セキュリティキーを管理する

重要:

• この機能は、StoreFront™ 1912 LTSR CU2以降と組み合わせて使用する必要があります。
• Secure XML機能は、Citrix ADCおよびCitrix Gatewayリリース12.1以降でのみサポートされています。

注:

Citrix Virtual Apps and Desktops™の展開は、Web Studio（Webベース）とCitrix Studio（Windowsベース）という2つの管理コンソールを用いて管理することが可能です。本記事ではWeb Studioのみを対象としています。Citrix Studioに関する情報については、Citrix Virtual Apps and Desktops 7 2212以前のバージョンにおける同等の記事をご参照ください。

この機能を使用すると、承認されたStoreFrontおよびCitrix GatewayマシンのみがDelivery Controllerと通信できるようになります。この機能を有効にすると、キーを含まないすべての要求はブロックされます。この機能を使用して、内部ネットワークからの攻撃から保護するための追加のセキュリティ層を追加します。

この機能を使用するための一般的なワークフローは次のとおりです。

1. Web Studioを有効にして機能設定を表示します。

2. サイトの設定を構成します。

3. StoreFrontの設定を構成します。

4. Citrix ADCの設定を構成します。

サイトの設定を構成する

Web StudioまたはPowerShellを使用して、サイトのセキュリティキー設定を構成できます。

ウェブスタジオを使用する

1. Web Studioにサインインし、左ペインで設定を選択します。

2. セキュリティキーの管理タイルを見つけて、編集をクリックします。セキュリティキーの管理ページが表示されます。

   

3. 更新アイコンをクリックしてキーを生成します。

   重要:

   • 使用可能なキーは2つあります。XMLポートおよびSTAポートを介した通信には、同じキーまたは異なるキーを使用できます。一度に1つのキーのみを使用することをお勧めします。未使用のキーは、キーのローテーションにのみ使用されます。
   • すでに使用中のキーを更新するために更新アイコンをクリックしないでください。クリックすると、サービスが中断されます。

4. 通信にキーが必要な場所を選択します。

   • XMLポートを介した通信にキーを要求する（StoreFrontのみ）。選択した場合、XMLポートを介した通信を認証するためにキーを要求します。StoreFrontはこのポートを介してCitrix Cloudと通信します。XMLポートの変更については、Knowledge Centerの記事CTX127945を参照してください。

   • STAポートを介した通信にキーを要求する。選択した場合、STAポートを介した通信を認証するためにキーを要求します。Citrix GatewayとStoreFrontはこのポートを介してCitrix Cloudと通信します。STAポートの変更については、Knowledge Centerの記事CTX101988を参照してください。

5. 保存をクリックして変更を適用し、ウィンドウを閉じます。

パワーシェルを使用する

以下は、Web Studioの操作に相当するPowerShellの手順です。

1. Citrix Virtual Apps and Desktops リモート パワーシェル エスディーケー を実行します。

2. コマンドウィンドウで、次のコマンドを実行します。
   • Add-PSSnapIn Citrix*
3. キーを生成し、Key1 をセットアップするには、以下のコマンドを実行します。
   • New-BrokerXmlServiceKey
   • Set-BrokerSite -XmlServiceKey1 <the key you generated>
4. キーを生成し、Key2 をセットアップするには、以下のコマンドを実行します。
   • New-BrokerXmlServiceKey
   • Set-BrokerSite -XmlServiceKey2 <the key you generated>
5. 通信の認証でキーの使用を有効にするには、以下のコマンドのいずれかまたは両方を実行します。
   • XMLポート経由で通信を認証するには:
     • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
   • STAポート経由で通信を認証するには:
     • Set-BrokerSite -RequireXmlServiceKeyForSta $true

