VDAでTLSを有効にする
以下のタスクを完了することで、Citrix Workspace™ app と Virtual Delivery Agents (VDAs) 間で TLS 接続を有効にすることができます。
- VDAに証明書をインストールします。詳細については、証明書のリクエストとインストールを参照してください。
- VDAがインストールされているマシンでTLSを構成します。(便宜上、VDAがインストールされているマシンは以降「VDA」と表記します。) Citrixが提供するPowerShellスクリプトを使用してTLS/DTLSを構成することを強くお勧めします。詳細については、PowerShellスクリプトを使用してVDAでTLSを構成するを参照してください。ただし、TLS/DTLSを手動で構成する場合は、VDAでTLSを手動で構成するを参照してください。
- Studioで一連のPowerShellコマンドレットを実行して、VDAを含むデリバリーグループでTLSを構成します。詳細については、デリバリーグループでTLSを構成するを参照してください。
要件と考慮事項:
- コンポーネントのインストール、サイトの作成、マシンカタログの作成、デリバリーグループの作成を行った後で、デリバリーグループとVDAでTLSを構成します。
- デリバリーグループでTLSを構成するには、Controllerのアクセスルールを変更する権限が必要です。この権限は、Full Administratorが持っています。
- VDAでTLSを構成するには、VDAがインストールされているマシンでWindows管理者である必要があります。
- Machine Creation Services™またはProvisioning ServicesによってプロビジョニングされたプールされたVDAでは、再起動時にVDAマシンイメージがリセットされ、以前のTLS設定が失われます。VDAが再起動されるたびにPowerShellスクリプトを実行して、TLS設定を再構成してください。
デリバリーグループには、TLSが構成されているVDAとTLSが構成されていないVDAが混在することはできません。デリバリーグループのTLSを構成する前に、そのデリバリーグループ内のすべてのVDAに対してTLSがすでに構成されていることを確認してください。
VDAでTLSを構成すると、インストールされているTLS証明書の権限が変更され、ICA® Serviceに証明書の秘密キーへの読み取りアクセス権が付与され、ICA Serviceに以下の情報が通知されます。
-
TLSに使用する証明書ストア内の証明書。
-
TLS接続に使用するTCPポート番号。
Windowsファイアウォール (有効な場合) は、このTCPポートでの受信接続を許可するように構成する必要があります。この構成は、PowerShellスクリプトを使用すると自動的に行われます。
-
許可するTLSプロトコルのバージョン。
重要:
CitrixではTLS 1.2以降の使用を推奨しています。SSLおよび古いバージョンのTLSは非推奨です。
サポートされているTLSプロトコルバージョンは、階層(最低から最高)に従います: SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2、およびTLS 1.3。許可される最小バージョンを指定します。そのバージョンまたはそれより高いバージョンを使用するすべてのプロトコル接続が許可されます。
たとえば、TLS 1.1を最小バージョンとして指定した場合、TLS 1.1、TLS 1.2、およびTLS 1.3プロトコル接続が許可されます。SSL 3.0を最小バージョンとして指定した場合、サポートされているすべてのバージョンの接続が許可されます。TLS 1.3を最小バージョンとして指定した場合、TLS 1.3接続のみが許可されます。
-
許可するTLS暗号スイート。
暗号スイートは、接続に使用される暗号化を選択します。クライアントとVDAは、異なる暗号スイートのセットをサポートできます。クライアント(Citrix Workspaceアプリ)が接続し、サポートされているTLS暗号スイートのリストを送信すると、VDAはクライアントの暗号スイートの1つを、自身の構成済み暗号スイートのリストにある暗号スイートの1つと照合し、接続を受け入れます。一致する暗号スイートがない場合、VDAは接続を拒否します。
VDAは、3つの暗号スイートセット(コンプライアンスモードとも呼ばれます)をサポートしています: GOV(政府)、COM(商用)、およびALL。許容される暗号スイートは、Windows FIPSモードにも依存します。Windows FIPSモードの詳細については、http://support.microsoft.com/kb/811833を参照してください。次の表に、各セットの暗号スイートを示します。
暗号スイート ALL COM GOV ALL COM GOV FIPS Mode オフ オフ オフ オン オン オン TLS_AES_256_GCM_SHA384 X X X X TLS_AES_128_GCM_SHA256 X X X TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 X X X X TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 X X X X TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA X X X X 注記:
The VDA does not support DHE ciphersuites (for example, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, and TLS_DHE_RSA_WITH_AES_128_CBC_SHA.) If selected by Windows, the connection will fail.
