クラシックポリシーを使用して Windows ログオン前に常時 VPN を構成する
前提条件
-
Citrix Gateway とVPNプラグインはバージョン12.0.51.24以降である必要があります
-
クラシックポリシーを使用すると、マシンレベルのトンネルだけを設定できます。ユーザレベルのトンネル設定については、[詳細ポリシー設定リンク]を参照してください。
GUI でクラシックポリシーを使用して Windows ログオンの前に AlwaysOn VPN を構成する
Windows ログオン前の VPN では、次の 2 つの構成がサポートされます。
- デバイス証明書認証
- クライアント証明書認証
デバイス証明書ベースの認証
- [構成]タブで、 [Citrix Gateway]>[仮想サーバー]に移動します。
- [Citrix Gateway 仮想サーバー]ページで、既存の仮想サーバーを選択し、[ 編集]をクリックします。
- [VPN 仮想サーバー] ページの [ 基本設定] セクションで、[ 編集 ] をクリックします。
- [ 認証の有効化 ] ボックスをオフにすると、認証が無効になり、[デバイス証明書 の有効化] チェックボックスをオンにしてデバイス証明書 が有効になります。
-
[ 追加 ] をクリックして、使用可能なデバイス証明書発行者の CA 証明書名をリストに追加します。
-
CA 証明書を仮想サーバーにバインドするには、[証明書] セクションの [ CA **証明書** ] をクリックします。[ SSL 仮想サーバー CA 証明書のバインド] ページの [バインドの追加 ] をクリックします。
-
[クリックして必要な証明書 を選択する] というテキストをクリックします 。
-
必要な CA 証明書を選択します。
-
[バインド] をクリックします。
- [ OK] をクリックして、設定を保存します。
クライアント証明書ベースの認証
- [構成]タブで、 [Citrix Gateway]>[仮想サーバー]に移動します。
- [Citrix Gateway 仮想サーバー]ページで、既存の仮想サーバーを選択し、[ 編集]をクリックします。
- ナビゲーションウィンドウの [ 認証] で、[ CERT] をクリックします。
- 詳細ウィンドウで、[ 追加] をクリックします。
- [ Name ] フィールドに、ポリシーの名前を入力します。
- サーバーの横にある [ 新規 ] をクリックします。
- [ 名前]に、プロファイルの名前を入力します。
- [ 2 係数] の横にある [OFF] を選択します。
- 「 ユーザー名」 および「 グループ名 」で値を選択し、「 作成 」をクリックします。
- [ 認証ポリシーの作成 ] ダイアログで、[名前付き式] の横にある式を選択し、[式の 追加 ]、[ 作成 ]、[ 閉じる ] の順にクリックします。
- 式を仮想サーバーにバインドします。
- [ 構成 ]タブで、 [Citrix Gateway]>[仮想サーバー] に移動します。
- [Citrix Gateway 仮想サーバー]ページで、既存の仮想サーバーを選択し、[ 編集]をクリックします。
- Citrix Gateway 仮想サーバーの構成]ダイアログボックスで、[ 認証 ]タブをクリックします。
- [ プライマリ ] をクリックし、[ 詳細 ] の [ ポリシーの挿入 ] をクリックします。
- [ポリシー名] でポリシーを選択し、[ OK] をクリックします。
- [VPN 仮想サーバー] ページで、SSL プロファイルを作成します。
- 「 SSL再ネゴシエーションの拒否」で、保護されていない要求に対してのみ NONSECUREを選択します。
- [OK] をクリックします。
クライアント側の構成
AlwaysOn、locationDetection、およびサフィックスリストのレジストリはオプションであり、ロケーション検出機能が必要な場合にのみ必要です。
レジストリキー | レジストリの種類 | 値と説明 |
---|---|---|
AlwaysOnService | REG_DWORD | 1 => ユーザーペルソナなしでAlwaysOnサービスを有効にする; 2 => ユーザーペルソナでAlwaysOnサービスを有効にする |
AlwayOnURL | REG SZ | 接続先のCitrix Gateway 仮想サーバーユーザーのURLです。例: https://xyz.companyDomain.com
|
AlwaysOn | REG_DWORD | 1 => VPN障害時にネットワークアクセスを許可する; 2=> VPN障害時にネットワークアクセスをブロックする |
locationDetection | REG_DWORD | 1 => 位置検出を有効にするには、0 => 位置検出を無効にするには |
suffixList | REG SZ | イントラネットドメインのカンマ区切りリスト。位置検出が有効な場合に使用されます。 |
クラシックポリシーを使用して Windows ログオン前に常時 VPN を構成する
コピー完了
コピー失敗