ガイダンスと構文については、PowerShellコマンドヘルプを参照してください。

StoreFront の設定を構成する

サイトの構成が完了したら、PowerShell を使用して StoreFront の関連設定を構成する必要があります。

StoreFrontサーバーで、次のPowerShellコマンドを実行します。

$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

次のパラメーターに適切な値を入力します。

• Path to store
• Resource feed name
• secret

STAポート経由の通信用にキーを構成するには、New-STFSecureTicketAuthority および Set-STFRoamingGateway コマンドを使用します。例：

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

次のパラメーターに適切な値を入力します。

• Gateway name
• STA URL
• Secret

ガイダンスと構文については、PowerShellコマンドのヘルプを参照してください。

Citrix ADCの設定を構成する

注：

Citrix ADCをゲートウェイとして使用しない限り、Citrix ADCにこの機能を構成する必要はありません。Citrix ADCを使用する場合は、次の手順に従ってください。

1. 以下の前提条件となる構成がすでに設定されていることを確認してください。

   • 以下のCitrix ADC関連のIPアドレスが構成されています。
     • Citrix ADCコンソールにアクセスするためのCitrix ADC管理IP (NSIP) アドレス。詳細については、「NSIPアドレスの構成」を参照してください。

     

     • Citrix ADCアプライアンスとバックエンドサーバー間の通信を有効にするためのサブネットIP (SNIP) アドレス。詳細については、「サブネットIPアドレスの構成」を参照してください。
     • セッション起動のためにADCアプライアンスにログインするためのCitrix Gateway仮想IPアドレスとロードバランサー仮想IPアドレス。詳細については、「仮想サーバーの作成」を参照してください。

     

   • Citrix ADCアプライアンスで必要なモードと機能が有効になっています。
     • モードを有効にするには、Citrix ADC GUIで システム > 設定 > モードの構成 に移動します。
     • 機能を有効にするには、Citrix ADC GUIで システム > 設定 > 基本機能の構成 に移動します。
   • 証明書関連の構成が完了しています。
     • 証明書署名要求 (CSR) が作成されます。詳細については、「証明書の作成」を参照してください。

     

     • サーバー証明書、CA証明書、およびルート証明書がインストールされます。詳細については、「インストール、リンク、および更新」を参照してください。

     

     

     • Citrix Virtual Desktops用にCitrix Gatewayが作成されました。仮想サーバーがオンラインであることを確認するには、Test STA Connectivityボタンをクリックして接続をテストします。詳細については、「Citrix Virtual Apps and Desktops向けCitrix ADCのセットアップ」(/ja-jp/citrix-adc/current-release/solutions/deploy-xa-xd.html)を参照してください。

     

2. リライトアクションを追加します。詳細については、「リライトアクションの構成」(/ja-jp/citrix-adc/current-release/appexpert/rewrite.html#configuring-a-rewrite-action)を参照してください。

   1. AppExpert > 書き換え > アクションに移動します。
   2. 追加をクリックして、新しいリライトアクションを追加します。アクションの名前を「set Type to INSERT_HTTP_HEADER」にすることができます。

   

   1. タイプの項目で、INSERT_HTTP_HEADERを選択します。
   2. ヘッダー名フィールドに、X-Citrix-XmlServiceKeyと入力します。
   3. 式フィールドに、引用符付きで<XmlServiceKey1 value>を追加します。デスクトップ デリバリー コントローラー™の構成からXmlServiceKey1の値をコピーできます。

   

3. リライトポリシーを追加します。詳細については、「リライトポリシーの構成」(/ja-jp/citrix-adc/current-release/appexpert/rewrite.html#configure-rewrite-policy)を参照してください。

   1. 「AppExpert > リライト > ポリシー」に移動します。

   2. 追加をクリックして、新しいポリシーを追加します。

   

   1. 「アクション」で、前のステップで作成したアクションを選択します。
   2. 式の項目に、HTTP.REQ.IS_VALIDを追加してください。
   3. 「OK」をクリックします。

