製品ドキュメント
Citrix Endpoint Management™
PDFを表示

資格情報プロバイダー

April 16, 2026
寄稿者: 
C C

資格情報プロバイダーは、Citrix Endpoint Managementシステムのさまざまな部分で使用する実際の証明書構成です。資格情報プロバイダーは、証明書のソース、パラメーター、およびライフサイクルを定義します。これらの操作は、証明書がデバイス構成の一部であるか、スタンドアロンであるか(つまり、そのままデバイスにプッシュされるか)にかかわらず実行されます。

デバイス登録は、証明書のライフサイクルを制約します。つまり、Citrix Endpoint Managementは登録前に証明書を発行しませんが、登録の一部として一部の証明書を発行する場合があります。また、1つの登録のコンテキスト内で内部PKIから発行された証明書は、登録が取り消されると失効します。管理関係が終了した後、有効な証明書は残りません。

  • 1つの資格情報プロバイダー構成を多くの場所で使用でき、1つの構成で任意の数の証明書を同時に管理できます。その場合、統一は展開リソースと展開にあります。たとえば、資格情報プロバイダーPが構成Cの一部としてデバイスDに展開される場合、Pの発行設定によってDに展開される証明書が決定されます。同様に、Cが更新されるとDの更新設定が適用されます。また、Cが削除されるかDが取り消されると、Dの失効設定も適用されます。

  • これらの規則に従い、Citrix Endpoint Managementの資格情報プロバイダー構成は以下を決定します。

  • 証明書のソース
  • 証明書を取得する方法: 新しい証明書への署名、または既存の証明書とキーペアのフェッチ(回復)
  • 発行または回復のパラメーター: たとえば、キーサイズ、キーアルゴリズム、証明書拡張などの証明書署名要求(CSR)パラメーター
  • 証明書がデバイスに配信される方法
  • 失効条件: 管理関係が切断されるとCitrix Endpoint Management内のすべての証明書が失効しますが、構成でより早い失効を指定する場合があります。たとえば、関連するデバイス構成が削除されたときに証明書を失効させるように構成で指定できます。また、特定の条件下では、Citrix Endpoint Management内の関連する証明書の失効がバックエンドの公開鍵インフラストラクチャ(PKI)に送信される場合があります。つまり、Citrix Endpoint Managementでの証明書の失効がPKIでの証明書の失効を引き起こす可能性
  • 更新設定: 特定の資格情報プロバイダーを通じて取得された証明書は、有効期限が近づくと自動的に更新できます。または、その状況とは別に、有効期限が近づいたときに通知を発行

構成オプションの可用性は、主に資格情報プロバイダーに選択するPKIエンティティのタイプと発行方法によって異なります。

証明書の発行方法

  • 発行方法として知られる証明書は、署名によって取得できます。

この方法では、発行には新しい秘密鍵の作成、CSRの作成、および署名のためにCSRを認証局(CA)に提出することが含まれます。Citrix Endpoint Managementは、MS証明書サービスエンティティと裁量CAエンティティの両方で署名方法をサポートしています。

資格情報プロバイダーは、署名による発行方法を使用します。

証明書の配信

Citrix Endpoint Managementでは、集中型と分散型の2つの証明書配信モードが利用可能です。分散モードはSimple Certificate Enrollment Protocol(SCEP)を使用し、クライアントがプロトコルをサポートしている状況(iOSのみ)でのみ利用できます。分散モードは、一部の状況で必須です。

資格情報プロバイダーが分散型(SCEPアシスト)配信をサポートするには、特別な構成手順が必要です: 登録機関(RA)証明書の設定です。RA証明書は必須です。なぜなら、SCEPプロトコルを使用する場合、Citrix Endpoint Managementは実際の認証局に対するデリゲート(レジストラ)のように機能するからです。Citrix Endpoint Managementは、そのように機能する権限があることをクライアントに証明する必要があります。その権限は、前述の証明書をCitrix Endpoint Managementにアップロードすることによって確立されます。

2つの異なる証明書ロールが必要です(ただし、単一の証明書で両方の要件を満たすことができます): RA署名とRA暗号化です。これらのロールの制約は次のとおりです。

  • RA署名証明書には、X.509キー使用法デジタル署名が必要

  • RA暗号化証明書には、X.509キー使用法キー暗号化が必要

  • 資格情報プロバイダーのRA証明書を構成するには、証明書をCitrix Endpoint Managementにアップロードし、資格情報プロバイダーでそれらにリンクします。