NetScaler Gatewayを使用している場合は、バックエンド通信の暗号スイートサポートに関する情報について、NetScalerのドキュメントを参照してください。TLS暗号スイートのサポートについては、「Citrix ADCアプライアンスで利用可能な暗号」を参照してください。DTLS暗号スイートのサポートについては、「DTLS暗号のサポート」を参照してください。
証明書を要求してインストールする
TLSを使用するには、代替名にVDAのFQDNが含まれる証明書をインストールする必要があります。この証明書は、VDAに直接接続する(Citrix Gatewayを介さない)すべてのクライアントによって信頼されている必要があります。証明書を簡単に展開できない管理対象外のデバイスがVDAに接続できるようにするには、NetScaler® Gatewayの展開を検討してください。
Microsoft証明機関を使用して証明書を作成する
クライアントとVDAが信頼されたフォレストにあり、Microsoft証明機関がある場合、証明書MMCスナップインの証明書登録ウィザードから証明書を取得できます。
- VDAで、MMCコンソールを開き、証明書スナップインを追加します。プロンプトが表示されたら、コンピューターアカウントを選択します。
- 個人 > 証明書を展開し、コンテキストメニューコマンドすべてのタスク > 新しい証明書の要求を使用します。
- 次へをクリックして開始し、次へをクリックして、Active Directory登録から証明書を取得することを確認します。
-
サーバー認証証明書のテンプレートを選択します。デフォルトのWindowsのコンピューターまたはWebサーバー(エクスポート可能)のいずれも使用できます。テンプレートがSubjectの値を自動的に提供するように設定されている場合は、詳細を指定せずに登録をクリックできます。
-
証明書テンプレートの詳細を指定するには、詳細をクリックして以下を構成します。
サブジェクト名 — タイプ共通名を選択し、VDAのFQDNを追加します
代替名 — タイプ DNS を選択し、VDA の FQDN を追加します
注:
Active Directory 証明書サービス証明書の自動登録を使用して、VDA への証明書の発行と展開を自動化します。これは、証明書の自動登録を有効にする) で説明されています。
ワイルドカード証明書を使用して、1 つの証明書で複数の VDA を保護できます。
サブジェクト名 — タイプ 共通名 を選択し、VDA の *.primary.domain を入力します
代替名 — タイプ DNS を選択し、VDA の *.primary.domain を追加します
SAN 証明書を使用して、1 つの証明書で複数の特定の VDA を保護できます。
サブジェクト名 — タイプ 共通名 を選択し、証明書の使用状況を識別するのに役立つ文字列を入力します
代替名 — タイプ DNS を選択し、各 VDA の FQDN のエントリを追加します。最適な TLS ネゴシエーションを確保するために、代替名の数を最小限に抑えてください。
注:
ワイルドカード証明書と SAN 証明書の両方で、[秘密キー] タブで 秘密キーをエクスポート可能にする が選択されている必要があります。
PowerShellスクリプトを使用してVDAでTLSを構成する
TLS証明書を証明書ストアの「ローカルコンピューター > 個人 > 証明書」領域にインストールします。その場所に複数の証明書がある場合は、PowerShellスクリプトに証明書のサムプリントを指定してください。
注:
XenAppおよびXenDesktop 7.15 LTSR以降、PowerShellスクリプトはVDAのFQDNに基づいて正しい証明書を見つけます。VDAのFQDNに対して単一の証明書のみが存在する場合、サムプリントを指定する必要はありません。
Enable-VdaSSL.ps1スクリプトは、VDA上のTLSリスナーを有効または無効にします。このスクリプトは、インストールメディアの Support > Tools > SslSupport フォルダーにあります。
TLSを有効にすると、DHE暗号スイートは無効になります。ECDHE暗号スイートは影響を受けません。
TLSを有効にすると、スクリプトは指定されたTCPポートの既存のすべてのWindowsファイアウォールルールを無効にします。その後、ICAサービスがTLS TCPおよびUDPポートでのみ受信接続を受け入れることを許可する新しいルールを追加します。また、以下のWindowsファイアウォールルールも無効にします。
- シトリックス ICA (デフォルト: 1494)
- シトリックス CGP (デフォルト: 2598)
- Citrix WebSocket (default: 8008)
その結果、ユーザーはTLSまたはDTLSを使用してのみ接続できます。TLSまたはDTLSなしでは、ICA/HDX、セッション信頼性を使用したICA/HDX、またはWebSocket経由のHDXを使用できません。
注:
DTLSは、UDPリアルタイムトランスポート経由のICA/HDXオーディオ、またはICA/HDX Framehawkではサポートされていません。
(/ja-jp/tech-zone/build/tech-papers/citrix-communication-ports.html#citrix-virtual-apps-and-desktops)を参照してください。
スクリプトには、以下の構文の説明と追加の例が含まれています。この情報を確認するには、Notepad++などのツールを使用できます。
重要:
EnableまたはDisableパラメーターと、CertificateThumbPrintパラメーターを指定します。その他のパラメーターはオプションです。
構文
