Citrix Endpoint Management

PKIエンティティ

Endpoint ManagementのPKI(Public Key Infrastructure:公開キー基盤)エンティティ構成とは、実際のPKI処理(発行、失効、状態情報)を実行するコンポーネントのことです。これらのコンポーネントには、Endpoint Management内部のものと外部のものがあります。内部コンポーネントは、任意として参照されます。外部コンポーネントは企業インフラストラクチャの一部です。

Endpoint Managementは、次の種類のPKIエンティティをサポートします:

  • 汎用PKIs(GPKIs)

    Endpoint Management汎用PKIのサポート対象には、DigiCert Managed PKIが含まれます。

  • Microsoft証明書サービス

  • 任意CA(Certificate Authority:証明機関)

Endpoint Managementでは、以下のCAサーバーがサポートされます:

  • Windows Server 2008 R2
  • Windows Server 2012
  • Windows Server 2012 R2
  • Windows Server 2016
  • Windows Server 2019

共通のPKI概念

種類に関係なく、すべてのPKIエンティティには以下の機能のサブセットがあります。

  • 署名: 証明書署名要求(CSR)に基づく新しい証明書の発行
  • フェッチ: 既存の証明書とキーペアの回収
  • 失効: クライアント証明書の失効

CA証明書

PKIエンティティの構成時には、そのエンティティにより発行される(またはそのエンティティから回収される)証明書の署名者であるCA証明書をEndpoint Managementに指定します。そのPKIエンティティから、複数の異なるCAが署名した、(フェッチされたか、または新たに署名された)証明書が返されることがあります。

これらの証明機関それぞれの証明書を、PKIエンティティ構成の一部として提供します。これを行うには、証明書をEndpoint Managementにアップロードして、PKIエンティティでそれらを参照します。任意CAの場合、証明書は暗黙的に署名CA証明書です。外部エンティティの場合は、証明書を手動で指定する必要があります。

重要:

Microsoft証明書サービスのエンティティテンプレートを作成する場合は、登録済みデバイスの認証に関する問題を避けるため、テンプレート名に特殊文字を使用しないでください。たとえば、以下は使用しないでください: ! : $ ( ) # % + * ~ ? | { } [ ]

汎用PKI

汎用PKI(Generic PKI:GPKI)プロトコルは、SOAP Webサービスレイヤーで実行される、独自のEndpoint Managementプロトコルです。汎用PKIプロトコルは、さまざまなPKIソリューションに統一されたインターフェイスを提供します。GPKIプロトコルは、以下の基本PKI処理を定義します:

  • 署名: アダプターはCSRを取得し、それらの要求をPKIに送信して、新しい署名入り証明書を返すことができます。
  • フェッチ: アダプターは既存の証明書とキーペア(入力パラメーターによる)をPKIから取得できます。
  • 失効: アダプターはPKIで特定の証明書を失効させることができます。

GPKIプロトコルの受信側はGPKIアダプターです。GPKIアダプターによって、基本処理がそのアダプターが作成された特定の種類のPKIに変換されます。たとえば、RSAやEntrust用のGPKIアダプターがあります。

GPKIアダプターは、SOAP Webサービスのエンドポイントとして、自己記述型のWeb Services Description Language(WSDL)定義を公開します。GPKI PKIエンティティを作成することは、URLを通じてまたはファイルそのものをアップロードし、Endpoint ManagementにそのWSDL定義を提供することを意味します。

アダプターでの各PKI操作のサポートはオプションです。アダプターが特定の処理をサポートする場合、アダプターには対応する機能(署名、フェッチ、失効)があると見なされます。これらの各機能は一連のユーザーパラメーターに関連付けられている場合があります。

ユーザーパラメーターは、特定の処理についてGPKIアダプターで定義されるパラメーターです。Endpoint Managementにユーザーパラメーターの値を提供します。アダプターが実行する処理と各処理に必要なパラメーターは、Endpoint ManagementによりWSDLファイルを解析して決定されます。必要に応じて、SSLクライアント認証でEndpoint ManagementとGPKIアダプターの間の接続を保護できます。

汎用PKIを追加するには

  1. Endpoint Managementコンソールで、[設定]>[PKIエンティティ]の順にクリックします。

  2. [PKIエンティティ] ページで、[追加] をクリックします。

    PKIエンティティタイプのメニューが表示されます。

    PKIエンティティ構成画面

  3. [汎用PIKエンティティ] をクリックします。

    [汎用PKIエンティティ: 一般情報]ページが開きます。

    PKIエンティティ構成画面

  4. [汎用PKIエンティティ: 一般情報] ページで、以下を行います。

    • 名前: PKIエンティティの説明的な名前を入力します。
    • WSDL URL: アダプターについて記述しているWSDLの場所を入力します。
    • 認証の種類: 使用する認証方法を選択します。
      • なし
      • HTTP基本: アダプターへの接続に必要なユーザー名とパスワードを指定します。
      • クライアント証明書: 適切なSSLクライアント証明書を選択します。
  5. [次へ] をクリックします。

