Citrix SD-WAN WANOP

Office365アクセラレーション

Citrix SD-WAN WANOP は、WAN を最適化し、ブランチオフィスやリモートサイトにわたるビジネスアプリケーションで一貫したユーザーエクスペリエンスを提供します。

Microsoft Office 365は、サービスとしてのソフトウェア(SaaS)アプリケーションであり、MicrosoftのOfficeスイートのエンタープライズグレードの生産性アプリケーションを提供します。このアプリケーションはクラウドでホストされ、オンデマンドでユーザーに配信されます。

Office 365 アクセラレーション機能を使用すると、ブランチオフィスは Microsoft Office 365 アプリケーション向けにCitrix SD-WAN WANOP が提供する最適化の利点を得ることができます。

使用例

WANセグメントがインターネットセグメントよりもかなり遅く、MicrosoftのOffice365サーバーがブランチオフィスよりも大きなオフィスに近い場合。

トポロジ

ブランチオフィスのOffice365トラフィックは、WANを介してメインオフィスに送信され、インターネットを介してOffice365サーバーに転送されます。支社と本社の間のセグメントが加速されます。

本社とMicrosoftOffice365サーバー間のセグメントは高速化されていません。メインオフィスは最も近いOffice365サーバーに接続することをお勧めします。

ローカライズされた画像

使い方

Citrix SD-WAN WANOP SSLアクセラレーションは、Office 365トラフィックを復号化して高速化し、圧縮を提供できます。つまり、Office 365ブランチオフィスアクセラレーションは、RPC-over-HTTPSアクセラレーションの特殊なケースと考えることができます。

手順

  1. ブランチとメインオフィスのCitrix SD-WAN WANOPアプライアンス間に安全なピアリングを作成します。

  2. プロキシ証明書を生成する / ドメイン証明機関(CA)の秘密鍵。

  3. Citrix SD-WAN WANOPに必要なすべてのCAを追加します。

    1. CA、中間CA、Microsoft証明書のルートCA。

    2. プロキシ certificates/Private Office 365 URL用に生成されたキー。

      ブラウザでのセキュリティアラートを回避するには、プロキシ証明書をWindowsドメインのCAサーバーで署名する必要があります。これにより、すべてのドメインユーザーがプロキシ証明書を使用できるようになります。

  4. SSL分割プロキシプロファイルを作成し、分割プロキシをサービスクラス(Web(インターネットセキュリティ))にバインドします。

  5. Office 365接続を開始し、Accelerated接続を確認します。

    警告

    ドメインの一部ではないブランチオフィスデバイスは、証明書を手動でインストールしない限り、セキュリティ警告を表示します。Firefoxはデバイスの証明書ストアを尊重しないため、Firefoxユーザーも手動で証明書をインストールする必要があります。

Office365アクセラレーションを構成する

Office 365アクセラレーションを構成するには:

  1. 「セキュアピアリング (/en-us/citrix-sd-wan-wanop/10-2/secure-traffic-acceleration/secure-peering.html)」の説明に従って、2つのCitrix SD-WAN[WANOPアプライアンス間のセキュアピアリング関係を設定します]

  2. 新しい証明書を作成します。

    サーバー側のCitrix SD-WAN WANOPアプライアンスは、Office 365とクライアント間の仲介として機能するため、これらの証明書はサーバー側のドメインコントローラーによって署名されますが、Office 356ドメインを参照します。

    1. Windowsドメインの 認証局サーバーに ログオンします。

    2. 必要に応じて、 証明機関証明書テンプレート 、および 証明書のスナップインを追加します。

    3. 証明書テンプレート > Webサーバーのプロパティ > セキュリティに移動しすべてのオプションを選択します。  

    4. 証明書 > 個人 > 証明書(コンピューター) > すべてのタスク > 新しい証明書をリクエストに移動します。

      ローカライズされた画像

    5. [ 証明書の登録]ウィンドウで、[ 次へ]をクリックします。

    6. [証明書の登録ポリシー] ウィンドウで 、Active Directoryの登録ポリシーを選択します。

    7. [ Active Directory登録ポリシー]ウィンドウで、[ Webサーバー]> 詳細 > プロパティを 選択します。

      ローカライズされた画像

  3. Office365証明書から新しい証明書に情報をコピーします。最終的に、3つのOffice365証明書から1つの証明書が作成されます。次の手順に従います。

    1. Chrome などのブラウザで、URL-を入力しますhttps://login.microsoftonline.com

      ログインしないでください。

    2. URLバーの南京錠アイコンをクリックして[ 接続]>証明書情報>詳細 を選択します 。

      これらの手順はChromeブラウザ向けです。手順は他のブラウザでも同じです。

    3. [ サブジェクト代替名]をクリックすると、「login.microsoftonline.com」などのDNS名のリストが表示されます。その下のテキストボックスに情報をコピーします。

      ローカライズされた画像

    4. 新しい証明書の[ 証明書のプロパティ]ウィンドウに戻ります。Microsoft証明書の各代替名と一致するように、DNSとしてタイプを使用して[ 値] フィールドに代替名を追加します。

      ローカライズされた画像

    5. サブジェクト代替名を検出し、それらを https://outlook.office365.comhttps://portal.office.comhttps://office.live.com、および https://sharepoint.com 証明書に追加するプロセスを繰り返します(SharePoint URLは顧客固有です)。

