ユニバーサルプリントサーバーでTLSを有効にする
バーチャルデリバリーエージェント (VDA) とユニバーサルプリントサーバー間のTCPベースの接続には、トランスポート層セキュリティ (TLS) プロトコルがサポートされています。
警告:
Windows レジストリの操作を含むタスクでは、レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような深刻な問題が発生する可能性があります。Citrix® は、レジストリエディターの誤った使用によって生じる問題が解決できることを保証できません。レジストリエディターは自己責任で使用してください。編集する前に必ずレジストリをバックアップしてください。
VDA とユニバーサルプリントサーバー間の印刷接続の種類
クリアテキスト接続
印刷に関連する以下の接続は VDA から発信され、Universal Print Server 上のポートに接続します。これらの接続は、SSL enabled ポリシー設定が Disabled (デフォルト) に設定されている場合にのみ行われます。
- クリアテキスト印刷 Web サービス接続 (TCP ポート 8080)
- クリアテキスト印刷データストリーム (CGP) 接続 (TCP ポート 7229)
Microsoft のサポート記事 Windows のサービス概要とネットワークポート要件 は、Microsoft Windows 印刷スプーラーサービスで使用されるポートについて説明しています。このドキュメントの SSL/TLS 設定は、Windows 印刷スプーラーサービスによって行われる NetBIOS および RPC 接続には適用されません。ユニバーサルプリントサーバー有効化ポリシー設定がWindows のネイティブなリモート印刷へのフォールバックを有効にするに設定されている場合、VDA は Windows Network Print Provider (win32spl.dll) をフォールバックとして使用します。
暗号化された接続
印刷に関連するこれらの SSL/TLS 接続は VDA から発信され、Universal Print Server 上のポートに接続します。これらの接続は、SSL enabled ポリシー設定が Enabled に設定されている場合にのみ行われます。
- 暗号化された印刷 Web サービス接続 (TCP ポート 8443)
- 暗号化された印刷データストリーム (CGP) 接続 (TCP ポート 443)
ユニバーサルプリントサーバー セキュア 2(/ja-jp/citrix-virtual-apps-desktops/2407/media/universal-print-server-secure-2.png)
SSL/TLSクライアントの構成
VDAはSSL/TLSクライアントとして機能します。
Microsoft グループポリシーとレジストリを使用して、暗号化された印刷Webサービス接続(TCPポート 8443)のために Microsoft SCHANNEL SSP を構成します。Microsoft のサポート記事 TLS Registry Settings には、Microsoft SCHANNEL SSP のレジストリ設定が記載されています。
VDAでGroup Policy Editorを使用して、[コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[SSL構成設定]>[SSL暗号スイートの順序]の順に移動します。TLS 1.3が設定されている場合は、次の順序を選択します。
TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256
TLS 1.2が設定されている場合は、次の順序を選択します。
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
注:
このGroup Policy設定が構成されている場合、VDAは、暗号化された印刷Webサービス接続(デフォルトポート:8443)の暗号スイートを、接続が両方のSSL暗号スイートリストに表示されている場合にのみ選択します。
- Group Policy SSL暗号スイート順序リスト
- 選択されたSSL Cipher Suiteポリシー設定(COM、GOV、またはALL)に対応するリスト
このGroup Policy構成は、VDA上の他のTLSアプリケーションおよびサービスにも影響します。アプリケーションが特定の暗号スイートを必要とする場合は、このGroup Policy Cipher Suite Orderリストに追加する必要がある場合があります。
重要:
TLS構成のGroup Policyの変更は、オペレーティングシステムの再起動後にのみ有効になります。
Citrixポリシーを使用して、暗号化された印刷データストリーム (CGP) 接続 (TCPポート443) のSSL/TLS設定を構成します。
SSL/TLSサーバーの構成
ユニバーサルプリントサーバーは、SSL/TLSサーバーとして機能します。
Enable-UpsSsl.ps1 PowerShellスクリプトを使用して、SSL/TLS設定を構成します。
ユニバーサルプリントサーバーにTLSサーバー証明書をインストールする
HTTPSの場合、Universal Print Serverはサーバー証明書を使用してTLS機能をサポートします。クライアント証明書は使用されません。Microsoft Active Directory証明書サービスまたは別の認証局を使用して、Universal Print Serverの証明書を要求します。
Microsoft Active Directory証明書サービスを使用して証明書を登録/要求する際は、以下の考慮事項に留意してください。
- 証明書はローカルコンピューターの個人証明書ストアに配置します。
- 証明書のサブジェクト識別名 (Subject DN) の共通名属性を、Universal Print Serverの完全修飾ドメイン名 (FQDN) に設定します。これは証明書テンプレートで指定します。
- 証明書要求と秘密鍵の生成に使用される暗号化サービスプロバイダー (CSP) をMicrosoft Enhanced RSA and AES Cryptographic Provider (Encryption)に設定します。これは証明書テンプレートで指定します。
- キーサイズを2048ビット以上に設定します。これは証明書テンプレートで指定します。
ユニバーサルプリントサーバーでのSSLの構成
Universal Print Server上のXTEサービスは、受信接続をリッスンします。SSLが有効な場合、SSLサーバーとして機能します。受信接続には、印刷コマンドを含む印刷Webサービス接続と、印刷ジョブを含む印刷データストリーム接続の2種類があります。これらの接続でSSLを有効にできます。SSLはこれらの接続の機密性と整合性を保護します。デフォルトでは、SSLは無効になっています。
SSLを構成するために使用されるPowerShellスクリプトは、インストールメディアにあり、ファイル名は次のとおりです: \Support\Tools\SslSupport\Enable-UpsSsl.ps1.
