Web Studioのスマートカード認証の設定
この記事では、Web Studioのスマートカード認証を設定して有効にするために必要な手順について説明します:
手順5(オプション)Web Studioの認証の委任を構成する
手順6:Web Studioのスマートカード認証を有効にする
注:
スマートカード認証は、Web Studioサーバーと同じActive Directoryドメインからのユーザーに対してのみサポートされています。
手順1:スマートカードドライバーをインストールする
次のマシンにスマートカードドライバーをインストールします:
- 証明書サービスがインストールされているドメインコントローラー。
- Web Studioサーバー
- エンドユーザーがWeb Studioにアクセスするために使用するマシン
- スマートカードユーザーの証明書を登録するために使用するマシン
ドライバーは https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-driversからダウンロードできます。
手順2:スマートカードユーザー向けの証明書を発行する
ドメインコントローラーで、次の手順に従ってタスクを完了します:
-
ドメインコントローラーにアクセスし、証明機関を開きます。
-
登録エージェントテンプレートを複製します。詳細な手順は次のとおりです:
-
[証明書テンプレート] をクリックして [管理] を選択します。
- 登録エージェントを右クリックし、[テンプレートの複製] を選択します。
-
[暗号化] タブで [Microsoft Base Smart Card Crypto Provider] を選択し、[OK] をクリックします。「登録エージェントのコピー」という名前のテンプレートが [証明書テンプレート] 一覧に表示されます。
![[証明書テンプレート]>[暗号化]](/en-us/citrix-virtual-apps-desktops/media/ca-manage-template-crypto.png)
-
[サブジェクト名] タブで、[サブジェクト名に電子メール名を含める] が選択されていないことを確認します。
![[証明書テンプレート]>[サブジェクト名]](/en-us/citrix-virtual-apps-desktops/media/ca-manage-template-crypto-sname.png)
-
-
スマートカードユーザーテンプレートの権限を確認します。詳細な手順は次のとおりです:
- [証明書テンプレート] をクリックして [管理] を選択します。
- スマートカードユーザーを右クリックして、[プロパティ] を選択します。
-
[セキュリティ] タブの [ドメイン管理者] で、以下のように次の権限が選択されていることを確認します:
![[証明書テンプレート]>[セキュリティ]](/en-us/citrix-virtual-apps-desktops/media/ca-manage-template-security.png)
- スマートカードの証明書を発行します。詳細な手順は次のとおりです:
- [証明書テンプレート] を右クリックして、[新規]>[発行する証明書テンプレート] の順に選択します。
- 登録エージェントとスマートカードユーザーのコピーを選択します。
- [OK] をクリックします。
手順3:スマートカードユーザーの証明書を登録する
ドメインに参加している物理Windowsマシンで、各スマートカードの証明書を登録するには、次の手順を実行します:
- 登録に使用するために、ドメインに参加している物理Windowsマシンを準備します:
- スマートカードドライバーがインストールされていることを確認します。
- スマートカードをマシンに挿入します。
- スマートカードに割り当てるユーザーアカウントを使用してマシンにログオンします。
- 手順1で準備したマシンに証明書スナップインを追加します。 詳細な手順は次のとおりです:
- mmcを開きます。
- [ファイル]、[スナップインの追加と削除] の順にクリックします。
- 表示される [スナップインの追加と削除] ウィンドウで、[証明書] を選択し、[追加] をクリックします。
- 表示されるダイアログボックスで、[ユーザーアカウント] を選択し、[完了] をクリックします。
-
[OK] をクリックします。
-
証明書スナップインに新しい証明書を要求します。詳細な手順は次のとおりです:
-
[証明書 - 現在のユーザー]>[個人] に移動して、[証明書] を右クリックし、[すべてのタスク]>[新しい証明書の要求] を選択します。
-
表示される [証明書の要求] ダイアログ ボックスで、登録エージェントのコピーとスマートカードユーザー を選択します。
- 上記のダイアログボックスで、スマートカードユーザーの [詳細] をクリックし、[プロパティ] をクリックします。[証明書のプロパティ] ダイアログボックスが表示されます。
![[新しい証明書の要求]>[プロパティ]](/en-us/citrix-virtual-apps-desktops/media/add-certificate-3-2.png)
- [秘密キー] タブで、[暗号化サービス プロバイダー] を展開し、Microsoft Strong Cryptographic Provider(Encrption) をオフにして、Microsoft Base Smart Card Crypto Provider(Encryption) のみを選択し、[OK] をクリックします。
- [登録] をクリックします。
- 表示される[Windowsセキュリティ] ダイアログボックスで、スマートカードのPINコードを入力し、[OK] をクリックします。登録が完了したら、[完了] をクリックします。
-
登録が成功すると、次のスクリーンショットのように、[証明書 - 現在のユーザー]-[個人]->[証明書] の下に2つの証明書が表示されます。
手順4:Web Studio IISサーバーを構成する
各Web Studioサーバーで、次の手順に従って、スマートカード認証用にIISを構成します:
-
Web Studioマシンのクライアント証明書マッピング認証を有効にします**。
<clientCertificateMappingAuthentication>要素は、IIS 7以降のデフォルトのインストールでは使用できません。インストールと有効化について詳しくは、Microsoftの記事を参照してください。 - Web StudioマシンでIISマネージャーを起動します。