    6. 新しい証明書の共通名を作成します。上記の例は、「Office365プロキシ」という一般名を示しています。

      ローカライズされた画像

    7. [ 秘密鍵 ]タブで、[ 秘密鍵をエクスポート可能にする]を選択します。

    8. [ OK]、[ 登録]、[ 完了]の順にクリックします。

  4. 証明書をエクスポートします。

    1. 証明書の 下 > 個人 > 証明書、上記で作成したプロキシ証明書を選択し、[ すべてのタスク]を選択します>エクスポート

      ローカライズされた画像

    2. 証明書のエクスポートウィザード が表示されます。[次へ] をクリックします。

    3. [秘密キーのエクスポートでは 、[はい ]オプションを選択し、秘密鍵をエクスポートし、[ 次へ]をクリックします。

      ローカライズされた画像

    4. エクスポートファイル形式のデフォルト値を保持します。

    5. パスワードを入力して確認し、秘密鍵をエクスポートして、証明書を loginportal.pfxとして保存します。

  5. 証明書をエクスポートします。

    1. 証明書のエクスポートウィザードで、[ 次へ]をクリックします。[ 秘密鍵のエクスポート]で、[ いいえ、秘密鍵をエクスポートしない]オプションを選択します。[次へ] をクリックします。

      ローカライズされた画像

    2. エクスポートファイル形式のデフォルト値を保持します。

    3. パスワードを入力して確認し、秘密鍵と証明書をエクスポートして、ファイルを次のようなファイル名のファイルに保存します。 office365_keys.pfx。

  6. Microsoft証明書のルートCAと中間CAの公開鍵をダウンロードします。

    1. ブラウザーで、https://login.microsoftonline.comに移動します。ブラウザの南京錠アイコンをクリックします。接続 > 証明書情報 > 認定パスに移動します。

    2. ルート証明書(リストの一番上にあるもの)を選択し、[ 証明書の表示 ] > 詳細 > ファイルにコピーしますをクリックします。証明書のエクスポートウィザード が表示されます。[次へ] をクリックします。

      ローカライズされた画像

    3. ファイル名を入力してファイルを保存します。

      または、WiresharkまたはOpenSSLを使用して、ルートおよび中間CA名を取得し、「AUTHENTIC」ソース(Windows SSLストアなど)から証明書を取得することもできます。

    4. 手順6を繰り返して、次のドメインのルートCAと中間CAを保存します。

      1. login.microsoftonline.com

      2. portal.office.com

      3. outlook.office356.com

      4. *.sharepoint.com

      5. office.live.com

  7. すべてのOffice365サーバーCA、プロキシ証明書/キーペア、およびサーバー側のCitrix SD-WAN WANOPアプライアンスへの秘密鍵を追加します。CAは、[ 証明書とキー] ページの[ CA証明書 ]タブを使用して追加されます。証明書と certificate/key ペアが追加されます Certificate/Key [ ペア ]タブ。

    ローカライズされた画像

    ローカライズされた画像

  8. SSLスプリットプロキシプロファイルを作成し、スプリットプロキシをWeb(Internet-Secure)サービスクラスにバインドします。

    1. 構成 > 安全な加速 > SSLプロファイル > プロファイルを追加に移動します。

    2. 選択したプロファイル名を入力します。プロファイル有効解析サブジェクト 代替名、および スプリットプロキシを選択 します。

    3. サーバー側のプロキシ構成の 下 > 検証ストアで、[ 構成済みのすべてのCAストアを使用する]を選択します。

    4. クライアント側のプロキシ構成の 下 > Certificate/Private キー、 以前に作成およびエクスポートしたcert/private キーペア(例ではloginportal.pfxとして示されているもの)を選択します。[ 証明書チェーンの構築]を選択します。certificate/key証明書チェーンストアの下のペアに関連付けられているCAを選択します。

      ローカライズされた画像

  9. 作成したSSLプロファイルをインターネット(Web-Secure)サービスクラスにバインドします。構成 するためのナビゲート > 最適化ルール > サービスクラス を作成し、SSLプロファイルをSSLプロファイルリストに追加します。

  10. インターネット(Web-Secure) サービスクラスのアクセラレーションとディスクベースの圧縮を有効にします。

  11. ブラウザからOffice365セッションを開始します。

    接続が高速化されます。ブラウザーでは、証明書に、実際のOffice 365証明書ではなく、ルートCAがサーバー側アプライアンスのCA証明書として表示されます。

    ローカライズされた画像

  12. アプライアンスの 監視について > [接続] ページで、Office 365接続が圧縮され、SSLアクセラレーションを受信していることを確認します。

    ローカライズされた画像

    Firefoxはデフォルトでデバイスの証明書を受け入れませんが、独自の証明書ストアを持っています。したがって、他のブラウザやデバイス全体で通常のWindowsドメインの動作で受け入れられる資格情報は、Firefoxに手動でインストールする必要があります。証明書を Firefox にインストールするには、「証明書を Firefox にインストールする」セクションの手順に従います。

Firefoxに証明書をインストールします

サーバー側アプライアンスのプロキシ証明書をFirefox証明書ストアにインストールするには:

  1. Firefox ブラウザで、[ オプション] > [ 詳細設定 ] > [ 証明書] > [証明書の表示] > [ **認証機関** ] > [ インポート] に移動します。

  2. ローカルCAプロキシ証明書をアップロードし、証明書の ダウンロード ウィザードですべてのオプションを選択して、[ OK]をクリックします。

    ローカライズされた画像

Office365アクセラレーション