Universal Print Serverでのリスニングポート番号の構成
XTEサービスのデフォルトポートは次のとおりです。
- クリアテキスト印刷Webサービス (HTTP) TCPポート: 8080
- クリアテキスト印刷データストリーム (CGP) TCPポート: 7229
- 暗号化された印刷Webサービス (HTTPS) TCPポート: 8443
- 暗号化された印刷データストリーム (CGP) TCPポート: 443
Universal Print ServerでXTEサービスが使用するポートを変更するには、管理者としてPowerShellで次のコマンドを実行します(Enable-UpsSsl.ps1 PowerShellスクリプトの使用に関する注意点については、後のセクションを参照してください)。
Stop-Service CitrixXTEServer, UpSvc-
Enable-UpsSsl.ps1 -Enable -HTTPSPort <port> -CGPSSLPort <port>またはEnable-UpsSsl.ps1 -Disable -HTTPPort <port> -CGPPort <port> Start-Service CitrixXTEServer
ユニバーサルプリントサーバーでのTLS設定
負荷分散構成で複数のUniversal Print Serverを使用している場合は、すべてのUniversal Print ServerでTLS設定が一貫して構成されていることを確認してください。
Universal Print ServerでTLSを構成すると、インストールされているTLS証明書のアクセス許可が変更され、Universal Printing Serviceに証明書の秘密キーへの読み取りアクセス権が付与され、Universal Printing Serviceに次の情報が通知されます。
- 証明書ストア内のどの証明書をTLSに使用するか。
- TLS接続にどのTCPポート番号を使用するか。
Windowsファイアウォール(有効な場合)は、これらのTCPポートでの受信接続を許可するように構成する必要があります。この構成は、Enable-UpsSsl.ps1 PowerShellスクリプトを使用すると自動的に行われます。
- 許可するTLSプロトコルのバージョン。
Universal Print ServerはTLSプロトコルバージョン1.3および1.2をサポートしています。許可される最小バージョンを指定してください。
デフォルトのTLSプロトコルバージョンは1.2です。
注:
Citrix Virtual Apps and Desktopsバージョン2311以降、TLS 1.1および1.0はサポートされなくなりました。
- 許可するTLS暗号スイート。
暗号スイートは、接続に使用される暗号化アルゴリズムを選択します。VDAとUniversal Print Serverは、異なる暗号スイートのセットをサポートできます。VDAが接続し、サポートされているTLS暗号スイートのリストを送信すると、Universal Print Serverはクライアントの暗号スイートの1つを、自身の構成済み暗号スイートのリストにある暗号スイートの1つと照合し、接続を受け入れます。一致する暗号スイートがない場合、Universal Print Serverは接続を拒否します。
Universal Print Serverは、OPEN、FIPS、およびSP800-52ネイティブCrypto Kitモードに対して、GOV(ernment)、COM(mercial)、およびALLという名前の以下の暗号スイートセットをサポートしています。許容される暗号スイートは、SSL FIPS Modeポリシー設定とWindows FIPSモードにも依存します。Windows FIPSモードの詳細については、このMicrosoftサポート記事を参照してください。
| 暗号スイート(優先順位の降順) | オープン ALL | オープン COM | オープン GOV | FIPS すべて | FIPS 商用向け | FIPS 政府機関 | SP800-52 すべて | SP800-52 商用 | SP800-52 GOV |
|---|---|---|---|---|---|---|---|---|---|
| TLS_ECDHE_RSA_ AES256_GCM_SHA384 | X | X | X | X | X | X | |||
| TLS_ECDHE_RSA_ AES256_CBC_SHA384 | X | X | X | X | X | X | |||
| TLS_ECDHE_RSA_ AES256_CBC_SHA | X | X | X | X | X | X |
PowerShellスクリプトを使用して、ユニバーサルプリントサーバーでTLSを構成する
証明書ストアのローカルコンピューター > 個人 > 証明書領域にTLS証明書をインストールします。その場所に複数の証明書がある場合は、Enable-UpsSsl.ps1 PowerShellスクリプトに証明書のサムプリントを指定します。
注:
PowerShellスクリプトは、Universal Print ServerのFQDNに基づいて正しい証明書を検索します。Universal Print ServerのFQDNに対して単一の証明書のみが存在する場合、証明書のサムプリントを指定する必要はありません。
Enable-UpsSsl.ps1 スクリプトは、VDAからUniversal Print ServerへのTLS接続を有効または無効にします。このスクリプトは、インストールメディアのSupport > Tools > SslSupportフォルダーにあります。
TLSを有効にすると、スクリプトはUniversal Print ServerのTCPポートに対する既存のすべてのWindowsファイアウォール規則を無効にします。その後、XTEサービスがTLS TCPおよびUDPポートでのみ受信接続を受け入れることを許可する新しい規則を追加します。また、以下のWindowsファイアウォール規則も無効にします。
- クリアテキスト印刷Webサービス接続 (デフォルト: 8080)
- クリアテキスト印刷データストリーム (CGP) 接続 (デフォルト: 7229)
その結果、VDAはTLSを使用している場合にのみこれらの接続を行うことができます。
注:
TLSを有効にしても、VDAから発信されユニバーサルプリントサーバーに向かうWindowsプリントスプーラーのRPC/SMB接続には影響しません。
重要:
最初のパラメーターとしてEnableまたはDisableのいずれかを指定します。ローカルコンピューターの個人証明書ストアにUniversal Print ServerのFQDNを持つ証明書が1つしかない場合、CertificateThumbprintパラメーターはオプションです。その他のパラメーターはオプションです。
構文
Enable-UpsSSL.ps1 -Enable [-HTTPPort <port>] [-CGPPort <port>] [–HTTPSPort <port>] [-CGPSSLPort <port>] [-SSLMinVersion <version>] [-SSLCipherSuite <name>] [-CertificateThumbprint <thumbprint>] [-FIPSMode <Boolean>] [-ComplianceMode <mode>]
Enable-UpsSSL.ps1 -Disable [-HTTPPort <portnum>] [-CGPPort <portnum>]
| パラメーター | 項目説明 |
|---|---|
| 有効にする | XTEサーバーでSSL/TLSを有効にします。このパラメーターまたはDisableパラメーターのいずれかが必要です。 |
| 無効にする | XTEサーバーでSSL/TLSを無効にします。このパラメーターまたはEnableパラメーターのいずれかが必要です。 |
証明書のサムプリント "<thumbprint>"
|
ローカルコンピューターの個人証明書ストアにあるTLS証明書のサムプリント。引用符で囲みます。スクリプトは、指定されたサムプリントを使用して、使用する証明書を選択します。 |
HTTPポート番号 <port>
|
クリアテキスト印刷Webサービス(HTTP/SOAP)ポート。デフォルト:8080 |
CGPポート番号 <port>
|
クリアテキスト印刷データストリーム(CGP)ポート。デフォルト:7229 |
HTTPSポート設定 <port>
|
暗号化された印刷Webサービス(HTTPS/SOAP)ポート。デフォルト:8443 |
CGPSSLPort <port>
|
暗号化された印刷データストリーム(CGP)ポート。デフォルト:443 |
SSL最小バージョン "<version>"
|
最小TLSプロトコルバージョン。引用符で囲みます。有効な値:「TLS_1.2」および「TLS_1.3」。デフォルト:TLS_1.2。 |
SSL暗号スイート "<name>"
|
TLS暗号スイートパッケージの名前。引用符で囲みます。有効な値:「GOV」、「COM」、および「ALL」(デフォルト)。 |
フィップスモード <Boolean>
|
XTEサーバーでFIPS 140モードを有効または無効にします。有効な値:FIPS 140モードを有効にする場合は$true、FIPS 140モードを無効にする場合は$false。 |
例示
次のスクリプトはTLSを有効にします。サムプリント(この例では「12345678987654321」として表されています)は、使用する証明書を選択するために使用されます。
Enable-UpsSsl.ps1 –Enable -CertificateThumbprint "12345678987654321"
次のスクリプトはTLSを無効にします。
Enable-UpsSsl.ps1 –Disable
FIPSモードの構成
米国連邦情報処理標準 (FIPS) モードを有効にすると、Universal Print Server の暗号化された接続には FIPS 140 準拠の暗号化のみが使用されるようになります。
クライアントで FIPS モードを構成する前に、サーバーで FIPS モードを構成してください。