-
マシンの [Active Directoryクライアント証明書の認証] を有効にします。詳細な手順は次のとおりです:
-
左側のペインでマシンを選択し、[認証] をダブルクリックします。
-
[Active Directoryクライアント証明書の認証] を有効にします。
-
- クライアント証明書認証を使用して、より安全なHTTPSプロトコル用にWeb Studio Backendモジュールを構成します:
-
[サイト]>[規定のWebサイト]>[Studio]>[バックエンド]>[スマートカード] に移動して、[IIS] セクションの [SSL設定] をダブルクリックします。
-
[クライアント証明書] で [必要] を選択します。
-
[サイト]>[規定のWebサイト]>[Studio]>[バックエンド]>[スマートカード] に移動して、[IIS] セクションの [構成エディター] をダブルクリックします。
-
/clientCertificateMappingAuthenticationがenabledであることを確認します。
-
-
(Windows 2022のみ)TCP経由のTLS 3.1を無効にします。詳細な手順は次のとおりです:
- [サイト]>[既定のWebサイト] に移動します。
- [サイトバインドの編集] をクリックします。
-
表示される [サイトバインド] ダイアログボックスで、httpsレコードを選択し、[編集] をクリックします。
-
表示される [サイトバインドの編集] ダイアログボックスで、[Disable TLS 1.3 over TCP] を選択し、[OK] をクリックします。
ヒント:
Web Studio Backendは、Web Studio内のモジュールであり、次の機能を提供します:
- スマートカード認証。
- 統合Windows認証を使用して、オーケストレーションサービスからFMAベアラートークンを取得します。
手順5(オプション)Web Studioの認証の委任を構成する
Web StudioとDelivery Controllerが異なるサーバーにインストールされている場合は、HOSTおよびHTTPSサービスについて、各Web StudioサーバーのDelivery Controllerへの委任を構成する必要があります。
各Web Studioサーバーのタスクを完了するには、次の手順を実行します:
- Delivery Controller Orchestration HTTPS証明書をインポートする
- Web Studioサーバーの委任を構成する
- Web Studio IISサーバーのサービスアカウントの委任を構成する
Delivery Controller Orchestration HTTPS証明書をインポートする
Web Studioサーバーで、Delivery Controller Orchestration HTTPS証明書を [信頼されたルート証明機関] にインポートします。詳細な手順は次のとおりです:
- [設定]>[コンピューター証明書の管理] を開始します。
-
[信頼されたルート証明機関]>[証明書] を右クリックして [すべてのタスク]>[インポート] を選択します。
- 画面の指示に従って、Delivery Controller Orchestration HTTPS証明書をインポートします。
Web Studioサーバーの委任を構成する
ドメインコントローラーで、HOSTおよびHTTPサービスに関してWeb Studioサーバーの委任をDelivery Controllerに構成します。タスクを完了するには、次の手順を実行します:
- ドメインコントローラーで、Active Directory管理センターを起動します。
- 委任を構成するWeb Studioサーバーのコンピューターアカウント(たとえば、Dan002)を見つけます。
-
アカウントを右クリックして [プロパティ] を選択します。
-
[委任] タブに移動します。
- [指定されたサービスへの委任でのみこのユーザーを信頼する]>[任意の認証プロトコルを使う] を選択します。
- [追加] をクリックして、このコンピューターアカウントを委任できるサービスを指定します。
- 表示される [サービスの追加] ダイアログ ボックスで、[ユーザーまたはコンピューターの追加] をクリックして、Delivery Controllerのコンピューター名(たとえば、Dan001)を見つけます。
- HOSTおよびHTTPサービスを選択し、[OK] をクリックします。
-
構成結果は次のスクリーンショットに示されています。
Web Studio IISサーバーのサービスアカウントの委任を構成する
Web Studio IISサーバーのサービスアカウントを構成した場合は、HOSTおよびHTTPサービスに関してDelivery Controllerへのこのサービスアカウントの委任も構成する必要があります。この委任が確立されると、Web Studioサーバーはサービスアカウントを使用して現在のスマートカードユーザーに偽装し、デリバリーグループのHOSTおよびHTTPサービスにアクセスできるようになります。構成を完了するには、次の手順を実行します:
- ドメインコントローラーで、Active Directory管理センターを起動します。
- 委任を構成するユーザーアカウント(たとえば、svr-stud-002)を見つけます。
- アカウントを右クリックして [プロパティ] を選択します。
- 手順2で説明されている手順に従って、Web Studio IISサーバーアカウントをDelivery ControllerのHOSTおよびHTTPサービスで委任します。
構成結果は次のスクリーンショットに示されています。
手順6:Web Studioのスマートカード認証を有効にする
Web Studioでスマートカード認証を有効にするには、次の手順を実行します:
- Web Studioにサインインし、左側のペインで [設定] を選択します。
- 必要に応じて、スマートカード認証またはドメイン資格情報 + スマートカード認証を選択します。
- 必要に応じて、スマートカード認証またはドメイン資格情報またはスマートカード認証を選択します。
-
[適用] をクリックします。
