-
-
-
-
-
セキュリティキー
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
セキュリティキーを管理する
重要:
- この機能は、StoreFront™ 1912 LTSR CU2以降と組み合わせて使用する必要があります。
- Secure XML機能は、Citrix ADCおよびCitrix Gatewayリリース12.1以降でのみサポートされています。
注:
Citrix Virtual Apps and Desktops™の展開を管理するには、Webブラウザーからアクセス可能なWeb Studioと、Windows環境で動作するCitrix Studioという2種類の管理コンソールを利用できます。この記事ではWeb Studioのみを扱います。Citrix Studioに関する情報については、Citrix Virtual Apps and Desktops 7 2212以前の同等の記事を参照してください。
この機能を使用すると、承認されたStoreFrontおよびCitrix GatewayマシンのみがDelivery Controllerと通信できるようになります。この機能を有効にすると、キーを含まないすべての要求はブロックされます。この機能を使用して、内部ネットワークから発生する攻撃から保護するための追加のセキュリティ層を追加します。
この機能を使用するための一般的なワークフローは次のとおりです。
-
Web Studioで機能設定を表示できるようにします。
-
サイトの設定を構成します。
-
StoreFrontの設定を構成します。
-
Citrix ADCの設定を構成します。
サイトの設定を構成する
Web StudioまたはPowerShellを使用して、サイトのセキュリティキー設定を構成できます。
Web Studio を使用してください
- Web Studioにサインインし、左ペインでSettingsを選択します。
-
「セキュリティキーの管理」タイルを見つけて、「編集」をクリックします。「セキュリティキーの管理」ページが表示されます。
-
更新アイコンをクリックしてキーを生成します。
重要:
- 使用可能なキーは2つあります。XMLポートおよびSTAポートを介した通信には、同じキーまたは異なるキーを使用できます。一度に1つのキーのみを使用することをお勧めします。未使用のキーは、キーのローテーションにのみ使用されます。
- すでに使用中のキーを更新するために更新アイコンをクリックしないでください。クリックすると、サービスが中断されます。
-
通信にキーが必要な場所を選択します。
-
XMLポートを介した通信にキーを要求する(StoreFrontのみ)。選択した場合、XMLポートを介した通信を認証するためにキーが必要になります。StoreFrontはこのポートを介してCitrix Cloudと通信します。XMLポートの変更については、Knowledge Centerの記事CTX127945を参照してください。
-
STAポートを介した通信にキーを要求する。選択した場合、STAポートを介した通信を認証するためにキーが必要になります。Citrix GatewayとStoreFrontはこのポートを介してCitrix Cloudと通信します。STAポートの変更については、Knowledge Centerの記事CTX101988を参照してください。
-
- Saveをクリックして変更を適用し、ウィンドウを閉じます。
パワーシェルを使用する
以下は、Web Studioの操作に相当するPowerShellの手順です。
-
シトリックス バーチャル アプリ アンド デスクトップ リモート PowerShell SDK を実行します。
- コマンドウィンドウで、次のコマンドを実行します。
Add-PSSnapIn Citrix*
- 次のコマンドを実行してキーを生成し、Key1 をセットアップします。
New-BrokerXmlServiceKeySet-BrokerSite -XmlServiceKey1 <the key you generated>
- 次のコマンドを実行してキーを生成し、Key2 をセットアップします。
New-BrokerXmlServiceKeySet-BrokerSite -XmlServiceKey2 <the key you generated>
- 次のコマンドのいずれか、または両方を実行して、通信の認証におけるキーの使用を有効にします。
- XML ポート経由で通信を認証するには:
Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
- STA ポート経由で通信を認証するには:
Set-BrokerSite -RequireXmlServiceKeyForSta $true
- XML ポート経由で通信を認証するには:
ガイダンスと構文については、PowerShell コマンドのヘルプを参照してください。
StoreFront の設定を構成する
サイトの構成が完了したら、PowerShell を使用して StoreFront の関連設定を構成する必要があります。
StoreFrontサーバーで、次のPowerShellコマンドを実行します。