    [汎用PKIエンティティ: アダプターの機能]ページが開きます。

  6. [汎用PKIエンティティ:アダプターの機能] ページで、アダプターに関連付けられた機能とパラメーターを確認して、[次へ] をクリックします。

    [汎用PKIエンティティ:CA証明書の発行] ページが表示されます。

  7. [汎用PKIエンティティ: CA証明書の発行]ページで、エンティティで使用する証明書を選択します。

    エンティティからは、異なるCAによって署名された証明書が返される場合がありますが、特定の証明書プロバイダーから取得される証明書の署名は、すべて同じCAによって行われる必要があります。したがって、資格情報プロバイダー 設定を構成するときに、[ディストリビューション] ページで、ここで構成したいずれかの証明書を選択してください。

  8. [保存] をクリックします。

    [PKIエンティティ]の表にエンティティが表示されます。

DigiCertマネージドPKI

Endpoint Managementの汎用PKIサポート対象には、DigiCert Managed PKI(別名MPKI)が含まれています。このセクションでは、DigiCert Managed PKI用にWindows ServerとEndpoint Managementをセットアップする方法について説明します。

前提条件

  • DigiCertマネージドPKIインフラへのアクセス
  • この記事で説明した、次のコンポーネントがインストールされたWindows Server 2012 R2サーバー:
    • Java
    • Apache Tomcat
    • Symantec PKI Client
    • Portecle
  • Endpoint Managementダウンロードサイトへのアクセス

Windows ServerへのJavaのインストール

JavaのWebサイトから64ビットWindows用Javaをダウンロードして、アプリケーションをインストールします。[セキュリティの警告] ダイアログボックスで、[実行] をクリックします。

Windows ServerにApache Tomcatをインストールする

最新のApache Tomcat(32ビットまたは64ビットバージョン)のWindowsサービスインストーラーをhttps://tomcat.apache.org/からダウンロードして、インストールします。[セキュリティの警告] ダイアログボックスで、[実行] をクリックします。次の例を参考にして、Apache Tomcatのセットアップを完了します。

Apache Tomcatの設定画面

Apache Tomcatの設定画面

Apache Tomcatの設定画面

Apache Tomcatの設定画面

Apache Tomcatの設定画面

次に[Windowsサービス]に移動して、[スタートアップの種類][手動] から [自動] に変更します。

Windowsサービス構成画面

Windowsサービス構成画面

Windows ServerへのDigiCert PKIクライアントのインストール

PKI Managerコンソールからインストーラーをダウンロードします。このコンソールにアクセスできない場合は、DigiCertのサポートページ(DigiCert PKIクライアントのダウンロード方法)からインストーラーをダウンロードします。圧縮解除してインストーラーを実行します。

DigiCert PKI Clientのインストール

DigiCert PKI Clientのインストール

[セキュリティの警告] ダイアログボックスで、[実行] をクリックしてください。インストーラーに従ってセットアップを完了します。インストーラーが完了すると、再起動するように求められます。

Windows ServerにPortecleをインストールする

https://sourceforge.net/projects/portecleinstall/files/からインストーラーをダウンロードし、圧縮解除してインストーラーを実行します。

DigiCertマネージドPKIの登録機関(RA)証明書を生成する

クライアント証明書認証用のキーストアは、RA.jksという名前の登録機関(RA)証明書に含まれています。次の手順では、Portecleを使用してその証明書を生成する方法について説明します。Java CLIを使用してRA証明書を生成することもできます。

また、RAとパブリック証明書をアップロードする方法についても説明します。

  1. Portecleで [Tools]の[Generate Key Pair] に移動し、必要な情報を入力してキーペアを生成します。

    Portecle構成画面

  2. キーペアを右クリックし、[Generate Certification Request] を選択します。

    Portecle構成画面

  3. CSRをコピーします。

  4. Symantec PKI ManagerでRA証明書を生成する:[Settings][Get a RA Certificate] の順にクリックし、CSRを貼り付け、[Continue] をクリックします。

    Symantec PKI Manager構成画面

  5. [Download] をクリックして、生成されたRA証明書をダウンロードします。

    Symantec PKI Manager構成画面

  6. PortecleでRA証明書をインポートする:キーペアを右クリックし、[Import CA Reply] を選択します。

    Portecle構成画面

  7. Symantec PKI Managerの場合:[Resources]、[Web Services] の順に移動し、CA証明書をダウンロードします。

    Symantec PKI Manager構成画面

  8. PortecleでRA中間証明書およびルート証明書をキーストアにインポートする:[Tools]、[Import Trusted Certificates] の順に移動します。

    Portecle構成画面

  9. CAのインポート後、キーストアをRA.jksという名前でWindowsサーバーのC:\Symantecフォルダーに保存します。

    Portecle構成画面

Windows ServerでSymantec PKIアダプターを構成する

  1. Windows Serverに管理者としてログオンします。

  2. 前のセクションで生成したRA.jksファイルをアップロードします。また、Symantec MPKIサーバーのパブリック証明書(cacerts.jks)もアップロードします。