Enable-VdaSSL {-Enable | -Disable} -CertificateThumbPrint "<thumbprint>" [-SSLPort <port>] [-SSLMinVersion "<min-ssl-version>"] [-SSLCipherSuite"\<suite>"]
| パラメーター | 説明 |
|---|---|
| 有効化 | VDAにTLSリスナーをインストールして有効にします。このパラメーターまたはDisableパラメーターのいずれかが必要です。 |
| 無効化 | VDA上のTLSリスナーを無効にします。このパラメーターまたはEnableパラメーターのいずれかが必要です。このパラメーターを指定した場合、他のパラメーターは無効です。 |
| 証明書サムプリント “ |
証明書ストア内のTLS証明書のサムプリントを引用符で囲みます。スクリプトは、指定されたサムプリントを使用して、使用する証明書を選択します。このパラメーターが省略された場合、誤った証明書が選択されます。 |
| SSLポートの指定 |
TLSポート。デフォルト: 443 |
| SSLの最小バージョンを指定 “ |
引用符で囲まれた最小TLSプロトコルバージョン。有効な値: SSL_3.0、TLS_1.0 (デフォルト)、TLS_1.1、TLS_1.2、およびTLS_1.3。TLS_1.3には、Windows 11またはWindows Server 2022以降が必要です。 |
| SSLCipherSuite “ |
引用符で囲まれたTLS暗号スイート。有効な値: 「GOV」、「COM」、および「ALL」(デフォルト)。 |
使用例
次のスクリプトは、TLSプロトコルバージョンの値をインストールして有効にします。サムプリント(この例では「12345678987654321」として表されます)は、使用する証明書を選択するために使用されます。
Enable-VdaSSL -Enable -CertificateThumbPrint "12345678987654321"
次のスクリプトは、TLSリスナーをインストールして有効にし、TLSポート400、GOV暗号スイート、および最小TLS 1.2プロトコル値を指定します。サムプリント(この例では「12345678987654321」として表されます)は、使用する証明書を選択するために使用されます。
Enable-VdaSSL -Enable
-CertificateThumbPrint "12345678987654321"
-SSLPort 400 -SSLMinVersion "TLS_1.2"
-SSLCipherSuite "All"
次のスクリプトは、VDA上のTLSリスナーを無効にします。
Enable-VdaSSL -Disable
VDAでTLSを手動で構成する
VDAでTLSを手動で構成する場合、各VDA上の適切なサービスに対して、TLS証明書の秘密キーへの一般的な読み取りアクセス権を付与します。WindowsシングルセッションOS用VDAの場合はNT SERVICE\PorticaService、WindowsマルチセッションOS用VDAの場合はNT SERVICE\TermService。VDAがインストールされているマシンで:
手順1。Microsoft管理コンソール(MMC)を起動します。[スタート] > [ファイル名を指定して実行] > mmc.exe。
手順2。MMCに証明書スナップインを追加します。
- [ファイル] > [スナップインの追加と削除] を選択します。
- [証明書] を選択し、[追加] をクリックします。
- 「このスナップインは常に次の証明書を管理します:」というプロンプトが表示されたら、「コンピューターアカウント」を選択し、[次へ] をクリックします。
- 「このスナップインで管理するコンピューターを選択してください」というプロンプトが表示されたら、「ローカルコンピューター」を選択し、[完了] をクリックします。
ステップ 3。 「証明書 (ローカル コンピューター) > 個人 > 証明書」の下で、証明書を右クリックし、「すべてのタスク > プライベート キーの管理」を選択します。
ステップ 4。 アクセス制御リストエディターに「(FriendlyName) のプライベートキーのアクセス許可」が表示されます。(FriendlyName) はTLS証明書の名前です。以下のいずれかのサービスを追加し、「読み取り」アクセス権を付与します。
- WindowsシングルセッションOS向けVDAの場合、サービス名は「PORTICASERVICE」です。
- For a VDA for Windows Multi-session OS, “TERMSERVICE”
ステップ 5。 インストールされているTLS証明書をダブルクリックします。証明書ダイアログで、「詳細」タブを選択し、一番下までスクロールします。「拇印」をクリックします。
STEP 6. Run regedit and go to HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- SSL Thumbprintキーを編集し、TLS証明書の拇印の値をこのバイナリ値にコピーします。「バイナリ値の編集」ダイアログボックスの不明な項目(「0000」や特殊文字など)は無視しても問題ありません。
- SSLEnabledキーを編集し、DWORD値を1に変更します。(後でSSLを無効にするには、DWORD値を0に変更します。)
-
デフォルト設定を変更する場合(オプション)は、同じレジストリパスで以下を使用します。
SSLPort DWORD – SSLポート番号。既定値は 443 です。
SSLMinVersion DWORD – 1 = SSL 3.0, 2 = TLS 1.0, 3 = TLS 1.1, 4 = TLS 1.2, 5 = TLS 1.3. Default: 2 (TLS 1.0).
