セキュリティキーの管理
注:
この機能は、StoreFront™ 1912 LTSR CU2 以降と組み合わせて使用する必要があります。
この機能を使用すると、承認されたStoreFrontおよびCitrix GatewayマシンのみがCitrix Delivery Controllerと通信できるようになります。この機能を有効にすると、キーを含まないすべての要求はブロックされます。この機能を使用して、内部ネットワークから発生する攻撃から保護するための追加のセキュリティ層を追加します。
この機能を使用するための一般的なワークフローは次のとおりです。
-
Studioで機能設定を表示できるようにします。
-
サイトの設定を構成します(StudioコンソールまたはPowerShellを使用)。
-
ストアフロントで設定を構成します (パワーシェルを使用)。
-
Citrix ADCで設定を構成します (パワーシェルを使用)。
Studioで機能設定を表示できるようにする
デフォルトでは、セキュリティキーの設定はStudioに表示されません。Studioで表示できるようにするには、次のようにPowerShell SDKを使用します。
この機能を有効にするには、次の手順を実行します。
- シトリックス バーチャル アプリ アンド デスクトップ™ リモート パワーシェル エスディーケー を実行します。
- コマンドウィンドウで、次のコマンドを実行します。
-
Add-PSSnapIn Citrix*。このコマンドはCitrixスナップインを追加します。 Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"
-
Remote PowerShell SDKの詳細については、「SDKとAPI」を参照してください。
サイトの設定を構成する
StudioコンソールまたはPowerShellを使用して、Studioで設定を構成できます。
Studioコンソールを使用する
Studioで機能設定を表示できるようにした後、Studio > 構成 > セキュリティキーの管理に移動します。セキュリティキーの管理オプションが表示されない場合は、更新をクリックする必要がある場合があります。
セキュリティキーの管理をクリックすると、セキュリティキーの管理ウィンドウが表示されます。
重要:
- 使用可能なキーは2つあります。XMLポートおよびSTAポートを介した通信には、同じキーまたは異なるキーを使用できます。一度に1つのキーのみを使用することをお勧めします。未使用のキーは、キーのローテーションにのみ使用されます。
- 使用中のキーを更新するために更新アイコンをクリックしないでください。クリックすると、サービスが中断されます。
更新アイコンをクリックして、新しいキーを生成します。
XMLポートを介した通信にキーを要求する(StoreFrontのみ)。選択した場合、XMLポートを介した通信を認証するためにキーが必要になります。StoreFrontはこのポートを介してCitrix Cloudと通信します。XMLポートの変更については、Knowledge Centerの記事「CTX127945」を参照してください。
STAポートを介した通信にキーを要求する。選択した場合、STAポートを介した通信を認証するためにキーが必要になります。Citrix GatewayとStoreFrontはこのポートを介してCitrix Cloudと通信します。STAポートの変更については、Knowledge Centerの記事「CTX101988」を参照してください。
変更を適用した後、閉じるをクリックしてセキュリティキーの管理ウィンドウを終了します。
パワーシェルを使用する
以下は、Studio操作に相当するPowerShellの手順です。
-
シトリックス バーチャルアプリ & デスクトップ リモート パワーシェル SDK を実行します。
- コマンドウィンドウで、次のコマンドを実行します。
Add-PSSnapIn Citrix*
- キーを生成し、Key1を設定するには、次のコマンドを実行します。
New-BrokerXmlServiceKeySet-BrokerSite -XmlServiceKey1 <the key you generated>
- キーを生成し、Key2を設定するには、次のコマンドを実行します。
New-BrokerXmlServiceKeySet-BrokerSite -XmlServiceKey2 <the key you generated>
- 通信の認証でキーの使用を有効にするには、次のコマンドのいずれかまたは両方を実行します。
- XMLポートを介した通信を認証するには:
Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
- STAポートを介した通信を認証するには:
Set-BrokerSite -RequireXmlServiceKeyForSta $true
- XMLポートを介した通信を認証するには:
PowerShellコマンドのヘルプでガイダンスと構文を参照してください。
StoreFrontで設定を構成する
Studioでの構成が完了したら、PowerShellを使用してStoreFrontで関連する設定を構成する必要があります。
