-
-
-
-
ユニバーサルプリントサーバーのTransport Layer Security(TLS)
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
ユニバーサルプリントサーバーにおけるトランスポート層セキュリティ (TLS)
Virtual Delivery Agent (VDA) と Universal Print Server 間の TCP ベースの接続では、トランスポート層セキュリティ (TLS) プロトコルがサポートされています。
警告:
Windows レジストリを操作するタスクでは、レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような深刻な問題が発生する可能性があります。Citrix® は、レジストリエディターの誤った使用によって生じる問題が解決されることを保証できません。レジストリエディターの使用は、お客様ご自身の責任において行ってください。編集する前に、必ずレジストリをバックアップしてください。
VDA とユニバーサルプリントサーバー間の印刷接続の種類
クリアテキスト接続
印刷に関連する以下の接続は VDA から発信され、Universal Print Server 上のポートに接続します。これらの接続は、SSL enabled ポリシー設定が Disabled (デフォルト) に設定されている場合にのみ行われます。
- クリアテキスト印刷 Web サービス接続 (TCP ポート 8080)
- クリアテキスト印刷データストリーム (CGP) 接続 (TCP ポート 7229)
マイクロソフトのサポート記事 Windows のサービス概要とネットワークポート要件 では、Microsoft Windows 印刷スプーラーサービスで使用されるポートについて説明しています。このドキュメントの SSL/TLS 設定は、Windows 印刷スプーラーサービスによって行われる NetBIOS および RPC 接続には適用されません。Universal Print Server enable ポリシー設定が Enabled with fallback to Windows’ native remote printing に設定されている場合、VDA は Windows ネットワークプリントプロバイダー (win32spl.dll) をフォールバックとして使用します。
暗号化された接続
印刷に関連するこれらの SSL/TLS 接続は VDA から発信され、Universal Print Server 上のポートに接続します。これらの接続は、SSL enabled ポリシー設定が Enabled に設定されている場合にのみ行われます。
- 暗号化された印刷 Web サービス接続 (TCP ポート 8443)
- 暗号化された印刷データストリーム (CGP) 接続 (TCP ポート 443)
SSL/TLS クライアント構成
VDAはSSL/TLSクライアントとして機能します。
マイクロソフトグループポリシーとレジストリを使用して、暗号化された印刷Webサービス接続(TCPポート 8443)のためにマイクロソフト SCHANNEL SSP を構成します。マイクロソフトサポート記事 TLS レジストリ設定 には、マイクロソフト SCHANNEL SSP のレジストリ設定が記載されています。
VDAでグループポリシーエディターを使用して、[コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[SSL構成設定]>[SSL暗号スイートの順序]の順に移動します。TLS 1.3が設定されている場合は、次の順序を選択します。
TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256
TLS 1.2が設定されている場合は、次の順序を選択します。
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
注:
このグループポリシー設定が構成されている場合、VDAは、接続が両方のSSL暗号スイートリストに表示されている場合にのみ、暗号化された印刷Webサービス接続(デフォルトポート:8443)の暗号スイートを選択します。
- グループポリシーSSL暗号スイート順序リスト
- 選択したSSL暗号スイートポリシー設定(COM、GOV、またはALL)に対応するリスト
このグループポリシー構成は、VDA上の他のTLSアプリケーションおよびサービスにも影響します。アプリケーションが特定の暗号スイートを必要とする場合は、このグループポリシー暗号スイート順序リストに追加する必要がある場合があります。
重要:
TLS構成のグループポリシーの変更は、オペレーティングシステムの再起動後にのみ有効になります。
Citrixポリシーを使用して、暗号化された印刷データストリーム (CGP) 接続 (TCPポート443) のSSL/TLS設定を構成します。
SSL/TLSサーバーの構成
ユニバーサルプリントサーバーはSSL/TLSサーバーとして機能します。
Enable-UpsSsl.ps1 PowerShellスクリプトを使用して、SSL/TLS設定を構成します。
ユニバーサルプリントサーバーにTLSサーバー証明書をインストールします
HTTPSの場合、VDAによって信頼されているSSLサーバー証明書をUniversal Print Serverにインストールする必要があります。Microsoft Active Directory証明書サービスまたは別の認証局を使用して、Universal Print Serverの証明書を要求します。
Microsoft Active Directory証明書サービスを使用して証明書を登録/要求する際は、以下の考慮事項に留意してください。
- 証明書をローカルコンピューターの個人証明書ストアに配置します。
- 証明書のサブジェクト識別名 (Subject DN) の共通名属性を、Universal Print Serverの完全修飾ドメイン名 (FQDN) に設定します。これは証明書テンプレートで指定します。
- 証明書要求と秘密鍵の生成に使用される暗号化サービスプロバイダー (CSP) をMicrosoft Enhanced RSA and AES Cryptographic Provider (Encryption)に設定します。これは証明書テンプレートで指定します。
- キーサイズを2048ビット以上に設定します。これは証明書テンプレートで指定します。
証明書の作成とインストールについて詳しくは、「証明書の管理」を参照してください。
ユニバーサルプリントサーバーでの SSL の構成
Universal Print Server上のXTEサービスは、受信接続をリッスンします。SSLが有効な場合、SSLサーバーとして機能します。受信接続には、印刷コマンドを含む印刷Webサービス接続と、印刷ジョブを含む印刷データストリーム接続の2種類があります。これらの接続でSSLを有効にできます。SSLはこれらの接続の機密性と整合性を保護します。デフォルトでは、SSLは無効になっています。
SSLの構成に使用されるPowerShellスクリプトはインストールメディアにあり、ファイル名は次のとおりです。\Support\Tools\SslSupport\Enable-UpsSsl.ps1.
