製品ドキュメント
Citrix Virtual Apps and Desktops 7 2311
PDFを表示

セキュリティキーの管理

May 31, 2026
寄稿者: 
C C

重要:

  • この機能は、StoreFront™ 1912 LTSR CU2以降と組み合わせて使用する必要があります。
  • Secure XML機能は、Citrix ADCおよびCitrix Gatewayリリース12.1以降でのみサポートされています。

注:

Citrix Virtual Apps and Desktops™の展開は、Web Studio(Webベース)とCitrix Studio(Windowsベース)という2つの管理コンソールを使用して管理できます。本記事ではWeb Studioのみを対象としています。Citrix Studioに関する情報については、Citrix Virtual Apps and Desktops 7 2212以前の同等の記事を参照してください。

この機能を使用すると、承認されたStoreFrontおよびCitrix GatewayマシンのみがDelivery Controllerと通信できるようになります。この機能を有効にすると、キーを含まないすべての要求はブロックされます。この機能を使用して、内部ネットワークから発生する攻撃から保護するための追加のセキュリティ層を追加します。

この機能を使用するための一般的なワークフローは次のとおりです。

  1. Web Studioで機能設定を表示できるようにします。

  2. サイトの設定を構成します。

  3. StoreFrontの設定を構成します。

  4. Citrix ADCの設定を構成します。

サイトの設定を構成する

Web StudioまたはPowerShellを使用して、サイトのセキュリティキー設定を構成できます。

Web Studioの利用について

  1. Web Studioにサインインし、左側のペインで「設定」を選択します。

  2. 「セキュリティキーの管理」タイルを見つけて「編集」をクリックします。「セキュリティキーの管理」ページが表示されます。

    セキュリティキーの管理ウィザード

  3. 更新アイコンをクリックしてキーを生成します。

    重要:

    • 使用可能なキーは2つあります。XMLポートおよびSTAポートを介した通信には、同じキーまたは異なるキーを使用できます。一度に1つのキーのみを使用することをお勧めします。未使用のキーは、キーのローテーションにのみ使用されます。
    • 既に使用中のキーを更新するために更新アイコンをクリックしないでください。クリックすると、サービスが中断されます。

  4. 通信にキーが必要な場所を選択します。

    • XMLポートを介した通信にキーを要求する(StoreFrontのみ)。選択した場合、XMLポートを介した通信を認証するためにキーを要求します。StoreFrontはこのポートを介してCitrix Cloudと通信します。XMLポートの変更については、Knowledge Centerの記事CTX127945を参照してください。

    • STAポートを介した通信にキーを要求する。選択した場合、STAポートを介した通信を認証するためにキーを要求します。Citrix GatewayとStoreFrontはこのポートを介してCitrix Cloudと通信します。STAポートの変更については、Knowledge Centerの記事CTX101988を参照してください。

  5. 「保存」をクリックして変更を適用し、ウィンドウを閉じます。

パワーシェルを使用する

以下は、Web Studioの操作に相当するPowerShellの手順です。

  1. シトリックス バーチャル アプリケーションズ アンド デスクトップス リモート パワーシェル SDK を実行します。

  2. コマンドウィンドウで、次のコマンドを実行します。
    • Add-PSSnapIn Citrix*
  3. キーを生成し、Key1を設定するには、以下のコマンドを実行します。
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. キーを生成し、Key2を設定するには、以下のコマンドを実行します。
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. 通信の認証でキーの使用を有効にするには、以下のコマンドのいずれか、または両方を実行します。
    • XMLポート経由で通信を認証するには:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • STAポート経由で通信を認証するには:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

ガイダンスと構文については、PowerShellコマンドのヘルプを参照してください。

StoreFrontの設定を構成する

サイトの構成を完了した後、PowerShellを使用してStoreFrontの関連設定を構成する必要があります。

StoreFrontサーバーで、次のPowerShellコマンドを実行します。

  • XMLポート経由の通信用にキーを構成するには、Get-STFStoreServieおよびSet-STFStoreServiceコマンドを使用します。例:
    • PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers <domain name1, domain name2> -XMLValidationEnabled $true -XMLValidationSecret <the key you generated in Web Studio>
  • STAポート経由の通信用にキーを構成するには、New-STFSecureTicketAuthorityコマンドを使用します。例:
    • PS C:\> $sta = New-STFSecureTicketAuthority –StaUrl <STA URL> -StaValidationEnabled $true -StavalidationSecret <the key you generated in Web Studio>

