Web Studioの展開を保護する（オプション）

Web StudioをDelivery Controller™と一緒にインストールすると、インストーラーは現在のサーバーの443ポートにバインドされた自己署名証明書を作成します。Web StudioとDelivery Controllerは、その証明書をTLS証明書として使用します。別のマシンからアクセスする場合、Web Studioにアクセスできないか、Web Studioのログオン画面でエラーが表示されることがあります。

別のマシンからWeb Studioにアクセスしたい場合は、次の手順を実行できます。

1. Delivery Controllerから自己署名証明書をエクスポートします。

   

   • 秘密鍵のエクスポートで、いいえ、秘密鍵をエクスポートしませんを選択します。

   • エクスポートファイル形式で、DER encoded binary X.509 (.CER)を選択します。

2. Web Studioにアクセスしたいマシンに移動し、証明書をインストールします。

   

   • ストアの場所で、ローカルコンピューターを選択します。

Delivery Controllerから離れた専用サーバーにWeb Studioをインストールすることを選択した場合、2つのタスクを実行する必要があります。

• タスク1: Web StudioサーバーとDelivery Controllerからそれぞれ証明書をエクスポートします。

• タスク2: Web Studioにアクセスしたいマシンに2つの証明書をインストールします。

注:

ベストプラクティスとして、外部の公開信頼証明書またはエンタープライズCAからの証明書を使用して、Web Studioの展開を保護することをお勧めします。

外部の公開信頼証明書を使用する

以下の3つの方法のいずれかを使用して、外部の公開信頼証明書をWeb Studioサーバーにインポートできます。

• PFXファイルをインストールする。

  1. PFXファイルをダブルクリックします。

  2. ストアの場所で、ローカルコンピューターを選択します。

     証明書のインポートウィザード(/ja-jp/citrix-virtual-apps-desktops/2407/media/certificate-import-wizard.png)

  3. 必要に応じてパスワードを入力します。

     キーの保護(/ja-jp/citrix-virtual-apps-desktops/2407/media/key-protection.png)

  4. 証明書ストアで、個人を選択します。

     証明書ストア(/ja-jp/citrix-virtual-apps-desktops/2407/media/certificate-store.png)

• コンピューター証明書の管理コンソールを使用する。

  1. コンピューター証明書の管理コンソールを開き、個人 > 証明書 > すべてのタスク > インポートに移動します。

     コンピューター証明書の管理コンソール(/ja-jp/citrix-virtual-apps-desktops/2407/media/manage-computer-certificates-console.png)

  2. PFXファイルを選択し、必要に応じてパスワードを入力します。

• パワーシェルを使用する。

   Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
   <!--NeedCopy-->
  

証明書を443ポートにバインドします。これは、インストールまたはアップグレードの前、あるいはインストールまたはアップグレードの後に行うことができます。443ポートに証明書バインディングが構成されている場合、インストーラーは何も行いません。詳細については、「インストールまたはアップグレードの前に」を参照してください。

エンタープライズCAからの証明書を使用する

開始する前に、エンタープライズ認証局 (CA) サーバーがドメインに展開されていることを確認してください。

証明書を要求するには、次の手順を実行します。

1. サーバーで、コンピューター証明書の管理コンソールを開きます。

2. 個人 > 証明書 > すべてのタスク > 新しい証明書の要求に移動します。

   

3. 証明書の登録に移動し、Webサーバーを選択し、警告メッセージをクリックして必要な情報を入力します。

   

4. サブジェクト名タイプとして共通名を選択し、FQDNまたはDNSを入力します。また、代替名も入力します。

   注：

   ワイルドカード証明書が必要な場合は、サブジェクト名にCN=*.bvttree.local、代替DNS名に*.bvttree.local and bvttree.localを入力できます。

   

証明書は個人 > 証明書の下にあります。

その後、証明書を443ポートにバインドします。これは、インストールまたはアップグレードの前、あるいはインストールまたはアップグレードの後に行うことができます。443ポートに証明書バインドが構成されている場合、インストーラーは何も行いません。

インストールまたはアップグレードの前

証明書を443ポートにバインドするには、次の手順を実行します (ただし、443の証明書バインドがまだ構成されておらず、サーバーでIISが有効になっていることが前提です)。

1. 管理者としてWeb Studioサーバーにログオンします。

2. IISマネージャーを開き、サイト > 既定のWebサイト > バインドに移動します。

3. サイトバインドで、追加をクリックします。

   サイトバインド 2(/ja-jp/citrix-virtual-apps-desktops/2407/media/site-bindings-2.png)

4. サイトバインドの追加で、種類をhttpsに、ポートを443に設定し、CAから要求したSSL証明書を選択して、OKをクリックします。

   サイトバインドの追加(/ja-jp/citrix-virtual-apps-desktops/2407/media/add-site-binding.png)

Web Studioをインストールすると、Web StudioとDelivery Controllerは、接続を保護するために証明書を使用するように自動的に構成されます。

または、PowerShellを使用して証明書を変更することもできます。

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="$($(New-Guid).ToString("B"))"
<!--NeedCopy-->

インストールまたはアップグレードの後

Web Studioサーバーに移動し、IISマネージャーを使用して証明書を変更します。 または、PowerShellを使用して証明書を変更することもできます。

$certSName = 'CN=whpdevddc0.bvttree.local' # The Enterprise CA certificate subject.
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http update sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint)
<!--NeedCopy-->

新しい自己署名証明書を使用する

新しい自己署名証明書を生成し、既存の証明書を置き換えるために使用できます。次の手順を実行します。

1. Web Studioサーバーに管理者としてログオンします。

2. IISマネージャーを開き、サーバー証明書を参照し、操作ペインで自己署名証明書の作成を選択します。

   サーバー証明書(/ja-jp/citrix-virtual-apps-desktops/2407/media/server-certificates.png)

3. 自己署名証明書の作成で、証明書の名前を入力し、OKをクリックします。自己署名証明書が作成されます。

   自己署名証明書の作成(/ja-jp/citrix-virtual-apps-desktops/2407/media/create-self-signed-certificate.png)

4. サイト > 既定のWebサイトを参照し、操作ペインでバインドを選択し、httpsエントリを選択して、編集を選択します。

   サイトバインド(/ja-jp/citrix-virtual-apps-desktops/2407/media/site-bindings.png)

5. サイトバインドの編集で、リストから証明書を選択し、OKをクリックします。

   サイトバインドの編集(/ja-jp/citrix-virtual-apps-desktops/2407/media/edit-site-binding.png)

これで証明書の変更が完了します。

または、PowerShellを使用して証明書を変更することもできます。

$certSubject = "CN=WHPBVTDEVDDC2.BVTTREE.LOCAL" # The FQDN of the server.
$frindlyName = "Self-Signed-3"
$expireYears = 5

## new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $frindlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))
Remove-Item -Path $Env:TEMP\tempCertificate.cer -Force -ErrorAction SilentlyContinue

## Import this certificate into LocalMachine\Root to let this OS trust this certificate
Export-Certificate -Type CERT -Force -Cert $certificate -FilePath $Env:TEMP\tempCertificate.cer -NoClobber
Import-Certificate -FilePath $Env:TEMP\tempCertificate.cer -CertStoreLocation "Cert:\LocalMachine\Root\"

## Update bind the 0.0.0.0:443 with this certificate
Invoke-Command -ScriptBlock { Param ($param1) netsh http update sslcert ipport=0.0.0.0:443 certhash=$param1 } -ArgumentList @($certificate.Thumbprint)
<!--NeedCopy-->