL(DDCのアドレス)である必要があり、DDCの
TrustRequestsSentToTheXmlServicePortパラメーターはTrueに設定されている必要があります。
共有
共有
この記事の概要
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.