SSLCipherSuite DWORD – 1 = GOV, 2 = COM, 3 = ALL. Default: 3 (ALL).
ステップ 7。 TLSのTCPおよびUDPポートがデフォルトの443でない場合、Windowsファイアウォールで開いていることを確認します。(Windowsファイアウォールで受信規則を作成する際は、そのプロパティで「接続を許可する」と「有効」が選択されていることを確認してください。)
ステップ 8。 他のアプリケーションやサービス(IISなど)がTLS TCPポートを使用していないことを確認します。
ステップ 9。 マルチセッションVDAの場合、変更を有効にするためにマシンを再起動します。(シングルセッションVDAマシンを再起動する必要はありません。)
STEP 10. Windowsの暗号スイートの優先順位を変更し、VDAがサポートする暗号スイートが最も高い優先順位を持つようにして、接続の問題を回避します。
重要:
以下に概説するグループポリシーの変更は、システムを再起動した後にのみ有効になります。
MCSまたはPVSでプロビジョニングされた非永続的なセッションホストを使用している場合は、これらの設定をマスターイメージに適用する必要があります。
オプション 1:
グループポリシーエディターを使用して、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL構成設定] > [SSL暗号スイートの順序] に移動します。次の暗号スイートがリストの先頭にあることを確認してください。
TLS_AES_256_GCM_SHA384_P384
TLS_AES_256_GCM_SHA384_P256
TLS_AES_128_GCM_SHA256_P384
TLS_AES_128_GCM_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
<!--NeedCopy-->
注:
TLS_AES_256_GCM_SHA384 および TLS_AES_128_GCM_SHA256 は、Windows 11 および Windows Server 2022 以降にのみ適用されます。古いオペレーティングシステムを使用している場合は、これらの暗号スイートをリストに含めないでください。
リストされている暗号スイートは、楕円曲線P384またはP256も指定しており、「curve25519」が選択されないようにしています。FIPSモードは「curve25519」の使用を妨げません。
リストから暗号スイートを削除する必要はありません。これらの設定はシステム全体に適用されるため、暗号スイートを削除する場合は、セッションホストで実行されているアプリケーションやサービスによってそれらが必要とされていないことを確認する必要があります。
オプション 2:
グループポリシーエディターを使用して、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL構成設定] > [SSL暗号スイートの順序] に移動します。次の暗号スイートがリストの先頭にあることを確認してください。
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
<!--NeedCopy-->
注: TLS_AES_256_GCM_SHA384 および TLS_AES_128_GCM_SHA256 は、Windows 11 および Windows Server 2022 以降にのみ適用されます。古いオペレーティングシステムを使用している場合は、これらの暗号スイートをリストに含めないでください。
リストから暗号スイートを削除する必要はありません。これらの設定はシステム全体に適用されるため、暗号スイートを削除する場合は、セッションホストで実行されているアプリケーションやサービスによってそれらが必要とされていないことを確認する必要があります。
グループポリシーエディターを使用して、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL構成設定] > [ECC曲線順序] に移動します。この設定を有効にし、次の曲線をリストに含めます。
NistP384
NistP256
<!--NeedCopy-->
注:
これにより、「curve25519」が選択されないようにします。FIPSモードは「curve25519」の使用を妨げません。
VDAは、グループポリシーリストと、選択されたコンプライアンスモード(COM、GOV、またはALL)のリストの両方に表示される場合にのみ、暗号スイートを選択します。暗号スイートは、クライアント(Citrix Workspaceアプリ)から送信されたリストにも表示されている必要があります。
デリバリーグループでのTLSの構成
TLS接続用に構成したVDAを含む各デリバリーグループに対して、この手順を完了します。
- StudioからPowerShellコンソールを開きます。
- Citrix製品のコマンドレットをロードするには、asnp Citrix.*を実行します。
- Run Get-BrokerAccessPolicyRule -DesktopGroupName ‘<delivery-group-name>’ | Set-BrokerAccessPolicyRule -HdxSslEnabled $true.
