クライアント証明書またはクライアント証明書およびドメイン認証の設定

Citrix ADC for Citrix Endpoint Management ウィザードを使用して、Citrix ADC証明書のみの認証または証明書とドメイン認証を使用する場合に、Citrix Endpoint Management に必要な構成を実行できます。Citrix Endpoint Management 用Citrix ADCウィザードは、1回だけ実行できます。作成ウィザードの使用について詳しくは、「Citrix Endpoint Management 環境の設定の構成」を参照してください)。

ウィザードを既に使用している場合は、この記事の手順に従って、クライアント証明書の認証またはクライアント証明書とドメイン認証に必要な追加構成を行います。

MAM専用モードのデバイスのユーザーがデバイス上の既存の証明書を使用して認証できないようにするには、この記事の後半の「Citrix ADC証明書失効リスト(CRL)」を参照してください。

クライアント証明書認証のためのCitrix Gateway の手動構成

  1. [ トラフィック管理] > [負荷分散] > [仮想サーバー] で、各仮想サーバー (443 と 8443 の両方) に移動し、 SSL パラメーターを更新し、[セッション再利用の有効化] を [DISABLED] に設定します。

    ローカライズされた画像

  2. Citrix Gateway 仮想サーバーで、「クライアント 認証を有効にする」->「クライアント証明書」で「 クライアント認証」を選択し、「 クライアント証明書」で「 必須」を選択します。

    ローカライズされた画像

  3. 認証証明書ポリシーを作成し、Citrix Endpoint Management がSecure Hub からCitrix Gateway に提供されるクライアント証明書から ユーザープリンシパル名 または sAMAccount を抽出できるようにします。詳しくは、「XenMobile 用Citrix ADC ADCウィザード」を参照してください。

  4. 証明書プロファイルの次のパラメータを設定します。

    Authentication Type:CERT

    2つの要素: OFF (証明書のみの認証用)

    ユーザー名フィールド:件名: CN

    Group Name Field:SubjectAltName:PrincipalName

    ローカライズされた画像

  5. Citrix Gateway 仮想サーバーで、証明書認証ポリシーのみを プライマリ認証 としてバインドします。

    ローカライズされた画像

  6. ルートCA証明書をバインドして、Citrix Gateway に提示されたクライアント証明書の信頼を検証します。

    ローカライズされた画像

クライアント証明書とドメイン認証のためのCitrix Gateway の手動構成

  1. [ トラフィック管理] > [負荷分散] > [仮想サーバー] で、各仮想サーバー (443 と 8443 の両方) に移動し、 SSL パラメーターを更新し、[セッション再利用の有効化] を [ DISABLED] に設定します。

    ローカライズされた画像

  2. ポリシー」>「認証」>「証明書」の順に選択し、「 サーバー」タブを選択して「 追加」をクリックします。

    ローカライズされた画像

  3. プロファイルの 名前 を入力し、[ 2 ファクタ ] を [ オン ] に設定し、[ ユーザ名フィールド ] から [ サブジェクトAltNamePrincipalName] を選択します。

    ローカライズされた画像

  4. [ ポリシー ] に移動し、[ 追加 ] をクリックします。

    ローカライズされた画像

  5. ポリシーの 名前 を入力し、[ サーバ ] から証明書プロファイルを選択し、[ ] を ns_true に設定して、 [ 作成 ] をクリックします。

    ローカライズされた画像

  6. 仮想サーバー」に移動し、仮想サーバーを選択して「 編集」をクリックします。

    ローカライズされた画像

  7. [ 認証] の横の [ +] をクリックして、証明書認証を追加します。

    ローカライズされた画像

  8. 認証方法を選択するには、 「ポリシーの選択」から「証明書」を選択します。

    ローカライズされた画像

  9. 「タイプの選択」で、「 プライマリ」を選択します。これにより、LDAP 認証タイプと同じプライオリティのプライマリ認証として証明書認証がバインドされます。

    ローカライズされた画像

  10. [ ポリシーのバインド] で、 [クリックして選択] をクリックして、以前に作成した証明書ポリシーを選択します。

    ローカライズされた画像

  11. 前に作成した証明書ポリシーを選択し、[ OK] をクリックします。

    ローカライズされた画像

  12. [ 優先度 ] を 100 に設定し、[ バインド ] をクリックします。後続の手順で LDAP 認証ポリシーを設定する場合は、同じプライオリティ番号を使用します。

    ローカライズされた画像

  13. [ LDAP ポリシー] の行で、[ >] をクリックします。

    ローカライズされた画像

  14. ポリシーを選択し、「 編集」 ドロップダウンメニューから「 バインディングの編集」 をクリックします。

    ローカライズされた画像

  15. 証明書ポリシーに指定したのと同じ [ 優先度 ] 値を入力します。[バインド] をクリックします。

    ローカライズされた画像

  16. [閉じる] をクリックします。

    ローカライズされた画像

  17. [ 詳細設定] の [SSL パラメータ]をクリックします。

    ローカライズされた画像

  18. [ クライアント認証 ] チェックボックスをオンにし、[ クライアント証明書 ] から [ 必須 ] を選択し、[ OK ] をクリックします。

    ローカライズされた画像

  19. [完了] をクリックします。

    ローカライズされた画像

Citrix ADC 証明書失効リスト (CRL)

Citrix Endpoint Management では、サードパーティの認証局に対してのみ証明書失効リスト(CRL)がサポートされます。Microsoft CAを構成している場合、Citrix Endpoint Management はCitrix ADCを使用して失効を管理します。クライアント証明書ベースの認証を構成する場合は、Citrix ADC証明書失効リスト(CRL)設定の「CRL 自動更新を有効にする」を構成する必要があるかどうかを検討します。この手順を使用すると、MAM-onlyモードのデバイスのユーザーがデバイス上の既存の証明書を使用して認証できなくなります。Citrix Endpoint Management では、新しい証明書が再発行されます。これは、ユーザーが失効した場合にユーザー証明書を生成できないためです。この設定は、CRLが期限切れのPKIエンティティを確認する場合、PKIエンティティのセキュリティを強化します。