  3. Symantec PKI Adapterファイルをダウンロードします:

    1. https://www.citrix.com/downloadsに移動します。
    2. Citrix Endpoint Management(およびCitrix XenMobile Server)> XenMobile Server(オンプレミス)> Product Software > XenMobile Server 10 > Tools の順に移動します。
    3. [Symantec PKI Adapter] タイルで [Download File] をクリックします。
    4. ファイルを解凍し、これらのファイルをWindows ServerのCドライブにコピーします。
      • custom_gpki_adapter.properties
      • Symantec.war
  4. custom_gpki_adapter.propertiesをメモ帳で開き、次の値を編集します。

    Gpki.CaSvc.Url=https://<managed PKI URL>
    
    # keystore for client-cert auth
    
    keyStore=C:\Symantec\RA.jks
    
    # truststore for server with self-signed root CA
    
    trustStore=C:\Symantec\cacerts.jks
    <!--NeedCopy-->
    
  5. Symantec.warを<tomcat dir>\webappsフォルダーにコピーし、Tomcatを起動します。

  6. アプリケーションが展開されたことを確認する:Webブラウザーを開き、https://localhost/Symantecに移動します。(証明書のエラーが発生した場合は、HTTPに変更して接続してください)

  7. <tomcat dir>\webapps\Symantec\WEB-INF\classesフォルダーに移動し、gpki_adapter.propertiesを編集します。次に示すように、CustomPropertiesプロパティがC:\Symantecフォルダーのcustom_gpki_adapterファイルを指すように変更します:

    CustomProperties=C:\\Symantec\\custom_gpki_adapter.properties

  8. Tomcatを再起動し、https://localhost/Symantecに移動して、エンドポイントのアドレスをコピーします。次のセクションで、PKIアダプターを構成するときにこのアドレスを貼り付けます。

    Symantec PKI構成画面

Endpoint ManagementをDigiCert Managed PKI用に構成する

以下のEndpoint Managementの構成は、Windows Serverのセットアップを完了してから実行してください。

Symantec CA証明書をインポートしてPKIエンティティを構成するには

  1. Endpoint Managementコンソールで [設定]>[証明書] の順に選択し、[インポート]をクリックして、エンドユーザー証明書の発行元となるSymantec CA証明書をインポートします。

    証明書構成画面

  2. 次の手順を実行して、PKIエンティティを追加および構成します:[設定] >[PKIエンティティ] の順に選択し、[追加] をクリックして、[汎用PKIエンティティ] を選択します。[WSDL URL] に、前のセクションでPKIアダプターを構成するときにコピーしたエンドポイントアドレスを貼り付けます。次に、以下に示すように?wsdlを追加します。

    PKIエンティティ構成画面

  3. [次へ] をクリックします。指定したWSDLからパラメーター名が入力されます。

    PKIエンティティ構成画面

  4. [次へ] をクリックし、適切なCA証明書を選択して、[保存] をクリックします。

    PKIエンティティ構成画面

  5. [設定]>[PKIエンティティ] ページで、追加したPKIエンティティの [状態][有効] であることを確認します。

    PKIエンティティ構成画面

DigiCertマネージドPKIの資格情報プロバイダーを作成するには

  1. Symantec PKI Managerコンソールで、証明書テンプレートから 証明書プロファイルのOID をコピーします。

    Symantec PKI Manager構成画面

  2. Endpoint Managementコンソールで、[設定]>[資格情報プロバイダー]の順に選択して [追加] をクリックし、次のように設定を構成します。

    • 名前: 新しいプロバイダー構成の一意の名前を入力します。この名前は、Endpoint Managementコンソールのほかの部分でこの構成を参照するために使用されます。

    • 説明: 資格情報プロバイダーの説明です。このフィールドはオプションですが、この資格情報プロバイダーの詳細が必要なときに説明が役立ちます。

    • 発行エンティティ: 証明書発行エンティティを選択します。

    • 発行方式: 構成されたエンティティから証明書を取得するために使用する方法として [署名] を選択します。

    • certParams: 以下の値を追加します:commonName=${user.mail},otherNameUPN=${user.userprincipalname},mail=${user.mail}

    • certificateProfileid: 手順1でコピーした証明書プロファイルのOIDを貼り付けます。

    資格情報プロバイダー構成画面

  3. [次へ] をクリックします。残りの各ページ(書き換えによる証明書の署名要求)では、デフォルトの設定を適用します。完了したら、[保存]をクリックします。

構成をテストおよびトラブルシューティングするには

  1. 次の手順を実行し、資格情報デバイスポリシーを作成します:[構成]>[デバイス ポリシー] の順に選択し、[追加] をクリックして、「資格情報」 と入力してから [資格情報] をクリックします。