資格情報プロバイダーは、証明書ロール用に構成された証明書がある場合にのみ、分散配信をサポートすると見なされます。各資格情報プロバイダーを、集中モードを優先するか、分散モードを優先するか、または分散モードを必須とするように構成できます。実際の結果はコンテキストによって異なります。コンテキストが分散モードをサポートしていないが、資格情報プロバイダーがこのモードを要求する場合、展開は失敗します。同様に、コンテキストが分散モードを要求するが、資格情報プロバイダーが分散モードをサポートしていない場合、展開は失敗します。その他のすべての場合、優先設定が尊重されます。

次の表は、Citrix Endpoint Management全体でのSCEPの配布を示しています。

| コンテキスト | SCEPサポート | SCEP必須 | | — | – | – |

  • iOSプロファイルサービス はい はい
    • iOSモバイルデバイス管理登録 はい いいえ
      iOS構成プロファイル はい いいえ
      SHTP登録 いいえ いいえ
      SHTP構成 いいえ いいえ
      Windowsタブレット登録 いいえ いいえ
    • Windowsタブレット構成 いいえ(Windows 10およびWindows 11リリースでサポートされているネットワークデバイスポリシーを除く) いいえ

証明書の失効

-  失効には3つのタイプがあります。

-  **内部失効:** 内部失効は、Citrix Endpoint Managementによって維持される証明書ステータスに影響します。Citrix Endpoint Managementは、提示された証明書を評価する際、または証明書のOCSPステータス情報を提供する際に、このステータスを考慮します。資格情報プロバイダー構成は、さまざまな条件下でこのステータスがどのように影響されるかを決定します。たとえば、資格情報プロバイダーは、証明書がデバイスから削除されたときに、証明書を失効済みとしてフラグ付けするように指定できます。
-  **外部伝播失効:** Citrix Endpoint Management失効とも呼ばれるこのタイプの失効は、外部PKIから取得された証明書に適用されます。資格情報プロバイダー構成で定義された条件下で、Citrix Endpoint Managementが内部的に証明書を失効させると、PKI上で証明書が失効します。
-  **外部誘発失効:** PKI失効とも呼ばれるこのタイプの失効も、外部PKIから取得された証明書にのみ適用されます。Citrix Endpoint Managementが特定の証明書ステータスを評価するたびに、Citrix Endpoint ManagementはそのステータスについてPKIにクエリを実行します。証明書が失効している場合、Citrix Endpoint Managementは内部的に証明書を失効させます。このメカニズムはOCSPプロトコルを使用します。

-  これら3つのタイプは排他的ではなく、むしろ組み合わせて適用されます。外部失効または独立した発見が内部失効を引き起こす可能性があります。内部失効は、外部失効に影響を与える可能性があります。

証明書の更新

証明書の更新は、既存の証明書の失効と別の証明書の発行の組み合わせです。

    -  Citrix Endpoint Management は、証明書の発行が失敗した場合のサービス中断を避けるため、以前の証明書を失効させる前に新しい証明書を取得しようとします。分散型 (SCEP対応) の配信の場合、失効は証明書がデバイスに正常にインストールされた後にのみ行われます。それ以外の場合、失効は新しい証明書がデバイスに送信される前に行われます。その失効は、証明書のインストールが成功したか失敗したかに関わらず行われます。

    -  失効設定では、特定の期間 (日数) を指定する必要があります。デバイスが接続すると、サーバーは証明書の `NotAfter` 日付が、現在の日付から指定された期間を差し引いた日付よりも後であるかどうかを確認します。証明書がその条件を満たしている場合、Citrix Endpoint Management は証明書の更新を試みます。

    -  ## 資格情報プロバイダーの作成

    -  資格情報プロバイダーの構成は、主に、資格情報プロバイダーに選択する発行エンティティと発行方法によって異なります。内部エンティティまたは外部エンティティを使用する資格情報プロバイダーを区別できます。

-  Citrix Endpoint Management の内部にある裁量エンティティは、内部エンティティです。裁量エンティティの発行方法は常に署名です。署名とは、発行操作ごとに、Citrix Endpoint Management がエンティティに選択された CA 証明書で新しいキーペアに署名することを意味します。キーペアがデバイスで生成されるかサーバーで生成されるかは、選択する配布方法によって異なります。

    -  企業のインフラストラクチャの一部である外部エンティティには、Microsoft CA が含まれます。

    -  1.  Citrix Endpoint Management コンソールで、右上隅にある歯車アイコンをクリックし、**[設定] > [資格情報プロバイダー]** をクリックします。