StoreFrontサーバーで、次のPowerShellコマンドを実行します。
| XMLポート経由の通信用にキーを構成するには、コマンド[Set-STFStoreFarm | https://developer-docs.citrix.com/ja-jp/storefront-powershell-sdk/current-release/Set-STFStoreFarm.html]を使用します。例: |
$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->
次のパラメーターに適切な値を入力します。
Path to storeResource feed namesecret
STAポート経由の通信用にキーを構成するには、New-STFSecureTicketAuthorityおよびSet-STFRoamingGatewayコマンドを使用します。例:
$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->
次のパラメーターに適切な値を入力します。
Gateway nameSTA URLSecret
PowerShellコマンドのヘルプでガイダンスと構文を参照してください。
Citrix ADCでの設定を構成する
注:
Citrix ADCをゲートウェイとして使用しない限り、Citrix ADCでこの機能を構成する必要はありません。Citrix ADCを使用する場合は、以下の手順に従ってください。
-
以下の前提条件となる構成がすでに完了していることを確認してください。
- 以下のCitrix ADC関連のIPアドレスが構成されています。
- Citrix ADCコンソールにアクセスするためのCitrix ADC管理IP(NSIP)アドレス。詳細については、「NSIPアドレスの構成」を参照してください。
- Citrix ADCアプライアンスとバックエンドサーバー間の通信を可能にするサブネットIP(SNIP)アドレス。詳細については、「サブネットIPアドレスの構成」を参照してください。
- セッション起動のためにADCアプライアンスにログインするためのCitrix Gateway仮想IPアドレスとロードバランサー仮想IPアドレス。詳細については、「仮想サーバーの作成」を参照してください。
- Citrix ADCアプライアンスで必要なモードと機能が有効になっています。
- モードを有効にするには、シトリックス ADC の GUI で System > Settings > Configure Mode に移動します。
- 機能を有効にするには、Citrix ADC GUIで システム > 設定 > 基本機能の構成 に移動します。
- 証明書関連の構成が完了しています。
- 証明書署名要求 (CSR) が作成されます。詳細については、「証明書の作成」を参照してください。
- サーバー証明書、CA証明書、およびルート証明書がインストールされます。詳細については、「インストール、リンク、および更新」を参照してください。
- Citrix Virtual Desktops 用のCitrix Gatewayが作成されました。Test STA Connectivityボタンをクリックして接続をテストし、仮想サーバーがオンラインであることを確認します。詳細については、「Citrix Virtual Apps and Desktops 用のCitrix ADCのセットアップ」を参照してください。
- 以下のCitrix ADC関連のIPアドレスが構成されています。
-
リライトアクションを追加します。詳細については、「リライトアクションの構成」を参照してください。
- AppExpert > リライト > アクション に移動します。
- 追加をクリックして、リライトアクションを追加します。アクションの名前を「set Type to INSERT_HTTP_HEADER」にすることができます。
- タイプの項目で、INSERT_HTTP_HEADERを選択します。
- ヘッダー名のフィールドに「X-Citrix-XmlServiceKey」と入力します。
-
Expressionに、引用符を付加した
<XmlServiceKey1 value>を追加します。XmlServiceKey1の値は、お使いのDesktop Delivery Controller™の構成から取得し、コピーすることが可能です。
- リライトポリシーを追加します。詳細については、「リライトポリシーの構成」を参照してください。
-
AppExpert > Rewrite > Policies の画面へと移動するようにしてください。
-
ポリシーを追加するには、Add をクリックします。
- Action で、前の手順で作成したアクションを選択します。
- 式の項目に、HTTP.REQ.IS_VALID を追加してください。
- OK をクリックします。
-
-
負荷分散を設定します。STAサーバーごとに1つの負荷分散仮想サーバーを構成する必要があります。そうしないと、セッションの起動に失敗します。
詳細については、「基本的な負荷分散の設定」を参照してください。
- 負荷分散仮想サーバーを作成します。
- トラフィック管理 > 負荷分散 > サーバー に移動します。
