中間証明書の構成

中間証明書は、Citrix Gateway(サーバー証明書)とルート証明書(通常はユーザーデバイスにインストールされます)の間にある証明書です。中間証明書はチェーンの一部です。

組織によっては、組織単位間の地理的分離の問題を解決するために、または組織の異なるセクションに異なる発行ポリシーを適用するために、証明書を発行する責任を委任します。

証明書を発行する責任は、下位の証明機関 (CA) を設定することで委任できます。CA は、独自の証明書に署名することも (自己署名付き)、別の CA によって署名することもできます。X.509 標準には、CA の階層を設定するためのモデルが含まれています。このモデルでは、次の図に示すように、ルート CA は階層の最上位にあり、CA による自己署名証明書です。ルート CA に直接従属する CA には、ルート CA によって署名された CA 証明書があります。階層内の下位 CA の下位 CA には、下位 CA によって署名された CA 証明書があります。

図1:一般的なデジタル証明書チェーンの階層構造を示す X.509 モデル

一般的なデジタル証明書チェーンの階層構造の図を表示します。

サーバ証明書が自己署名証明書を持つ CA によって署名されている場合、証明書チェーンは、エンドエンティティ証明書とルート CA の 2 つの証明書で構成されます。ユーザーまたはサーバー証明書が中間 CA によって署名されている場合、証明書チェーンは長くなります。

次の図は、最初の 2 つの要素が、エンドエンティティ証明書(この場合は gwy01.company.com)と中間 CA の証明書をこの順序で示しています。中間 CA の証明書の後には、その CA の証明書が続きます。この一覧は、リストの最後の証明書がルート CA の証明書になるまで続きます。チェーン内の各証明書は、前の証明書の ID を証明します。

図2:一般的なデジタル証明書チェーン

一般的なデジタル証明書チェーンを表示します。

中間証明書をインストールするには

  1. 構成ユーティリティの [構成] タブのナビゲーションウィンドウで、[SSL] を展開し、[証明書] をクリックします。
  2. 詳細ペインで、[Install]をクリックします。
  3. [証明書とキーのペア名] に、証明書の名前を入力します。
  4. [詳細] の [証明書ファイル名] で、[参照] (アプライアンス) をクリックし、ドロップダウンボックスで [ローカル] または [アプライアンス] を選択します。
  5. コンピュータ(ローカル)またはCitrix Gateway(アプライアンス)上の証明書に移動します。
  6. 「証明書の形式」で「PEM」を選択します。
  7. [インストール] をクリックし、[閉じる] をクリックします。

Citrix Gateway に中間証明書をインストールする場合、秘密鍵やパスワードを指定する必要はありません。

証明書がアプライアンスにインストールされたら、証明書をサーバー証明書にリンクする必要があります。

中間証明書をサーバー証明書にリンクするには

  1. 構成ユーティリティの [構成] タブのナビゲーションウィンドウで、[SSL] を展開し、[証明書] をクリックします。
  2. 詳細ウィンドウで、サーバー証明書を選択し、[操作] で [リンク] をクリックします。
  3. [CA 証明書名] の横にある一覧から中間証明書を選択し、[OK] をクリックします。