  2. ポリシー名を指定します。

  3. プラットフォームの設定を、次のように構成します。

    • 資格情報の種類: [資格情報プロバイダー] を選択します。

    • 資格情報プロバイダー: Symantecプロバイダーを選択します。

    資格情報プロバイダー構成画面

  4. プラットフォームの設定が完了したら、引き続き [割り当て] ページに移動し、デリバリーグループにポリシーを割り当てて、[保存] をクリックします。

  5. ポリシーがデバイスに展開されたことを確認するには、[管理]>[デバイス] の順に選択し、該当するデバイスを選択して、[編集][割り当て済みポリシー] の順にクリックします。次の例は、ポリシーの展開が正常に行われたことを示しています。

    デバイス構成の管理画面

    ポリシーが展開されていない場合は、Windows Serverにログオンして、WSDLが適切にロードされているかどうかを確認します。

    Windowsサーバー画面

トラブルシューティングの詳細については、<tomcat dir>\logs\catalina.<current date>でTomcatのログを確認してください。

Entrust PKIアダプター

DigiCertマネージドPKIの代わりに、Entrust PKIアダプターをインストールできます。アダプターをインストールする前に、この記事の「DigiCertマネージドPKI」セクションでWindows ServerにJavaとApache Tomcatをインストールする手順を参照してください。

Citrix Cloud Connectorがインストールされていることも確認してください。Cloud Connectorについて詳しくは、「Citrix Cloud Connector」を参照してください。

Entrust PKIアダプターのインストール

  1. Entrust PKI Adapterファイルをダウンロードします:
    1. https://www.citrix.com/downloadsに移動します。
    2. Citrix Endpoint Management(およびCitrix XenMobile Server)>XenMobile Server(オンプレミス)>Product Software>XenMobile Server 10>Toolsの順に移動します。
    3. [Entrust PKI Adapter] タイルで [Download File] をクリックします。
    4. ダウンロードした.zipファイルからentrust.warファイルを抽出して、ProgramFiles (x86)\Apache Software Foundation\Tomcat 8.5\webappsディレクトリに置きます。
  2. C:\Program Files (x86)\Apache Software Foundation\Tomcat 8.5\webapps\Entrust\WEB-INF\classesで、entrust_adapter.propertiesを編集し、CustomPropertiesを「c:\\zenprise\\custom_entrust_adapter.properties」に設定します。 デバイス構成の管理画面
  3. C:ドライブに次のディレクトリとファイル名を作成します:zenprise/custom_entrust_adapter.properties
  4. 以下の内容でファイルを編集します。Entrust.MdmSvc.URL、AdminUserId、およびAdminPasswordは適切に置き換えてください。

    # set the following to the proper URL for AS/IG
    Entrust.MdmSvc.Url=https://pki.yourcorp.com:19443/mdmws/services/AdminServiceV8
    
    # set to 1 or true to force user creation from passed user and group parameters if using IG and user does not exist
    CreateUser =
    
    # set the credentials for the endpoint
    AdminUserId=[ユーザーID]
    AdminPassword=[パスワード]
    
    
    # keystore for client-cert auth
    #keyStore=
    #keyStorePassword=
    #keyStoreType: JKS, JCEKS and PKCS12  -- not needed for .p12 and .jks files
    
    # truststore for server with self-signed root CA
    #trustStore=
    #trustStorePassword=
    #trustStoreType: JKS, JCEKS and PKCS12  -- not needed for .p12 and .jks files
    <!--NeedCopy-->
    
  5. Tomcatサービスを再起動します。C:\Program Files (x86)\Apache Software Foundation\Tomcat 8.5\logsに移動し、Catalina_201x-MM-DD.logを開きます。エラーがなく、次の行が表示されていることを確認します: 13-Nov-2018 09:02:35.319 INFO [localhost-startStop-1] org.apache.cxf.endpoint.ServerImpl.initDestination Setting the server's publish address to be /EntrustGpkiAdapter
  6. http://localhost:8080/Entrust/EntrustGpkiAdapter?wsdlまたはサーバーのパブリックURLに移動し、正しいXMLが表示されていることを確認します。 デバイス構成の管理画面

Entrust PKIアダプターに対するEndpoint Managementの構成

  1. Endpoint Managementコンソールにログインし、[設定]>[PKIエンティティ] に移動します。[追加]>[汎用PIKエンティティ] の順にクリックします。
  2. 次の情報を入力します:
    • 名前: PKIエンティティの名前を入力します。
    • WSDL URL: Citrix Cloud Connectorを使用している場合は、http://localhost:8080/Entrust/EntrustGpkiAdapter?wsdlを入力します。Citrix Cloud Connectorを使用していない場合は、サーバーのパブリックURLを入力します。
    • 認証の種類: 使用する認証方法を選択します。
      • なし
      • HTTP基本: 接続に必要なユーザー名とパスワードを指定します。
      • クライアント証明書: 適切なSSLクライアント証明書を選択します。
    • Cloud Connectorを使用します: Citrix Cloud Connectorを使用しているかどうかに応じて、 [オン] または [オフ] にします。
    • リソースの場所: [マイリソースの場所] を選択します。
    • 許可する相対パス: /Entrust/*を入力します。
  3. PKIエンティティの構成が終了したら、[設定] ページに戻り、[資格情報プロバイダー] を追加します。
  4. [全般] タブで、 [発行エンティティ] としてEntrustエンティティ、[発行方式] として [SIGN] を選択します。
  5. [証明書署名要求] タブで、次のように設定を構成します:
    • キーアルゴリズム: RSA
    • キーサイズ: 2048
    • 署名アルゴリズム: SHA256withRSA
    • サブジェクト名: cd=$user.username
    • サブジェクトの別名: オプションです。以下をお勧めします:
      • 種類: ユーザープリンシパル名
      • 値: $user.userprincipalname