| XMLポート経由の通信用にキーを構成するには、コマンド [Set-STFStoreFarm | https://developer-docs.citrix.com/ja-jp/storefront-powershell-sdk/current-release/Set-STFStoreFarm.html] を使用します。例: |
$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->
次のパラメーターに適切な値を入力します。
Path to storeResource feed namesecret
STAポート経由の通信用にキーを構成するには、New-STFSecureTicketAuthority および Set-STFRoamingGateway コマンドを使用します。例:
$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->
次のパラメーターに適切な値を入力します。
Gateway nameSTA URLSecret
ガイダンスと構文については、PowerShellコマンドのヘルプを参照してください。
Citrix ADC の設定を構成する
注:
Citrix ADC をゲートウェイとして使用しない限り、Citrix ADC のこの機能を構成する必要はありません。Citrix ADC を使用する場合は、次の手順に従います。
-
以下の前提条件となる構成がすでに整っていることを確認してください。
- 以下のCitrix ADC関連のIPアドレスが構成されています。
- Citrix ADCコンソールにアクセスするためのCitrix ADC管理IP (NSIP) アドレス。詳細については、「NSIPアドレスの構成」を参照してください。
- Citrix ADCアプライアンスとバックエンドサーバー間の通信を有効にするためのサブネットIP (SNIP) アドレス。詳細については、「サブネットIPアドレスの構成」を参照してください。
- セッション起動のためにADCアプライアンスにログインするためのCitrix Gateway仮想IPアドレスとロードバランサー仮想IPアドレス。詳細については、「仮想サーバーの作成」を参照してください。
- Citrix ADCアプライアンスで必要なモードと機能が有効になっています。
- モードを有効にするには、シトリックス ADC GUIで システム > 設定 > モードの構成 に移動します。
- 機能を有効にするためには、Citrix ADCのGUI画面を開き、System > Settings > Configure Basic Features と表示されている箇所へ移動してください。
- 証明書関連の構成が完了しています。
- 証明書署名要求 (CSR) が作成されています。詳細については、「証明書の作成」を参照してください。
- サーバー証明書、CA証明書、およびルート証明書がインストールされています。詳細については、「インストール、リンク、および更新」を参照してください。
- Citrix Virtual Desktops 用に Citrix Gateway が作成されています。「STA接続をテスト」ボタンをクリックして接続をテストし、仮想サーバーがオンラインであることを確認してください。詳細については、Citrix Virtual Apps and Desktops 用 Citrix ADC のセットアップを参照してください。
- 以下のCitrix ADC関連のIPアドレスが構成されています。
-
リライトアクションを追加します。詳細については、「Configuring a Rewrite Action」を参照してください。
- 「AppExpert > 書き換え > アクション」に移動します。
- Addをクリックして、新しいリライトアクションを追加します。アクションの名前は「set Type to INSERT_HTTP_HEADER」にできます。
- タイプ の設定項目として、INSERT_HTTP_HEADER を選択してください。
- 「ヘッダー名」のフィールドに「X-Citrix-XmlServiceKey」と入力します。
- 「式」に、引用符付きで
<XmlServiceKey1 value>を追加します。XmlServiceKey1の値は、Desktop Delivery Controller™の構成からコピーできます。
- リライトポリシーを追加します。詳細については、「Configuring a Rewrite Policy」を参照してください。
-
AppExpert > リライト > ポリシーに移動します。
-
Addをクリックして、新しいポリシーを追加します。
- 「アクション」で、前のステップで作成したアクションを選択します。
- 「式」のフィールドに「HTTP.REQ.IS_VALID」を追加します。
- 「OK」をクリックします。
-
-
負荷分散を設定します。STAサーバーごとに1つの負荷分散仮想サーバーを構成する必要があります。そうしないと、セッションの起動に失敗します。
詳細については、基本的な負荷分散の設定を参照してください。
- 負荷分散仮想サーバーを作成します。
- 「トラフィック管理 > 負荷分散 > サーバー」に移動します。