    -  1.  **[資格情報プロバイダー]** ページで、**[追加]** をクリックします。

    -  **[資格情報プロバイダー: 一般情報]** ページが表示されます。

  1. [資格情報プロバイダー: 一般情報] ページで、次の操作を行います。

    -  **名前:** 新しいプロバイダー構成の一意の名前を入力します。この名前は、後で Citrix Endpoint Management コンソールの他の部分で構成を識別するために使用されます。
-  **説明:** 資格情報プロバイダーについて説明します。このフィールドはオプションですが、説明は資格情報プロバイダーに関する有用な詳細を提供できます。
-  **発行エンティティ:** 証明書発行エンティティをクリックします。 -  **発行方法:** 構成されたエンティティからシステムが証明書を取得するために使用する方法として、**[署名]** または **[取得]** をクリックします。クライアント証明書認証の場合は、**[署名]** を使用します。 -  **[テンプレート]** リストが利用可能な場合は、資格情報プロバイダーの PKI エンティティの下に追加したテンプレートを選択します。

これらのテンプレートは、**[設定] > [PKI エンティティ]** で Microsoft Certificate Services エンティティが追加されると利用可能になります。
      1. [次へ] をクリックします。

    • [資格情報プロバイダー: 証明書署名要求] ページが表示されます。

        1. [資格情報プロバイダー: 証明書署名要求] ページで、証明書構成に従って以下を構成します。

    • キーアルゴリズム: 新しいキーペアのキーアルゴリズムを選択します。使用可能な値は、RSADSA、および ECDSA です。

      • キーサイズ: キーペアのサイズをビット単位で入力します。このフィールドは必須です。

      許容される値は、キーの種類によって異なります。たとえば、DSA キーの最大サイズは 2048 ビットです。基になるハードウェアとソフトウェアに依存する誤検出を避けるため、Citrix Endpoint Management はキーサイズを強制しません。本番環境でアクティブ化する前に、必ずテスト環境で資格情報プロバイダーの構成をテストしてください。

      • 署名アルゴリズム: 新しい証明書の値をクリックします。値はキーアルゴリズムによって異なります。

      • サブジェクト名: 必須。新しい証明書サブジェクトの識別名 (DN) を入力します。例: CN=${user.username}, OU=${user.department}, O=${user.companyname},C=${user.c}\endquotation

    • たとえば、クライアント証明書認証の場合は、次の設定を使用します。

      • キーアルゴリズム: RSA
      • キーサイズ: 2048
      • 署名アルゴリズム: SHA256withRSA
      • サブジェクト名: cn=$user.username

    • [サブジェクトの別名] テーブルにエントリを追加するには、[追加] をクリックします。別名の種類を選択し、2 列目に値を入力します。

      クライアント証明書認証の場合は、以下を指定します。

      • 種類: ユーザープリンシパル名

      • 値: $user.userprincipalname

        サブジェクト名と同様に、値フィールドで Citrix Endpoint Management マクロを使用できます。

  2. [次へ] をクリックします。

    [資格情報プロバイダー: 配布] ページが表示されます。

  3. [資格情報プロバイダー: 配布] ページで、次の操作を行います。

    • [発行 CA 証明書] リストで、提示された CA 証明書をクリックします。資格情報プロバイダーは裁量 CA エンティティを使用するため、資格情報プロバイダーの CA 証明書は常にエンティティ自体で構成された CA 証明書です。CA 証明書は、外部エンティティを使用する構成との整合性のためにここに表示されます。
    • [配布モードの選択] で、キーを生成および配布する次のいずれかの方法をクリックします。
      • 集中型を優先: サーバー側キー生成: Citrix はこの集中型オプションを推奨しています。Citrix Endpoint Management でサポートされているすべてのプラットフォームをサポートし、NetScaler Gateway 認証を使用する場合に必要です。秘密キーはサーバーで生成および保存され、ユーザーデバイスに配布されます。
      • 分散型を優先: デバイス側キー生成: 秘密キーはユーザーデバイスで生成および保存されます。この分散モードでは SCEP を使用し、keyUsage keyEncryption を持つ RA 暗号化証明書と、KeyUsage digitalSignature を持つ RA 署名証明書が必要です。同じ証明書を暗号化と署名の両方に使用できます。
      • 分散型のみ: デバイス側キー生成: このオプションは、「分散型を優先: デバイス側キー生成」と同じように機能しますが、「優先」ではなく「のみ」であるため、デバイス側キー生成が失敗した場合や利用できない場合はオプションが利用できません。

    分散優先: デバイス側キー生成」または「分散のみ: デバイス側キー生成」を選択した場合は、RA署名証明書とRA暗号化証明書をクリックします。両方に同じ証明書を使用できます。これらの証明書に新しいフィールドが表示されます。