- 仮想サーバー ページで、追加 をクリックします。
- プロトコル で、HTTP を選択します。
- 負荷分散仮想IPアドレスを追加し、Port で 80 を選択します。
- OKをクリックします。
- 負荷分散サービスを作成します。
- トラフィック管理 > 負荷分散 > サービスに移動します。
負荷分散サービスを追加(/ja-jp/citrix-virtual-apps-desktops/1912-ltsr/media/adc-create-lb-service.png)
- 既存のサーバーで、前の手順で作成した仮想サーバーを選択します。
- プロトコルでHTTPを選択し、ポートで80を選択します。
- OKをクリックし、次に完了をクリックします。
- サービスを仮想サーバーにバインドします。
- 以前に作成した仮想サーバーを選択し、編集をクリックします。
- サービスとサービスグループで、負荷分散仮想サーバーサービスバインディングなしをクリックします。
サービスを仮想サーバーにバインド(/ja-jp/citrix-virtual-apps-desktops/1912-ltsr/media/adc-bind-service-to-lbvserver.png)
- サービスバインディングで、以前に作成したサービスを選択します。
- バインドをクリックします。
- 以前に作成した書き換えポリシーを仮想サーバーにバインドします。
- 以前に作成した仮想サーバーを選択し、編集をクリックします。
- 「Advanced Settings」で「Policies」をクリックし、次に「Policies」セクションで「+」をクリックします。
- 「ポリシーの選択」で「リライト」を選択し、「タイプの選択」で「リクエスト」を選択します。
- 「Continue」をクリックします。
- 「Select Policy」で、以前に作成したリライトポリシーを選択します。
- 「Bind」をクリックします。
- 「Done」をクリックします。
- 必要に応じて、仮想サーバーの永続性を設定します。
- 以前に作成した仮想サーバーを選択し、「Edit」をクリックします。
- 「詳細設定」で「永続性」をクリックします。
- 永続性タイプとして「Others」を選択します。
- 仮想サーバーによって選択されたサービス(宛先IPアドレス)のIPアドレスに基づいて永続セッションを作成するには、「DESTIP」を選択します。
- 「IPv4 Netmask」で、DDCと同じネットワークマスクを追加します。
- 「OK」をクリックします。
- 他の仮想サーバーについても、これらの手順を繰り返します。
- 負荷分散仮想サーバーを作成します。
Citrix ADCアプライアンスがCitrix Virtual Desktops™で既に構成されている場合の構成変更
Citrix ADCアプライアンスをCitrix Virtual Desktopsで既に構成している場合、Secure XML機能を使用するには、以下の構成変更を行う必要があります。
- セッション起動前に、ゲートウェイのSecurity Ticket Authority URLを、負荷分散仮想サーバーのFQDNを使用するように変更します。
-
TrustRequestsSentToTheXmlServicePortパラメーターがFalseに設定されていることを確認します。デフォルトでは、TrustRequestsSentToTheXmlServicePortパラメーターはFalseに設定されています。ただし、お客様がCitrix Virtual Desktops用にCitrix ADCを既に構成している場合、TrustRequestsSentToTheXmlServicePortはTrueに設定されます。
- Citrix ADCのGUI画面で、構成 > Citrix製品との統合の項目へ移動し、そして、XenApp and XenDesktop®をクリックしてください。
-
ゲートウェイインスタンスを選択し、編集アイコンをクリックします。
既存のゲートウェイ構成を編集(/ja-jp/citrix-virtual-apps-desktops/1912-ltsr/media/edit-gateway-instance.png)
-
StoreFrontペインで、編集アイコンをクリックします。
ストアフロントの詳細を編集(/ja-jp/citrix-virtual-apps-desktops/1912-ltsr/media/edit-storefront-details.png)
-
セキュアチケットオーソリティURLを追加します。
- Secure XML機能が有効になっている場合、STA URLは負荷分散サービスのURLである必要があります。
- Secure XML機能が無効になっている場合、STA URLはSTAのURL(DDCのアドレス)である必要があり、DDC上のTrustRequestsSentToTheXmlServicePortパラメーターはTrueに設定されている必要があります。
セキュアチケットオーソリティURLを追加します(/ja-jp/citrix-virtual-apps-desktops/1912-ltsr/media/add-sta-urls.png)