Windows FIPS モードの有効化/無効化については、Microsoft のドキュメントサイトを参照してください。
クライアントでのFIPSモードの有効化
Delivery Controller™ で Web Studio を実行し、Citrix ポリシー設定のSSL FIPSモードを有効に設定します。Citrix ポリシーを有効にします。
各VDAで以下を実行します。
- Windows FIPS モードを有効にします。
- VDAを再起動します。
サーバーでのFIPSモードの有効化
各ユニバーサルプリントサーバーで、以下の手順を実行してください。
- Windows FIPSモードを有効にします。
- 管理者としてこのPowerShellコマンドを実行します:
stop-service CitrixXTEServer, UpSvc -
Enable-UpsSsl.ps1スクリプトを-Enable -FIPSMode $trueパラメーターで実行します。 - ユニバーサルプリントサーバーを再起動します。
クライアントでのFIPSモードの無効化
Web Studioで、SSL FIPS Mode Citrixポリシー設定をDisabledに設定します。Citrixポリシーを有効にします。SSL FIPS Mode Citrixポリシー設定を削除することもできます。
各VDAでこれを実行します。
- Windows FIPSモードを無効にします。
- VDAを再起動します。
サーバーでのFIPSモードの無効化
各ユニバーサルプリントサーバーで、次の操作を実行してください。
- Windows FIPSモードを無効にします。
- 管理者としてこのPowerShellコマンドを実行します:
stop-service CitrixXTEServer, UpSvc -
Enable-UpsSsl.ps1スクリプトを-Enable -FIPSMode $falseパラメーターで実行します。 - ユニバーサルプリントサーバーを再起動します。
注:
SSL プロトコルバージョンが TLS 1.3 に設定されている場合、FIPS モードはサポートされません。
SSL/TLS プロトコルバージョンの構成
デフォルトの SSL/TLS プロトコルバージョンは TLS 1.2 です。TLS 1.2 と TLS 1.3 は、本番環境での使用が推奨される SSL/TLS プロトコルバージョンです。トラブルシューティングのために、非本番環境で SSL/TLS プロトコルバージョンを一時的に変更する必要がある場合があります。
Universal Print Server では、SSL 2.0 および SSL 3.0 のプロトコルはサポートされていません。
サーバーでの SSL/TLS プロトコルバージョンの設定
各 Universal Print Server において、次の操作を実行してください。
- 管理者としてこの PowerShell コマンドを実行します:
stop-service CitrixXTEServer, UpSvc -
-Enable -SSLMinVersionバージョンパラメーターを指定してEnable-UpsSsl.ps1スクリプトを実行します。テストが完了したら、これを TLS 1.2 または TLS 1.3 に戻すことを忘れないでください。 - ユニバーサルプリントサーバーを再起動します。
クライアントでの SSL/TLS プロトコルバージョンの設定
各 VDA でこれを行います。
-
Delivery Controller で、SSL プロトコルバージョンポリシー設定を目的のプロトコルバージョンに設定し、ポリシーを有効にします。
-
Microsoft サポート記事 TLS Registry Settings には、Microsoft SCHANNEL SSP のレジストリ設定が記載されています。レジストリ設定を使用して、クライアント側の TLS 1.2 または TLS 1.3 を有効にします。
重要:
テストが完了したら、レジストリ設定を元の値に戻すことを忘れないでください。
-
VDAを再起動します。
トラブルシューティング
接続エラーが発生した場合は、ユニバーサルプリントサーバー上の C:\Program Files (x86)\Citrix\XTE\logs\error.log ファイルを確認してください。
SSL/TLSハンドシェイクが失敗した場合、このログファイルにエラーメッセージ「SSL handshake from client failed」が表示されます。このような失敗は、VDAとUniversal Print ServerのSSL/TLSプロトコルバージョンが一致しない場合に発生する可能性があります。
ユニバーサルプリントサーバーのホスト名を含む以下のポリシー設定で、ユニバーサルプリントサーバーのFQDNを使用してください。
- セッションプリンター
- プリンターの割り当て
- 負荷分散用のユニバーサルプリントサーバー
Universal Print ServerとVDAのシステムクロック(日付、時刻、タイムゾーン)が正しいことを確認してください。