Citrix Gateway

クライアント証明書またはクライアント証明書とドメイン認証を構成する

Citrix ADC for Citrix Endpoint Managementウィザードを使用して、Citrix ADC証明書のみの認証または証明書とドメイン認証を使用する場合にCitrix Endpoint Managementに必要な構成を実行できます。Citrix Endpoint Management用Citrix ADCウィザードは一度だけ実行できます。ウィザードの使用について詳しくは、「 Citrix Endpoint Management環境の設定を構成する」を参照してください。

ウィザードを既に使用している場合は、この記事の手順を使用して、クライアント証明書認証またはクライアント証明書とドメイン認証に必要な追加の構成を行います。

MAM専用モードのデバイスのユーザーがデバイス上の既存の証明書を使用して認証できないようにするには、この記事の後半の「Citrix ADC証明書失効リスト(CRL)」を参照してください。

GUIを使用してクライアント証明書認証用にCitrix Gateway を構成する

  1. Traffic Management > Load Balancing > Virtual Serversに移動します。
  2. SSL タイプの仮想サーバーを選択し、[SSLパラメータ ] セクションで [ セッションの再利用を有効にする ] を [ 無効] に設定します。

    SSL パラメータページ

  3. Citrix Gateway]>[仮想サーバー]に移動します。
  4. SSLタイプの仮想サーバを選択し、[ 編集(Edit)] をクリックします。
  5. [ SSL パラメータ ] セクションで、[編集] アイコンをクリックします。
  6. [ クライアント認証 ] を選択し、[ クライアント証明書] で [ 必須] を選択します。

    SSL パラメータの詳細

  7. 認証証明書ポリシーを作成して、Citrix Endpoint ManagementがSecure HubからCitrix Gateway **に提供されたクライアント証明書からユーザープリンシパル名またはsamAccountを抽出できるようにします** 。

  8. Citrix Gateway]>[ポリシー]>[認証]>[証明書]に移動します。

  9. [ プロファイル ] タブをクリックし、[ 追加] をクリックします。

  10. 証明書プロファイルの次のパラメータを設定します。

    Authentication Type:CERT

    2 要素: OFF (証明書のみの認証)

    ユーザー名フィールド:件名: CN

    Group Name Field:SubjectAltName:PrincipalName

    プロフィールの詳細

  11. 証明書認証ポリシーのみをCitrix Gateway 仮想サーバーのプライマリ認証としてバインドします

    ポリシーのバインド

  12. ルートCA証明書をバインドして、Citrix Gateway に提示されたクライアント証明書の信頼を検証します。

GUIを使用してクライアント証明書とドメイン認証用にCitrix Gateway を構成する

  1. Traffic Management > Load Balancing > Virtual Serversに移動します。
  2. SSL タイプの仮想サーバーを選択し、[SSLパラメータ ] セクションで [ セッションの再利用を有効にする ] を [ 無効] に設定します。

    SSL パラメータページ

  3. Citrix Gateway > ポリシー > 認証 > 証明書に移動します

  4. [ プロファイル ] タブをクリックし、[ 追加] をクリックします。

    証明書サーバーを追加するときにクリックします

  5. プロファイルの名前を入力し 、[ 2 要素 ] を [ オン] に設定し、[ ユーザー名フィールド] から [ subjectAltNamePrincipalName] を選択します。

    証明書サーバーの詳細

  6. [ ポリシー ] タブをクリックし、[ 追加] をクリックします。

  7. ポリシーの名前を入力し 、[ サーバ ] から証明書プロファイルを選択し、[ ] を設定して [作成] をクリックします。

    式を入力

  8. [ 仮想サーバー] に移動し、タイプ SSLの仮想サーバーを選択して、[ 編集] をクリックします。

  9. [ 認証] の横にある [ + ] をクリックして、証明書認証を追加します。

  10. 認証方法を選択するには、[ ポリシーの選択] で [ 証明書] を選択し、[ タイプの選択 ] で [ プライマリ] を選択します。これにより、証明書認証が LDAP 認証タイプと同じプライオリティのプライマリ認証としてバインドされます。

    プライマリ認証タイプ

  11. [ ポリシーのバインド] で、 [クリックして選択 ] をクリックし、以前に作成した証明書ポリシーを選択します。

  12. 前に作成した証明書ポリシーを選択し、[ OK]をクリックします。

  13. [ 優先度 ] を 100 に設定し、[ バインド] をクリックします。以降の手順で LDAP 認証ポリシーを設定する場合は、同じプライオリティ番号を使用します。

    優先度を選択

  14. [ LDAP ポリシー] の行で、[ **] をクリックします。

  15. ポリシーを選択し、[ 編集 ] ドロップダウンメニューから [ バインドの編集] をクリックします。

  16. 証明書ポリシーに指定したのと同じ [ Priority ] 値を入力します。[バインド] をクリックします。

    同じ優先度を入力してください

  17. [ 閉じる] をクリックします。

    バインディング完了

  18. [ SSL パラメータ ] セクションの [編集] アイコンをクリックします。

  19. クライアント認証 ]チェックボックスをオンにし、[ クライアント証明書 ]で[ 必須]を選択し、[ OK]をクリックします。

    クライアント証明書を必須にする

  20. [完了] をクリックします。

    設定が完了しました

Citrix ADC証明書失効一覧(CRL)

Citrix Endpoint Managementは、サードパーティの認証局の証明書失効リスト(CRL)のみをサポートしています。Microsoft CAが構成されている場合、Citrix Endpoint ManagementはCitrix ADCを使用して失効を管理します。クライアント証明書ベースの認証を構成する場合、Citrix ADC証明書失効一覧(CRL)設定 [Enable CRL Auto Refresh] を構成する必要があるかどうか検討します。この手順を使用すると、MAMのみモードのデバイスのユーザーがデバイス上の既存の証明書を使用して認証できなくなります。Citrix Endpoint Managementは、新しい証明書を再発行します。これは、失効したユーザー証明書がユーザー証明書を生成することを制限しないためです。この設定は、CRLが期限切れのPKIエンティティを確認する場合、PKIエンティティのセキュリティを強化します。

クライアント証明書またはクライアント証明書とドメイン認証を構成する