ガイダンスと構文については、PowerShellコマンドのヘルプを参照してください。

Citrix ADCの設定を構成する

注:

Citrix ADCをゲートウェイとして使用しない限り、Citrix ADCでこの機能を構成する必要はありません。Citrix ADCを使用する場合は、次の手順に従います。

  1. 次の前提条件となる構成がすでに設定されていることを確認してください。

    • 次のCitrix ADC関連のIPアドレスが構成されています。
      • Citrix ADCコンソールにアクセスするためのCitrix ADC管理IP(NSIP)アドレス。詳細については、「NSIPアドレスの構成」を参照してください。

      ADC管理IPアドレス

      • Citrix ADCアプライアンスとバックエンドサーバー間の通信を有効にするためのサブネットIP(SNIP)アドレス。詳細については、「サブネットIPアドレスの構成」を参照してください。
      • セッション起動のためにADCアプライアンスにログインするためのCitrix Gateway仮想IPアドレスとロードバランサー仮想IPアドレス。詳細については、「仮想サーバーの作成」を参照してください。

      サブネットIPアドレス

    • Citrix ADCアプライアンスで必要なモードと機能が有効になっています。
      • モードを有効にするには、Citrix ADC GUIで システム > 設定 > モードの構成 に移動します。
      • 機能を有効にするには、Citrix ADC GUIで システム > 設定 > 基本機能の構成 に移動します。
    • 証明書関連の設定が完了しました。
      • 証明書署名要求 (CSR) が作成されます。詳細については、「証明書の作成」を参照してください。

      CSR証明書の作成

      サーバー証明書のインストール

      CA証明書のインストール

      仮想デスクトップ用ゲートウェイ

  2. リライトアクションを追加します。詳細については、「リライトアクションの構成」を参照してください。

    1. Appエキスパート > リライト > アクション に移動します。
    2. Add をクリックして、新しいリライトアクションを追加します。アクションの名前を「set Type to INSERT_HTTP_HEADER」にすることができます。

    リライトアクションの追加

    1. タイプの項目において、INSERT_HTTP_HEADERを選択してください。
    2. ヘッダー名の項目に、X-Citrix-XmlServiceKeyと入力してください。
    3. に、引用符を含めて <XmlServiceKey1 value> を追加します。XmlServiceKey1 の値は、Desktop Delivery Controller™ の構成からコピーできます。

    XMLサービスキーの値

  3. リライトポリシーを追加します。詳しくは、「リライトポリシーの構成」を参照してください。

    1. AppExpert > リライト > ポリシー」の順に移動します。

    2. Addをクリックして新しいポリシーを追加します。

    リライトポリシーの追加

    1. Actionで、前の手順で作成したアクションを選択します。
    2. エクスプレッション」に「HTTP.REQ.IS_VALID」を追加します。
    3. OKをクリックします。

  4. 負荷分散を設定します。STAサーバーごとに1つの負荷分散仮想サーバーを構成する必要があります。構成しない場合、セッションの起動に失敗します。

    詳しくは、「基本的な負荷分散の設定」を参照してください。

    1. 負荷分散仮想サーバーを作成します。
      • トラフィック管理 > 負荷分散 > サーバー」に移動します。
      • 仮想サーバー」ページで、「追加」をクリックします。

      ロードバランシングサーバーを追加(/ja-jp/citrix-virtual-apps-desktops/2311/media/adc-create-lb-vserver.png)

      • プロトコルで、HTTPを選択します。
      • ロードバランシング仮想IPアドレスを追加し、「Port」で「80」を選択します。
      • OK」をクリックします。
    2. ロードバランシングサービスを作成します。
      • トラフィック管理 > 負荷分散 > サービスに移動します。

      ロードバランシングサービスを追加(/ja-jp/citrix-virtual-apps-desktops/2311/media/adc-create-lb-service.png)

