ダブルホップ DMZ 配置での SSL 証明書の管理

ダブルホップ DMZ 展開では、コンポーネント間の接続を暗号化するために必要な SSL 証明書をインストールする必要があります。

ダブルホップ DMZ 配置では、配置に関係するさまざまなコンポーネント間でいくつかの異なるタイプの接続が発生します。これらの接続には、エンドツーエンドの SSL 暗号化はありません。ただし、各接続は個別に暗号化できます。

接続を暗号化するには、接続に関係するコンポーネントに適切な SSL 証明書 (信頼されたルートまたはサーバー証明書) をインストールする必要があります。

次の表に、最初のファイアウォールを介して発生する接続と、これらの各接続の暗号化に必要な SSL 証明書を示します。インターネット経由で送信されるトラフィックを保護するには、最初のファイアウォールを介した接続を暗号化する必要があります。

最初のファイアウォールを介した接続 暗号化に必要な証明書
インターネットからのWebブラウザは、最初のDMZでCitrix Gateway に接続します。 最初のDMZのCitrix Gateway には、SSLサーバー証明書がインストールされている必要があります。Webブラウザーには、Citrix Gateway のサーバー証明書と同じ認証局(CA)によって署名されたルート証明書がインストールされている必要があります。
インターネットからのCitrix Workspace アプリは、最初のDMZでCitrix Gateway に接続します. この接続の証明書管理は、WebブラウザーからCitrix Gateway への接続と同じです。Web ブラウザ接続を暗号化するために証明書をインストールした場合、この接続もこれらの証明書を使用して暗号化されます。

次の表に、2 番目のファイアウォールを介して発生する接続と、これらの各接続の暗号化に必要な SSL 証明書を示します。これらの接続を暗号化するとセキュリティが強化されますが、必須ではありません。

2 番目のファイアウォールを介した接続 暗号化に必要な証明書
最初のDMZのCitrix Gateway は、2番目のDMZのWeb Interfaceに接続します. StoreFront またはWeb InterfaceにSSLサーバー証明書がインストールされている必要があります。最初のDMZのCitrix Gateway には、Web Interface上のサーバー証明書と同じCAによって署名されたルート証明書がインストールされている必要があります。
最初のDMZのCitrix Gateway は、2番目のDMZのCitrix Gateway に接続します. 2つ目のDMZのCitrix Gateway には、SSLサーバー証明書がインストールされている必要があります。最初のDMZのCitrix Gateway には、2番目のDMZのCitrix Gateway 上のサーバー証明書と同じCAによって署名されたルート証明書がインストールされている必要があります。

次の表に、3 番目のファイアウォールを介して発生する接続と、これらの各接続の暗号化に必要な SSL 証明書を示します。これらの接続を暗号化するとセキュリティが強化されますが、必須ではありません。

3 番目のファイアウォールを介した接続 暗号化に必要な証明書
StoreFront または2番目のDMZのWeb Interfaceは、内部ネットワークのサーバーでホストされているXMLサービスに接続します。 Citrix Virtual Apps サーバー上のMicrosoftインターネットインフォメーションサービス(IIS)サーバー上でXMLサービスを実行する場合は、IISサーバーにSSLサーバー証明書をインストールする必要があります。XML サービスが標準の Windows サービス (IIS に存在しない) である場合は、SSL サーバー証明書をサーバーの SSL リレー内にインストールする必要があります。StoreFront またはWeb Interfaceには、Microsoft IISサーバーまたはSSLリレーにインストールされたサーバー証明書と同じCAによって署名されたルート証明書がインストールされている必要があります。
StoreFront または2番目のDMZのWeb Interfaceは、内部ネットワークのサーバーでホストされているSTAに接続します。 この接続の証明書管理は、Web Interfaceから XML サービスへの接続と同じです。同じ証明書を使用して、この接続を暗号化できます。(サーバー証明書は、Microsoft IIS サーバーまたは SSL リレーのいずれかに存在する必要があります。対応するルート証明書は、Web Interfaceにインストールする必要があります)。
2番目のDMZのCitrix Gateway は、内部ネットワークのサーバーでホストされているSTAに接続します。 この接続での STA の SSL サーバー証明書の管理は、この表で説明した 2 つの接続で説明したものと同じです。(サーバー証明書は、Microsoft IIS サーバーまたは SSL リレーのいずれかに存在する必要があります)。 2番目のDMZのCitrix Gateway には、STAおよびXMLサービスで使用されるサーバー証明書と同じCAによって署名されたルート証明書がインストールされている必要があります。
2番目のDMZのCitrix Gateway は、内部ネットワーク上のサーバー上の公開アプリケーションへのICA接続を行います. SSL サーバー証明書は、公開アプリケーションをホストするサーバー上の SSL リレー内にインストールする必要があります。2番目のDMZのCitrix Gateway プロキシには、SSLリレー内にインストールされたサーバー証明書と同じCAによって署名されたルート証明書がインストールされている必要があります。

ダブルホップ DMZ 配置での SSL 証明書の管理