4. 負荷分散を設定します。STAサーバーごとに1つの負荷分散仮想サーバーを構成する必要があります。そうしないと、セッションの起動に失敗します。

   詳細については、「基本的な負荷分散の設定」を参照してください。

   1. 負荷分散仮想サーバーを作成します。
      • トラフィック管理 > 負荷分散 > サーバーに移動します。
      • 「仮想サーバー」ページで、「追加」をクリックします。

      

      • 「プロトコル」で、「HTTP」を選択します。
      • 負荷分散仮想IPアドレスを追加し、「ポート」で「80」を選択します。
      • 「OK」をクリックします。
   2. 負荷分散サービスを作成します。
      • トラフィック管理 > 負荷分散 > サービスに移動します。

      

      • Existing Serverで、前の手順で作成した仮想サーバーを選択します。
      • ProtocolでHTTPを選択し、Portで80を選択します。
      • OKをクリックし、次にDoneをクリックします。
   3. サービスを仮想サーバーにバインドします。
      • 以前に作成した仮想サーバーを選択し、Editをクリックします。
      • 「サービスとサービスグループ」で、「ロードバランシング仮想サーバーサービスバインディングなし」をクリックします。

      

      • Service Bindingで、以前に作成したサービスを選択します。
      • Bindをクリックします。
   4. 以前に作成した書き換えポリシーを仮想サーバーにバインドします。
      • 以前に作成した仮想サーバーを選択し、Editをクリックします。
      • Advanced SettingsでPoliciesをクリックし、次にPoliciesセクションで+をクリックします。

      

      • 「ポリシーの選択」で「リライト」を選択し、「タイプの選択」で「リクエスト」を選択します。
      • Continueをクリックします。
      • 「ポリシーの選択」で、以前に作成した書き換えポリシーを選択します。
      • 「バインド」をクリックします。
      • 「完了」をクリックします。
   5. 必要に応じて、仮想サーバーの永続性を設定します。
      • 以前に作成した仮想サーバーを選択し、「編集」をクリックします。
      • 「詳細設定」で、「永続性」をクリックします。

      永続性の設定(/ja-jp/citrix-virtual-apps-desktops/2407/media/adc-lb-vserver-persistence.png)

      • 永続性の種類として「その他」を選択します。
      • 「DESTIP」を選択して、仮想サーバーによって選択されたサービス（宛先IPアドレス）のIPアドレスに基づいて永続セッションを作成します。
      • 「IPv4ネットマスク」で、DDCと同じネットワークマスクを追加します。
      • 「OK」をクリックします。
   6. 他の仮想サーバーについても、これらの手順を繰り返します。

Citrix ADCアプライアンスがCitrix Virtual Desktops™で既に構成されている場合の構成変更

Citrix ADCアプライアンスをCitrix Virtual Desktopsで既に構成している場合、Secure XML機能を使用するには、次の構成変更を行う必要があります。

• セッション起動前に、ゲートウェイの「セキュリティチケット機関URL」を変更して、負荷分散仮想サーバーのFQDNを使用するようにします。
• TrustRequestsSentToTheXmlServicePort パラメータが False に設定されていることを確認します。デフォルトでは、TrustRequestsSentToTheXmlServicePort パラメータは False に設定されています。ただし、顧客が Citrix Virtual Desktops 用に Citrix ADC をすでに構成している場合、TrustRequestsSentToTheXmlServicePort は True に設定されます。

1. In the Citrix ADC GUI, go to Configuration > Integrate with Citrix Products and click XenApp and XenDesktop®.

2. ゲートウェイインスタンスを選択し、編集アイコンをクリックします。

   

3. StoreFrontペインで、編集アイコンをクリックします。

   

4. セキュアチケットオーソリティ URL を追加します。
   • Secure XML機能が有効になっている場合、STA URLは負荷分散サービスのURLである必要があります。
   • Secure XML機能が無効になっている場合、STA URLはSTAのURL（DDCのアドレス）である必要があり、DDC上の TrustRequestsSentToTheXmlServicePort パラメータはTrueに設定されている必要があります。