      • Existing Server」で、前の手順で作成した仮想サーバーを選択します。
      • Protocol」で「HTTP」を選択し、「Port」で「80」を選択します。
      • OK」をクリックし、次に「Done」をクリックします。
    3. サービスを仮想サーバーにバインドします。
      • 以前に作成した仮想サーバーを選択し、「Edit」をクリックします。
      • サービスとサービスグループ」で、「ロードバランシング仮想サーバーサービスバインディングなし」をクリックします。

      仮想サーバーにサービスをバインドする(/ja-jp/citrix-virtual-apps-desktops/2311/media/adc-bind-service-to-lbvserver.png)

      • Service Bindingで、以前に作成したサービスを選択します。
      • Bindをクリックします。
    4. 以前に作成した書き換えポリシーを仮想サーバーにバインドします。
      • 以前に作成した仮想サーバーを選択し、Editをクリックします。
      • Advanced SettingsPoliciesをクリックし、次にPoliciesセクションで+をクリックします。

      書き換えポリシーをバインドする(/ja-jp/citrix-virtual-apps-desktops/2311/media/adc-bind-rewrite-policy.png)

      • ポリシーの選択」で「書き換え」を選択し、「種類の選択」で「リクエスト」を選択します。
      • Continueをクリックします。
      • Select Policyで、以前に作成した書き換えポリシーを選択します。
      • Bindをクリックします。
      • Doneをクリックします。
    5. 必要に応じて、仮想サーバーの永続性を設定します。
      • 以前に作成した仮想サーバーを選択し、Editをクリックします。
      • 詳細設定」で「永続性」をクリックします。

      永続性の設定(/ja-jp/citrix-virtual-apps-desktops/2311/media/adc-lb-vserver-persistence.png)

      • 永続性タイプとしてOthersを選択します。
      • 仮想サーバーによって選択されたサービス(宛先IPアドレス)のIPアドレスに基づいて永続性セッションを作成するには、DESTIPを選択します。
      • IPv4 Netmaskで、DDCと同じネットワークマスクを追加します。
      • OKをクリックします。
    6. 他の仮想サーバーについても、これらの手順を繰り返します。

Citrix ADCアプライアンスがCitrix Virtual Desktops™で既に構成されている場合の構成変更

Citrix ADCアプライアンスをCitrix Virtual Desktopsで既に構成している場合は、Secure XML機能を使用するために、以下の構成変更を行う必要があります。

  • セッション起動前に、ゲートウェイのSecurity Ticket Authority URLを、負荷分散仮想サーバーのFQDNを使用するように変更します。
  • TrustRequestsSentToTheXmlServicePortパラメーターがFalseに設定されていることを確認してください。デフォルトでは、TrustRequestsSentToTheXmlServicePortパラメーターはFalseに設定されています。ただし、顧客がCitrix ADCをCitrix Virtual Desktops用に既に構成している場合、TrustRequestsSentToTheXmlServicePortはTrueに設定されます。
  1. Citrix ADC GUIで、「構成 > Citrix製品との統合」に移動し、「XenAppおよびXenDesktop®」をクリックします。

  2. ゲートウェイインスタンスを選択し、編集アイコンをクリックします。

    既存のゲートウェイ構成を編集(/ja-jp/citrix-virtual-apps-desktops/2311/media/edit-gateway-instance.png)

  3. StoreFrontペインで、編集アイコンをクリックします。

    ストアフロントの詳細を編集

  4. セキュアチケットオーソリティURL を追加します。
    • Secure XML機能が有効になっている場合、STA URLはロードバランシングサービスのURLである必要があります。
    • Secure XML機能が無効になっている場合、STA URLはSTAのURL(DDCのアドレス)である必要があり、DDC上のTrustRequestsSentToTheXmlServicePortパラメーターはTrueに設定されている必要があります。

    エスティーエーURLを追加

セキュリティキーの管理
May 31, 2026
寄稿者: 
C C
May 31, 2026
寄稿者: 
C C

この記事の概要

サイトに関するフィードバック | Your privacy choices footer linkプライバシーに関する選択肢 | プライバシーと法令 | Cookieの設定 | 同意設定 | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.