  4. 次へをクリックします。

    資格情報プロバイダー: 失効 Citrix Endpoint Managementページが表示されます。このページでは、Citrix Endpoint Managementがこのプロバイダー構成を通じて発行された証明書を内部的に失効済みとしてフラグ付けする条件を構成します。

  5. 資格情報プロバイダー: 失効 Citrix Endpoint Managementページで、次の操作を行います。

    • 発行済み証明書の失効で、証明書を失効するタイミングを示すオプションのいずれかを選択します。

    • 証明書が失効したときにCitrix Endpoint Managementに通知を送信させるには: 通知の送信の値をオンに設定し、通知テンプレートを選択します。

    • Citrix Endpoint Managementから証明書が失効したときにPKIで証明書を失効させるには: PKIで証明書を失効オンに設定し、エンティティリストでテンプレートをクリックします。エンティティリストには、失効機能を持つすべての利用可能なエンティティが表示されます。Citrix Endpoint Managementから証明書が失効すると、エンティティリストから選択されたPKIに失効呼び出しが送信されます。

  6. 次へをクリックします。

    資格情報プロバイダー: 失効 PKIページが表示されます。このページでは、証明書が失効した場合にPKIで実行するアクションを特定します。通知メッセージを作成するオプションもあります。

  7. 資格情報プロバイダー: 失効 PKIページで、PKIから証明書を失効させる場合は、次の操作を行います。

    • 外部失効チェックを有効にするの設定をオンに変更します。失効PKIに関連する追加のフィールドが表示されます。

    • OCSPレスポンダーCA証明書リストで、証明書のサブジェクトの識別名 (DN) をクリックします。

      DNフィールドの値には、Citrix Endpoint Managementマクロを使用できます。例: CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation

    • 証明書が失効した場合リストで、証明書が失効したときにPKIエンティティで実行する次のいずれかのアクションをクリックします。

      • 何もしない
      • 証明書を更新する
      • デバイスを失効させてワイプする

    • 証明書が失効したときにCitrix Endpoint Managementに通知を送信させるには: 通知の送信の値をオンに設定します。

      2つの通知オプションから選択できます。

    • 通知テンプレートの選択を選択した場合、事前に作成された通知メッセージを選択し、カスタマイズできます。これらのテンプレートは、通知テンプレートリストにあります。
    • 通知の詳細を入力を選択した場合、独自の通知メッセージを作成できます。受信者のメールアドレスとメッセージを提供するだけでなく、通知の送信頻度を設定できます。

  8. 次へをクリックします。

    資格情報プロバイダー: 更新ページが表示されます。このページでは、Citrix Endpoint Managementで次の操作を行うように構成できます。

    • 証明書を更新する。オプションで、更新時に通知を送信したり、すでに期限切れの証明書を操作から除外したりできます。
    • 期限切れが近い証明書に通知を発行する(更新前の通知)。

  9. 資格情報プロバイダー: 更新ページで、証明書の期限が切れたときに更新する場合は、次の操作を行います。

    期限切れの証明書を更新オンに設定します。追加のフィールドが表示されます。

    • 証明書の更新期限が近づいた場合フィールドで、証明書の期限切れの何日前に更新するかを入力します。
    • オプションで、すでに期限切れの証明書は更新しないを選択します。この場合、「すでに期限切れ」とは、NotAfterの日付が過去のものであり、失効したわけではないことを意味します。Citrix Endpoint Managementは、内部的に失効した証明書を更新しません。

    証明書が更新されたときにCitrix Endpoint Managementに通知を送信させるには: 通知の送信オンに設定します。証明書の期限切れが近づいたときにCitrix Endpoint Managementに通知を送信させるには: 証明書の期限切れが近づいたときに通知オンに設定します。 いずれかの選択肢について、2つの通知オプションから選択できます。

    • 通知テンプレートの選択: 事前に作成された通知メッセージを選択し、カスタマイズできます。これらのテンプレートは、通知テンプレートリストにあります。
    • 通知の詳細を入力: 独自の通知メッセージを作成します。受信者のメールアドレス、メッセージ、および通知の送信頻度を指定します。

    証明書の通知期限が近づいた場合フィールドで、証明書の期限切れの何日前に通知を送信するかを入力します。

  10. 保存をクリックします。

    資格情報プロバイダーが資格情報プロバイダーテーブルに表示されます。

資格情報プロバイダー
April 16, 2026
寄稿者: 
C C
April 16, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.