ユニバーサルプリントサーバーでのリッスンポート番号の構成
これらは XTE サービスのデフォルトポートです。
- クリアテキスト印刷 Web サービス (HTTP) TCP ポート: 8080
- クリアテキスト印刷データストリーム (CGP) TCP ポート: 7229
- 暗号化された印刷 Web サービス (HTTPS) TCP ポート: 8443
- 暗号化された印刷データストリーム (CGP) TCP ポート: 443
Universal Print Server で XTE サービスが使用するポートを変更するには、管理者として PowerShell で次のコマンドを実行します (Enable-UpsSsl.ps1 PowerShell スクリプトの使用に関する注記については、後のセクションを参照してください)。
Stop-Service CitrixXTEServer, UpSvc-
Enable-UpsSsl.ps1 -Enable -HTTPSPort <port> -CGPSSLPort <port>またはEnable-UpsSsl.ps1 -Disable -HTTPPort <port> -CGPPort <port> Start-Service CitrixXTEServer
ユニバーサルプリントサーバーでの TLS 設定
負荷分散構成で複数の Universal Print Server を使用している場合は、すべての Universal Print Server で TLS 設定が一貫して構成されていることを確認してください。
Universal Print Server で TLS を構成すると、インストールされている TLS 証明書のアクセス許可が変更され、Universal Printing Service に証明書の秘密キーへの読み取りアクセス権が付与され、Universal Printing Service に次の情報が通知されます。
- TLS に使用する証明書ストア内の証明書。
- TLS 接続に使用する TCP ポート番号。
Windows ファイアウォール(有効な場合)は、これらのTCPポートでの受信接続を許可するように構成する必要があります。この構成は、Enable-UpsSsl.ps1 PowerShellスクリプトを使用すると自動的に行われます。
- 許可するTLSプロトコルのバージョン。
Universal Print Serverは、TLSプロトコルバージョン1.3および1.2をサポートしています。許可される最小バージョンを指定してください。
デフォルトのTLSプロトコルバージョンは1.2です。
注:
TLS 1.1および1.0は、Citrix Virtual Apps and Desktopsバージョン2311以降ではサポートされなくなりました。
- 許可するTLS暗号スイート。
暗号スイートは、接続に使用される暗号化アルゴリズムを選択します。VDAとUniversal Print Serverは、異なる暗号スイートのセットをサポートできます。VDAが接続し、サポートされているTLS暗号スイートのリストを送信すると、Universal Print Serverはクライアントの暗号スイートの1つを、自身の構成済み暗号スイートのリストにある暗号スイートの1つと照合し、接続を受け入れます。一致する暗号スイートがない場合、Universal Print Serverは接続を拒否します。
Universal Print Serverは、OPEN、FIPS、およびSP800-52ネイティブCrypto Kitモードに対して、GOV(ernment)、COM(mercial)、およびALLという名前の以下の暗号スイートセットをサポートしています。許容される暗号スイートは、SSL FIPS Modeポリシー設定とWindows FIPSモードにも依存します。Windows FIPSモードの詳細については、このMicrosoftサポート記事を参照してください。
| 暗号スイート(優先順位降順) | オープン (すべて) | オープン (COM) | オープン (GOV) | FIPS (すべて) | フィップス コム | FIPS 政府向け | SP800-52 すべて | SP800-52 商用 | SP800-52 政府向け |
|---|---|---|---|---|---|---|---|---|---|
| TLS_ECDHE_RSA_ AES256_GCM_SHA384 | X | X | X | X | X | X | |||
| TLS_ECDHE_RSA_ AES256_CBC_SHA384 | X | X | X | X | X | X | |||
| TLS_ECDHE_RSA_ AES256_CBC_SHA | X | X | X | X | X | X |
PowerShellスクリプトを使用して、ユニバーサルプリントサーバーでTLSを構成する
証明書ストアのローカルコンピューター > 個人 > 証明書領域にTLS証明書をインストールします。その場所に複数の証明書がある場合は、Enable-UpsSsl.ps1 PowerShellスクリプトに証明書のサムプリントを指定します。
注:
PowerShellスクリプトは、Universal Print ServerのFQDNに基づいて正しい証明書を検索します。Universal Print ServerのFQDNに対して証明書が1つしかない場合は、証明書のサムプリントを指定する必要はありません。
Enable-UpsSsl.ps1 スクリプトは、VDAからUniversal Print ServerへのTLS接続を有効または無効にします。このスクリプトは、インストールメディアのSupport > Tools > SslSupportフォルダーにあります。
TLS を有効にすると、スクリプトは Universal Print Server の TCP ポートに対する既存の Windows ファイアウォール規則をすべて無効にします。その後、XTE サービスが TLS TCP および UDP ポートでのみ受信接続を受け入れることを許可する新しい規則を追加します。また、以下の Windows ファイアウォール規則も無効にします。
- クリアテキスト印刷 Web サービス接続 (デフォルト: 8080)
- クリアテキスト印刷データストリーム (CGP) 接続 (デフォルト: 7229)
これにより、VDA は TLS を使用している場合にのみこれらの接続を行うことができます。
注:
TLSを有効にしても、VDAから発信され、ユニバーサルプリントサーバーへ向かうWindows Print Spooler RPC/SMB接続には影響しません。
重要:
最初のパラメーターとして Enable または Disable のいずれかを指定します。ローカルコンピューターの個人証明書ストアに Universal Print Server の FQDN を持つ証明書が 1 つしかない場合、CertificateThumbprint パラメーターはオプションです。その他のパラメーターはオプションです。
構文
Enable-UpsSSL.ps1 -Enable [-HTTPPort <port>] [-CGPPort <port>] [–HTTPSPort <port>] [-CGPSSLPort <port>] [-SSLMinVersion <version>] [-SSLCipherSuite <name>] [-CertificateThumbprint <thumbprint>] [-FIPSMode <Boolean>] [-ComplianceMode <mode>]
Enable-UpsSSL.ps1 -Disable [-HTTPPort <portnum>] [-CGPPort <portnum>]
| パラメーター | 説明文 |
|---|---|
| 有効 | XTE Server で SSL/TLS を有効にします。このパラメーターまたは Disable パラメーターのいずれかが必要です。 |
| 無効 | XTE Server で SSL/TLS を無効にします。このパラメーターまたは Enable パラメーターのいずれかが必要です。 |
証明書サムプリント "<thumbprint>"
|
ローカルコンピューターの個人証明書ストアにあるTLS証明書のサムプリント。引用符で囲まれています。スクリプトは、指定されたサムプリントを使用して、使用する証明書を選択します。 |
エイチティーティーピーポート <port>
|
クリアテキスト印刷Webサービス (HTTP/SOAP) ポート。デフォルト: 8080 |
シージーピーポート <port>
|
クリアテキスト印刷データストリーム (CGP) ポート。デフォルト: 7229 |
エイチティーティーピーエスポート <port>
|
暗号化された印刷Webサービス (HTTPS/SOAP) ポート。デフォルト: 8443 |
シージーピーエスエスエルポート <port>
|
暗号化された印刷データストリーム (CGP) ポート。デフォルト: 443 |
SSL最小バージョン "<version>"
|
最小TLSプロトコルバージョン。引用符で囲まれています。有効な値: 「TLS_1.2」および「TLS_1.3」。デフォルト: TLS_1.2。 |
SSL暗号スイート "<name>"
|
TLS暗号スイートパッケージの名前。引用符で囲まれています。有効な値: 「GOV」、「COM」、および「ALL」(デフォルト)。 |
フィップスモード <Boolean>
|
XTEサーバーでFIPS 140モードを有効または無効にします。有効な値: FIPS 140モードを有効にするには$true、FIPS 140モードを無効にするには$false。 |
使用例
次のスクリプトはTLSを有効にします。サムプリント(この例では「12345678987654321」として表されています)は、使用する証明書を選択するために使用されます。
Enable-UpsSsl.ps1 –Enable -CertificateThumbprint "12345678987654321"
次のスクリプトはTLSを無効にします。
Enable-UpsSsl.ps1 –Disable
FIPSモードの構成
米国連邦情報処理標準(FIPS)モードを有効にすると、Universal Print Serverの暗号化された接続にはFIPS 140準拠の暗号化のみが使用されるようになります。
クライアントでFIPSモードを構成する前に、サーバーでFIPSモードを構成してください。