    注:

    アダプターの設定を変更した場合は、この手順に従って資格情報プロバイダーを再構成します。

  6. 資格情報プロバイダーの構成が完了したら、[構成]>[デバイスポリシー] に移動し、資格情報ポリシーを追加します。
  7. 使用予定のオペレーティングシステムのポリシーを構成します。各OS構成ページで、 [資格情報の種類]に対して [資格情報プロバイダー] を選択します。[資格情報プロバイダー] メニューで、事前に構成した資格情報プロバイダーを選択します。

Microsoft証明書サービス

Endpoint Managementは、Web登録インターフェイスを通じてMicrosoft証明書サービスと連携します。Endpoint Managementは、このインターフェイスを使用した新しい証明書の発行(GPKI署名機能と同等の機能)のみをサポートします。Microsoft CAがCitrix Gatewayユーザー証明書を生成する場合、Citrix Gatewayはこれらの証明書の更新と失効をサポートします。

Endpoint ManagementでMicrosoft CA PKIエンティティを作成するには、証明書サービスのWebインターフェイスのベースURLを指定する必要があります。必要に応じて、SSLクライアント認証でEndpoint Managementと証明書サービスのWebインターフェイス間の接続を保護できます。

Microsoft Certificate Servicesエンティティを追加する

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックし、[PKIエンティティ]をクリックします。

  2. [PKIエンティティ] ページで、[追加] をクリックします。

    PKIエンティティタイプのメニューが表示されます。

  3. [Microsoft証明書サービスエンティティ] をクリックします。

    [Microsoft証明書サービスエンティティ: 一般的な情報] ページが開きます。

  4. [Microsoft証明書サービスエンティティ: 一般的な情報] ページで次の設定を構成します。

    • 名前: 新しいエンティティの名前を入力します。この名前は後でそのエンティティを参照するために使用します。エンティティ名は一意の名前にする必要があります。
    • Web登録サービスルートURL: Microsoft CA Web登録サービスのベースURLを入力します。例:https://192.0.0.1/certsrv/。URLには、HTTPまたはHTTP-over-SSLを使用します。
    • certnew.cerページ名: certnew.cerページの名前。何らかの理由で名前を変更した場合を除き、デフォルト名を使用します。
    • certfnsh.asp: certfnsh.aspページの名前。何らかの理由で名前を変更した場合を除き、デフォルト名を使用します。
    • 認証の種類: 使用する認証方法を選択します。
      • なし
      • HTTP基本: 接続に必要なユーザー名とパスワードを指定します。
      • クライアント証明書: 適切なSSLクライアント証明書を選択します。
    • Cloud Connectorを使用します: [オン] を選択してCloud Connectorを使用してPKIサーバーに接続します。次に、[リソースの場所] と接続を [許可する相対パス] を指定します。

      • リソースの場所: Citrix Cloud Connectorで定義されているリソースの場所から選択します。
      • 許可する相対パス: 指定したリソースの場所に対して許可する相対パス。1行に1つのパスを指定します。ワイルドカード文字としてアスタリスク(*)を使用できます。

        リソースの場所がhttps://www.ServiceRoot/certsrvである場合。そのパス内のすべてのURLにアクセスできるようにするには、[許可する相対パス]/*と入力します。

    PKI構成画面

  5. [接続のテスト] をクリックして、サーバーにアクセスできることを確認します。アクセスできない場合は、接続が失敗したことを示すメッセージが表示されます。構成設定を確認してください。

  6. [次へ] をクリックします。

    [Microsoft証明書サービスエンティティ:テンプレート] ページが開きます。このページで、Microsoft CAがサポートするテンプレートの内部名を指定します。資格情報プロバイダーを作成するとき、ここで定義したテンプレートを一覧で選択します。このエンティティを使用するすべての資格情報プロバイダーが、このようなテンプレートを1つだけ使用します。

    Microsoft Certificate Servicesテンプレートの要件については、お使いのMicrosoft ServerバージョンのMicrosoftドキュメントを参照してください。Endpoint Managementには、「証明書」 で説明している証明書形式以外、配布する証明書についての要件はありません。

  7. [Microsoft証明書サービスエンティティ:テンプレート] ページで [追加] をクリックし、テンプレートの名前を入力して、[保存] をクリックします。追加する各テンプレートについて、この手順を繰り返します。

