This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
ウェブスタジオおよびディレクターでTLSを有効にする
HTTPSを有効にすることで、Web StudioおよびDirectorへの接続を保護するために、常にTLSを使用することをお勧めします。この記事では、Web StudioおよびDirectorを構成して信頼された証明書を使用し、HTTPS経由で安全なアクセスを確保する方法について説明します。
デフォルトの動作
Web Studioをインストールすると、インストーラーは自己署名証明書を作成し、現在のサーバーのポート443にバインドします。ローカルサーバーでは、WebブラウザーからHTTPS経由でWeb StudioおよびDirectorにアクセスできます。
ただし、別のマシンからHTTPS経由でWeb StudioまたはDirectorにアクセスしようとすると、ブラウザーは証明書を信頼しないため、セキュリティエラーを表示します。
注記:
Web StudioなしでDirectorをインストールした場合、インストーラーは自己署名証明書を作成しません。
HTTPS経由で安全なアクセスを有効にする
Web Studioサーバー以外のマシンからHTTPS経由でWeb StudioまたはDirectorへのアクセスを許可するには、次の手順に従います。
-
Web Studioがプロキシとして構成されていない場合(クライアントマシンがWeb StudioとDelivery Controllerの両方に接続する場合)、Delivery ControllerでTLSを有効にする。
注記:
自己署名証明書の使用は、各マシンでの手動構成が必要なため、推奨されません。詳細については、自己署名証明書を使用するを参照してください。
信頼された証明書を作成またはインポートする
サーバーに接続するマシンによって信頼されている、エンタープライズまたはパブリックの証明機関からの証明書を使用することをお勧めします。
詳細については、「新しい証明書の作成」および「既存の証明書のインポート」を参照してください。証明書の共通名またはサブジェクトの別名は、ユーザーがWeb StudioまたはDirectorに接続するために使用するFQDNと一致している必要があります。サーバーの前にロードバランサーが展開されている場合は、ロードバランサーのFQDNを使用してください。
証明書をポート443にバインドする
信頼された証明書を作成またはインポートした後、IISでポート443にバインドします。これは、インストール前またはインストール後に行うことができます。証明書のバインドがすでにポート443に構成されている場合、インストーラーは何も変更しません。
注:
デフォルトでは、Web StudioとDirectorはセキュアなHTTPSアクセスにポート443を使用します。必要に応じてポート番号を変更できます。詳細については、「デフォルトのポート番号の変更」を参照してください。
証明書をポート443にバインドするには、次の手順に従います。
-
管理者としてサーバーにログオンします。
-
IISマネージャーを開き、サイト > 既定のWebサイト > バインドに移動します。
-
種類がhttpsの既存のバインドがある場合は、それを選択して編集…をクリックします。httpsバインドがない場合は、追加をクリックします。
-
サイトバインドを作成または編集します。
-
新しいバインドの場合は、種類をhttpsに、ポートを
443に設定します。 -
適切なSSL証明書を選択します。
-
Windows Server 2022以降では、ユーザーが最新のTLSバージョンのみを使用して接続できるように、オプションでレガシーTLSを無効にするを選択します。
-
OKをクリックします。
サイトバインディングを追加(/ja-jp/citrix-virtual-apps-desktops/2402-ltsr/media/add-site-binding.png)
-
または、PowerShellを使用して証明書を変更することもできます。たとえば、次のスクリプトは、指定された共通名を持つ証明書を検索し、それをすべてのIPアドレス、ポート443にバインドし、レガシーTLSバージョンを無効にします。
$certSName = 'CN=whpdevddc0.bvttree.local' # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="{91fe7386-e0c2-471b-a252-1e0a805febac}" disablelegacytls=enable
<!--NeedCopy-->
appidは、どのアプリケーションが証明書を追加したかを識別するために使用できる任意のGUIDであることに注意してください。
自己署名証明書を使用する
既存の自己署名証明書を使用できますが、サーバーにアクセスする各マシンを手動で構成する必要があるため、推奨されません。
Web Studioに接続する必要があるマシンに自己署名証明書をインストールするには:
- Web StudioおよびDelivery Controllerサーバーから既存の自己署名証明書をエクスポートします。
- サーバーにアクセスする必要があるマシンの信頼されたルート証明書ストアに証明書をインポートします。
HTTP ストリクト トランスポート セキュリティ (HSTS) を有効にする (オプション)
HTTP Strict Transport Security (HSTS)は、サイトにアクセスする際にHTTPSのみを使用するようにWebブラウザに指示します。ユーザーがHTTPを使用してURLにアクセスしようとすると、ブラウザは自動的にHTTPSに切り替わります。この設定により、クライアント側とサーバー側の両方で安全な接続検証が保証されます。ブラウザは、設定された期間、この検証を維持します。
ウィンドウズ サーバー 2019 以降では、IISでHSTSを構成できます。
- インターネットインフォメーションサービス (IIS) マネージャーを開きます。
- 既定のWebサイト (または適切なWebサイト) を選択します。
- 右側の「操作」ペインで、「HSTS…」を選択します。
- 「有効にする」を選択し、最大有効期間を入力します (例: 1年間で31536000)。
- 「HttpをHttpsにリダイレクト」を選択します。
「注:」
Web Studioは、Studio Webサイトへのアクセス時にHTTPをHTTPSにリダイレクトする「URL書き換え」ルールを自動的に構成します。ただし、このオプションはDirectorおよびIISサイト上の他のすべてのアプリケーションにも適用されます。
-
「OK」をクリックします。
(オプション) デフォルトのポート番号を変更する
デフォルトでは、Web StudioとDirectorはセキュアなHTTPSアクセスにポート443を使用します。このポート番号を変更するには、Default Web Siteで目的のポートのサイトバインディングを作成するために、次の手順に従います。
手順:
-
Web Studioをホストしているサーバーで、「インターネットインフォメーションサービス (IIS) マネージャー」を開きます。
-
「接続」ペインで、サーバーノードを展開し、「サイト」の下にある「Default Web Site」を選択します。
-
右側の「操作」ペインで、「バインディング」をクリックします。
-
「サイトバインディング」ウィンドウで、「追加」をクリックします。
-
「サイトバインディングの追加」ウィンドウで、新しいバインディングに以下を設定します。
- 種類: httpsを選択します。
- IPアドレス: 適切なIPアドレスを選択するか、該当する場合は「すべて未割り当て」のままにします。
- ポート: 目的のポート番号を入力します(例: 444)。
- SSL証明書: セキュアな通信のために適切なSSL証明書を選択します。
注:
Delivery Controller™ と Web Studio が別々のマシンにインストールされており、サーバーに他のサービスや Web サイトが展開されていない場合は、ポート 443 を削除できます。そうでない場合は、オーケストレーションサービスや他の FMA サービスとの通信の問題を避けるために、このポートを維持してください。
-
OK をクリックしてバインディングを保存し、サイトバインディング ウィンドウを閉じます。
-
IIS マネージャーで、サーバーノードをクリックし、操作ペインで再起動をクリックして新しいバインディングを適用します。
(オプション)HTTPS リダイレクトを無効にする
Web Studio をインストールすると、デフォルトで、すべての HTTP アクセスは HTTPS に自動的にリダイレクトされます。HTTP アクセスを許可するために、このリダイレクトを無効にすることができます。この方法は、HTTP アクセスをブロックするための他の対策を講じている場合にのみ推奨されます。Web Studio の前に TLS 終端ロードバランサーがある場合でも、ロードバランサーと Web Studio の間で HTTPS を使用することをお勧めします。
- Web Studio サーバーにログオンします。
- インターネット インフォメーション サービス (IIS) マネージャーを開き、Server_name > サイト > 既定の Web サイト > URL 書き換えに移動します。
-
次のスクリーンショットに示すように、https へのリダイレクトの受信規則を無効にします。
HTTPS リダイレクトを無効にする(/ja-jp/citrix-virtual-apps-desktops/2402-ltsr/media/studio-disable-https-redirect.png)
IISでHSTSを有効にしている場合は、「Redirect Http to Https」のチェックも外す必要があります。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.