- 「仮想サーバー」ページで、「追加」をクリックします。
- 「プロトコル」で、「HTTP」を選択します。
- 負荷分散仮想IPアドレスを追加し、「ポート」で「80」を選択します。
- 「OK」をクリックします。
- 負荷分散サービスを作成します。
- 「トラフィック管理 > 負荷分散 > サービス」に移動します。
- 「既存のサーバー」で、前の手順で作成した仮想サーバーを選択します。
- 「プロトコル」で「HTTP」を選択し、「ポート」で「80」を選択します。
- 「OK」をクリックし、「完了」をクリックします。
- サービスを仮想サーバーにバインドします。
- 以前に作成した仮想サーバーを選択し、「編集」をクリックします。
- 「サービスとサービスグループ」で、「ロードバランシング仮想サーバーサービスバインディングなし」をクリックします。
サービスを仮想サーバーにバインドする(/ja-jp/citrix-virtual-apps-desktops/2402-ltsr/media/adc-bind-service-to-lbvserver.png)
- 「サービスバインディング」で、以前に作成したサービスを選択します。
- 「バインド」をクリックします。
- 以前に作成した書き換えポリシーを仮想サーバーにバインドします。
- 以前に作成した仮想サーバーを選択し、「編集」をクリックします。
- 「詳細設定」で「ポリシー」をクリックし、次に「ポリシー」セクションで「+」をクリックします。
書き換えポリシーをバインドする(/ja-jp/citrix-virtual-apps-desktops/2402-ltsr/media/adc-bind-rewrite-policy.png)
- 「ポリシーの選択」で「書き換え」を選択し、「種類の選択」で「要求」を選択します。
- 「続行」をクリックします。
- ポリシーの選択で、以前に作成した書き換えポリシーを選択します。
- バインドをクリックします。
- 完了をクリックします。
- 必要に応じて、仮想サーバーの永続性を設定します。
- 以前に作成した仮想サーバーを選択し、編集をクリックします。
- 詳細設定で、永続性をクリックします。
永続性の設定(/ja-jp/citrix-virtual-apps-desktops/2402-ltsr/media/adc-lb-vserver-persistence.png)
- 永続性の種類としてその他を選択します。
- DESTIPを選択して、仮想サーバーによって選択されたサービスのIPアドレス(宛先IPアドレス)に基づいて永続セッションを作成します。
- IPv4ネットマスクで、DDCと同じネットワークマスクを追加します。
- OKをクリックします。
- 他の仮想サーバーについても、これらの手順を繰り返します。
- 負荷分散仮想サーバーを作成します。
Citrix ADCアプライアンスがCitrix Virtual Desktops™で既に構成されている場合の構成の変更
Citrix ADCアプライアンスをCitrix Virtual Desktopsで既に構成している場合、Secure XML機能を使用するには、以下の構成変更を行う必要があります。
- セッション起動前に、ゲートウェイのセキュリティチケット機関URLを変更して、負荷分散仮想サーバーのFQDNを使用するようにします。
-
TrustRequestsSentToTheXmlServicePortパラメーターが False に設定されていることを確認します。デフォルトでは、TrustRequestsSentToTheXmlServicePortパラメーターは False に設定されています。ただし、顧客がCitrix Virtual Desktops用にCitrix ADCをすでに構成している場合、TrustRequestsSentToTheXmlServicePortは True に設定されます。
- Citrix ADCのジーユーアイで、構成 > Citrix製品との統合 に移動し、XenApp and XenDesktop® をクリックします。
-
ゲートウェイインスタンスを選択し、編集アイコンをクリックします。
既存のゲートウェイ構成を編集(/ja-jp/citrix-virtual-apps-desktops/2402-ltsr/media/edit-gateway-instance.png)
-
StoreFrontペインで、編集アイコンをクリックします。
StoreFrontの詳細を編集します(/ja-jp/citrix-virtual-apps-desktops/2402-ltsr/media/edit-storefront-details.png)
-
セキュアチケットオーソリティURL を追加します。
- Secure XML機能が有効になっている場合、STA URLは負荷分散サービスのURLである必要があります。
- Secure XML機能が無効になっている場合、STA URLはSTAのURL(DDCのアドレス)である必要があり、DDC上のTrustRequestsSentToTheXmlServicePortパラメーターはTrueに設定されている必要があります。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.