Windows FIPSモードの有効化/無効化については、Microsoftのドキュメントサイトを参照してください。
クライアントでのFIPSモードの有効化
Delivery Controller™上において、Web Studioを起動し、UPS FIPS Modeという名称のCitrixポリシー設定をEnabledに設定してください。これにより、該当するCitrixポリシーが有効化されます。
各VDAで以下を実行します。
- Windows FIPSモードを有効にします。
- VDAを再起動します。
サーバーでFIPSモードを有効にする
以下の手順は、それぞれのUniversal Print Server上で実施される必要があります。
- Windows FIPSモードを有効にします。
- 管理者としてこのPowerShellコマンドを実行します:
stop-service CitrixXTEServer, UpSvc -
-Enable -FIPSMode $trueパラメーターを指定して、Enable-UpsSsl.ps1スクリプトを実行します。 - ユニバーサルプリントサーバーを再起動します。
クライアントでFIPSモードを無効にする
Web Studioで、UPS FIPS Mode Citrixポリシー設定をDisabledに設定します。Citrixポリシーを有効にします。UPS FIPS Mode Citrixポリシー設定を削除することもできます。
各VDAで以下を実行します。
- Windows FIPSモードを無効にします。
- VDAを再起動します。
サーバーでFIPSモードを無効にする
各ユニバーサルプリントサーバーで以下を実行します。
- Windows FIPSモードを無効にします。
- 管理者としてこのPowerShellコマンドを実行します:
stop-service CitrixXTEServer, UpSvc -
-Enable -FIPSMode $falseパラメーターを指定してEnable-UpsSsl.ps1スクリプトを実行します。 - ユニバーサルプリントサーバーを再起動します。
注:
SSLプロトコルバージョンがTLS 1.3に設定されている場合、FIPSモードはサポートされません。
SSL/TLSプロトコルバージョンの構成
デフォルトのSSL/TLSプロトコルバージョンはTLS 1.2です。TLS 1.2およびTLS 1.3は、実稼働環境での使用が推奨されるSSL/TLSプロトコルバージョンです。トラブルシューティングのために、非実稼働環境でSSL/TLSプロトコルバージョンを一時的に変更する必要がある場合があります。
SSL 2.0 および SSL 3.0 は、ユニバーサルプリントサーバーではサポートされていません。
サーバーでのSSL/TLSプロトコルバージョンの設定
Studioで、SSLプロトコルバージョンポリシー設定を目的のプロトコルバージョンに設定し、ポリシーを有効にします。
VDAのオペレーティングシステムが選択したTLSバージョンをサポートしていることを確認してください。WindowsでサポートされているTLSバージョンについては、「Microsoft Learn - TLS protocol version support」を参照してください。デフォルトを上書きするようにレジストリを構成するには、「Microsoft Learn - TLS, DTLS, and SSL protocol version settings」を参照してください。
クライアントでのSSL/TLSプロトコルバージョンの設定
各VDAで以下を実行します。
-
Delivery Controllerで、SSLプロトコルバージョンポリシー設定を目的のプロトコルバージョンに設定し、ポリシーを有効にします。
-
Microsoftサポート記事「TLS Registry Settings」では、Microsoft SCHANNEL SSPのレジストリ設定について説明しています。レジストリ設定を使用して、クライアント側のTLS 1.2またはTLS 1.3を有効にします。
重要:
テストが完了したら、レジストリ設定を元の値に戻すことを忘れないでください。
-
VDAを再起動します。
トラブルシューティング
接続エラーが発生した場合は、ユニバーサルプリントサーバー上でC:\Program Files (x86)\Citrix\XTE\logs\error.logファイルを確認してください。
SSL/TLSハンドシェイクが失敗した場合、このログファイルにエラーメッセージ SSL handshake from client failed が表示されます。このような失敗は、VDAとUniversal Print ServerのSSL/TLSプロトコルバージョンが一致しない場合に発生する可能性があります。
ユニバーサルプリントサーバーのホスト名を含む以下のポリシー設定で、ユニバーサルプリントサーバーのFQDNを使用します。
- セッションプリンター
- プリンターの割り当て
- 負荷分散用のユニバーサルプリントサーバー
Universal Print ServerとVDAのシステムクロック(日付、時刻、タイムゾーン)が正しいことを確認してください。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.