  8. [次へ] をクリックします。

    [Microsoft証明書サービスエンティティ:HTTPパラメーター] ページが開きます。このページで、Microsoft Web登録インターフェイスに対するHTTP要求にEndpoint Managementが追加するカスタムパラメーターを指定します。カスタムパラメーターは、CAで実行されているカスタマイズされたスクリプトでのみ有効です。

  9. [Microsoft証明書サービスエンティティ:HTTPパラメーター] ページで [追加] をクリックし、追加するHTTPパラメーターの名前と値を入力して、[次へ] をクリックします。

    [Microsoft証明書サービスエンティティ:CA証明書] ページが開きます。このページでは、このエンティティを通じてシステムが取得する証明書の署名者をEndpoint Managementに通知する必要があります。CA証明書が更新された場合は、Endpoint Managementの証明書も更新してください。変更内容は、Endpoint Managementからエンティティに透過的に適用されます。

  10. [Microsoft証明書サービスエンティティ:CA証明書] ページで、このエンティティで使用する証明書を選択します。

  11. [保存] をクリックします。

    [PKIエンティティ]の表にエンティティが表示されます。

Citrix Gateway証明書失効一覧(CRL)

Endpoint Managementは、サードパーティ証明機関でのみ証明書失効一覧(CRL)をサポートしています。Microsoft CAを構成済みの場合、Endpoint ManagementはCitrix Gatewayを使用して失効を管理します。

クライアント証明書ベースの認証を構成する場合、[Enable CRL Auto Refresh] でCitrix Gateway証明書失効一覧(CRL)設定を構成するかどうか検討します。この手順を使用すると、MAMのみモードのデバイスのユーザーがデバイス上の既存の証明書を使用して認証できなくなります。

ユーザー証明書は失効後もユーザーが自由に生成できるため、Endpoint Managementは新しい証明書を再発行します。この設定は、CRLが期限切れのPKIエンティティを確認する場合、PKIエンティティのセキュリティを強化します。

任意CA

CA証明書と関連の秘密キーをEndpoint Managementに提供すると、随意CAが作成されます。Endpoint Managementは、管理者が指定したパラメーターに従って、証明書の発行、失効、および状態情報を内部で処理します。

随意CAを構成するときに、そのCAに対してOCSP(Online Certificate Status Protocol)サポートをアクティブにできます。OCSPサポートを有効にした場合、CAは発行する証明書にid-pe-authorityInfoAccess拡張を追加します。この拡張は、次の場所にあるEndpoint Managementの内部OCSPレスポンダーを参照します:

https://<server>/<instance>/ocsp

OCSPサービスを構成するときに、該当の任意エンティティのOCSP署名証明書を指定する必要があります。CA証明書そのものを署名者として使用できます。CA秘密キーの不必要な漏えいを防ぐには(推奨):CA証明書で署名された、委任OCSP署名証明書を作成し、id-kp-OCSPSigning extendedKeyUsage拡張を含めます。

Endpoint Management OCSPレスポンダーサービスは、基本のOCSP応答に加え、要求で以下のハッシュアルゴリズムをサポートします:

  • SHA-256
  • SHA-384
  • SHA-512

応答はSHA-256および署名証明書キーアルゴリズム(DSA、RSAまたはECDSA)で署名されます。

証明機関の証明書を生成してインポートする

  1. サーバーで、Local Systemアカウントを使用してMicrosoft管理コンソール(MMC)を開き、証明書スナップインを開きます。右ペインで右クリックし、[すべてのタスク]>[新しい証明書の要求] をクリックします。

    新しい証明書をリクエストする

  2. 開いたウィザードで、[次へ]を2回クリックします。[証明書の要求] 一覧で、[下位証明機関]を選択し、[詳細情報]リンクをクリックします。

    下位証明機関テンプレート

  3. ウィンドウに、サブジェクト名代替名を入力します。[OK] をクリックします。

    下位証明機関テンプレート

  4. [登録] をクリックしてから [完了] をクリックします。

  5. MMCで、作成した証明書を右クリックします。[すべてのタスク]>[エクスポート] の順にクリックします。証明書を.pfxファイルとして秘密キーと一緒にエクスポートします。[証明のパスにある証明書を可能であればすべて含む] オプションを選択します。

    証明書のオプション

  6. Endpoint Managementコンソールで、[設定]>[証明書] の順に選択します。

    証明書ページ

  7. [インポート] をクリックします。開いたウィンドウで、以前にエクスポートした証明書と秘密キーのファイルを参照します。

    証明書ページ

  8. [インポート] をクリックします。証明書が表に追加されます。

任意CAを追加する

  1. Endpoint Managementコンソールで、右上の歯車アイコンをクリックし、[詳細]>[PKIエンティティ]の順にクリックします。

  2. [PKIエンティティ] ページで、[追加] をクリックします。

    PKI(公開キー基盤)エンティティタイプ

  3. [随意CA] をクリックします。

    PKI一般情報ページ

  4. [随意CA:一般情報] ページで、以下を行います:

    • 名前: 随意CAの説明的な名前を入力します。
    • 証明書要求に署名するためのCA証明書: 一覧から、証明書要求に署名するために使用する随意CAの証明書を選択します。

      この証明書の一覧は、[構成]>[設定]>[証明書] でEndpoint Managementにアップロードした、秘密キー付きのCA証明書から生成されます。

  5. [次へ] をクリックします。

    PKIパラメーターページ

  6. [随意CA:パラメーター] ページで、以下を行います:

    • シリアル番号ジェネレーター: 随意CAは発行する証明書のシリアル番号を生成します。一覧で [シーケンシャル] または [非シーケンシャル] を選択して、番号の生成方法を指定します。
    • 次のシリアル番号: 値を入力して、次に発行される番号を指定します。
    • 証明書の有効期限: 証明書の有効期間(日数)を入力します。
    • キー使用法: 適切なキーを [オン] に設定して、随意CAが発行する証明書の目的を指定します。設定すると、そのCA(証明機関)による証明書の発行がそれらの目的に限定されます。
    • 拡張キー使用法: さらにパラメーターを追加するには、[追加] をクリックし、キー名を入力して [保存] をクリックします。
  7. [次へ] をクリックします。

    PKIディストリビューションページ

  8. [随意CA:ディストリビューション] ページで、配布モードを選択します:

    • 集中:サーバー側のキー生成。この集中管理オプションをお勧めします。サーバー上で秘密キーが生成および保存され、ユーザーデバイスに配布されます。
    • 分散:デバイス側のキー生成。ユーザーデバイス上で秘密キーが生成されます。この分散モードはSCEPを使用し、keyUsage keyEncryption拡張によるRA暗号化証明書とKeyUsage digitalSignature拡張によるRA署名証明書が必要です。暗号化と署名で同じ証明書を使用できます。
  9. [次へ] をクリックします。

    PKI OCSPページ

  10. [随意CA:Online Certificate Status Protocol (OCSP)] ページで、以下を行います:

    • このCAが署名する証明書にAuthorityInfoAccess(RFC2459)拡張を追加する場合は、[このCAのOCSPサポートを有効にする][オン] に設定します。この拡張は、CAのOCSPレスポンダー(https://<server>/<instance>/ocsp)を参照します。
    • OCSPサポートを有効にした場合は、OSCP署名CA証明書を選択します。この証明書一覧は、Endpoint ManagementにアップロードしたCA証明書から生成されます。

    この機能を有効にすると、証明書のステータスを確認する機会がCitrix ADCに与えられます。この機能を有効にすることをお勧めします。

  11. [保存] をクリックします。

    [PKIエンティティ]の表に任意CAが表示されます。

資格情報プロバイダーの構成

  1. Endpoint Managementコンソールで、[設定]>[資格情報プロバイダー]の順に選択し、[追加]をクリックします。

  2. [資格情報プロバイダー: 一般情報] ページで、以下を行います:

    資格情報プロバイダーの一般ページ

    • 名前: 新しいプロバイダー構成の一意の名前を入力します。この名前は、Endpoint Managementコンソールのほかの部分で構成を特定するために後で使用されます。
    • 説明: 資格情報プロバイダーの説明です。このフィールドはオプションですが、この資格情報プロバイダーの詳細が必要なときに説明が役立ちます。
    • 発行エンティティ: [随意CA] を選択します。
    • 発行方式: [署名] または [取得] をクリックして、構成されたエンティティから証明書を取得するために使用する方法を選択します。クライアント証明書認証の場合は、[署名]を使用します。
  3. [次へ] をクリックします。[資格情報プロバイダー:証明書署名要求] ページで、 証明書の構成に応じて以下を構成します:

    資格情報プロバイダー証明書の署名要求ページ

    • キーアルゴリズム: 新しいキーペアのキーアルゴリズムを選択します。使用可能な値は [RSA][DSA]、および [ECDSA] です。

    • キーサイズ: キーペアのサイズ(ビット単位)を入力します。このフィールドは必須です。2048ビットの使用をお勧めします。

    • 署名アルゴリズム: 新しい証明書の値を選択します。値はキーアルゴリズムによって異なります。SHA256withRSAをお勧めします。

    • サブジェクト名: 必須です。新しい証明書のサブジェクトの識別名(Distinguished Name:DN)を入力します。ユーザー名に「CN=${user.username}」、またはsAMAccountNameを使用する「CN=${user.samaccountname}」を使用します。

    • [サブジェクトの別名] の表に新しいエントリを追加するには、[追加] をクリックします。別名の種類を選択して、2つ目の列に値を入力します。

      以下を追加します:

      • 種類: ユーザープリンシパル名
      • 値: $user.userprincipalname

      サブジェクト名と同様に、値フィールドでEndpoint Managementマクロを使用できます。

  4. [次へ] をクリックします。[資格情報プロバイダー:ディストリビューション] ページで、以下を行います:

    資格情報プロバイダーのディストリビューションページ

    • CA証明書の発行: 以前に追加した随意CA証明書を選択します。
    • [ディストリビューションモードの選択]: キーを生成し、配布する方法として以下のいずれかの方法を選択します:
      • 集中を優先:サーバー側のキー生成: Citrixではこの集中オプションを推奨しています。このオプションはEndpoint Managementでサポートされるすべてのプラットフォームをサポートし、Citrix Gateway認証を使用する場合は必須です。サーバー上で秘密キーが生成および保存され、ユーザーデバイスに配布されます。
      • 分散を優先:デバイス側のキー生成: 秘密キーはユーザーデバイス上で生成され、保存されます。この分散モードはSCEPを使用し、keyUsage keyEncryptionによるRA暗号化証明書とKeyUsage digitalSignatureによるRA署名証明書が必要です。暗号化と署名で同じ証明書を使用できます。
      • 分散のみ:デバイス側のキー生成: このオプションは [分散を優先: デバイス側のキー生成] と同じように動作しますが、デバイス側でのキー生成が失敗した場合、または使用できない場合にはオプションを使用できない点が異なります。

    [優先分散: デバイス側のキー生成] または [分散のみ: デバイス側のキー生成] を選択した場合は、[RA署名証明]の一覧からRA署名証明書を選択し、[RA暗号化証明書]の一覧からRA暗号化証明書を選択します。両方に同じ証明書を使用できます。これらの証明書のための新しいフィールドが表示されます。

  5. [次へ] をクリックします。[資格情報プロバイダー:失効Endpoint Management] ページで、Endpoint Managementがこのプロバイダー構成により発行された証明書に内部で失効のフラグを設定する条件を構成します。次のオプションを構成します:

    資格情報プロバイダーの失効ページ

    • [発行された証明書の失効] で、証明書がいつ失効するかを示すいずれかのオプションを選択します。
    • 証明書が失効したときにEndpoint Managementから通知を送信する場合は、[通知の送信] の値を [オン] に設定して、通知テンプレートを選択します。

    • Endpoint Managementを随意PKIとして使用している場合、[PKI上の証明書の失効] は機能しません。
  6. [次へ] をクリックします。[資格情報プロバイダー:失効PKI] ページで、証明書が失効した場合にPKIで行うアクションを特定します。また、通知メッセージを作成するオプションもあります。次のオプションを構成します:

    資格情報プロバイダーの失効PKIページ

    • 外部失効チェックの有効化: この設定を [オン] に変更します。失効PKIに関連する詳細フィールドが表示されます。
    • [OCSPレスポンダーCA証明書] の一覧から、証明書のサブジェクトの識別名(Distinguished Name:DN)を選択します。

      DNフィールドの値には、Endpoint Managementマクロを使用できます。たとえば、次のようになります:CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation

    • [証明書が失効した場合] の一覧から、証明書が失効したときにPKIエンティティで行う次のいずれかのアクションを選択します。

      • 何もしない。
      • 証明書の書き換え。
      • デバイスの失効とワイプ。
    • 証明書が失効したときにEndpoint Managementから通知を送信する場合:[通知の送信] の値を [オン] に設定します。

      2つの通知オプションから選択できます。

      • [通知テンプレートを選択] を選択した場合は、カスタマイズ可能な事前作成済み通知メッセージを選択できます。これらのテンプレートは、[通知テンプレート]の一覧にあります。
      • [通知の詳細を入力] を選択した場合は、独自の通知メッセージを作成できます。受信者のメールアドレスやメッセージの指定のほかに、通知が送信される頻度を設定できます。
  7. [次へ] をクリックします。[資格情報プロバイダー:更新] ページで、以下を行います:

    資格情報プロバイダーの更新ページ

    [有効期限が切れたら証明書を更新][オン] に設定します。詳細フィールドが表示されます。

    • [更新が必要な有効期限までの日数] フィールドに、期限の何日前に証明書を更新するかを入力します。
    • 必要に応じて、[既に有効期限が切れている証明書は更新しない] チェックボックスをオンにします。この場合の「既に有効期限が切れている」とは、NotAfterが過去の日付であることを意味し、証明書が失効しているという意味ではありません。Endpoint Managementでは、内部失効した証明書は更新しません。

    証明書が更新されたときにEndpoint Managementから通知を送信する場合:[通知の送信][オン] に設定します。証明書の期限が近いときにEndpoint Managementから通知を送信する場合:[証明書の有効期限が近づいたら通知][オン] に設定します。 どちらの選択肢についても、以下の2つの通知オプションからいずれかを選択できます:

    • 通知テンプレートを選択: カスタマイズ可能な事前作成済み通知メッセージを選択できます。これらのテンプレートは、[通知テンプレート]の一覧にあります。
    • 通知の詳細を入力: 独自の通知メッセージを作成できます。受信者の電子メールアドレス、メッセージ、および通知の送信頻度を指定します。
  8. [保存] をクリックします。

PKIエンティティ