- Run Set-BrokerSite -DnsResolutionEnabled $true.
自動登録を使用したプールされたVDAのSSLの有効化
プールされたVDAを使用する場合、マスターイメージに証明書を追加すると、すべてのVDAが同じイメージを共有します。ワイルドカード証明書を使用できますが、欠点は、いずれかのVDAが侵害された場合、この強力な証明書により、すべてのVDAに属するHDX™接続が危険にさらされる可能性があることです。
代わりに、より安全な代替策として、Microsoft Active Directory証明書サービスを活用して、グループポリシーを使用して証明書を自動的にプロビジョニングする方法があります。VDA上でスタートアップスクリプトを使用して、新しい証明書を動的にプロビジョニングし、VDAへのSSLを有効にすることができます。
このアプローチは、シングルセッションデスクトップVDAでのみ機能することに注意してください。マルチセッションVDAの場合、証明書が自動的にプロビジョニングされる前に、起動プロセス中にICAリスナーが早すぎる段階で起動されます。
Active Directory証明書サービスは内部のエンタープライズ証明機関を使用するため、すべてのWindowsインストールで自動的に信頼されるわけではありません。クライアントが企業によって管理され、ドメインフォレストの一部である場合、信頼されたCA証明書はグループポリシーを使用して自動的に配布できます。BYODやその他のドメインに参加していないデバイスの場合、信頼されたCA証明書を別のメカニズム(ダウンロードリンクの提供など)でユーザーに配布するか、NetScaler Gatewayを使用する必要があります。
証明書の自動登録を有効にする
まず、VDAドメインフォレスト内のサーバーにActive Directory証明書サービスロールがインストールされており、エンタープライズCAが提供されていることを確認してください。そうでない場合、自動登録はできません。
VDAは起動ごとに証明書要求を送信するため、これによりエンタープライズCAに通常よりもかなり高い負荷がかかる可能性があることに注意してください。負荷に対応できるよう、CAサーバーに十分なCPUとメモリを割り当て、これまでと同様に、本番環境に移行する前にラボ環境で展開のスケーラビリティをテストしてください。
グループポリシー管理エディターで、SSLが有効になっているプールされたVDAを含む組織単位に適用される新しいポリシーを次のように作成します。
- コンピューターの構成 -> ポリシー -> Windows の設定 -> セキュリティの設定 -> 公開キーのポリシー を展開します。
- 「証明書サービス クライアント – 自動登録ポリシー」オブジェクトのプロパティを編集します。
- 下のスクリーンショットに示すように構成します。
- 自動証明書要求コンテナーを右クリックし、新規 -> 自動証明書要求… を選択します。
- 自動証明書要求セットアップウィザードで、「次へ」をクリックします。
- コンピューター証明書テンプレートが選択されていることを確認し、「次へ」をクリックします。
- 「完了」をクリックします。
登録ポリシーのスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2407/media/ssltask-autoenrollment-policy.png)
Windowsマスターイメージの準備
Enable-VdaSsl.ps1スクリプトを、製品インストールメディアのSupport\Tools\SslSupportフォルダーからVDAマスターイメージにコピーします。マスターイメージには、HDX SSL接続に使用する証明書が含まれていないことに注意してください。証明書は、MCSまたはPVSマシンカタログが作成されたときにプロビジョニングされます。次に、次のように新しいスケジュールされたタスクを作成します(スケジュールされたタスクは今すぐ実行しないでください)。
-
タスクスケジューラを開きます。
-
「操作」ペインで、「タスクの作成…」を押します。
-
全般タブで:
-
Enable VDA SSLなどの名前を入力します -
ユーザーまたはグループの変更…をクリックし、ユーザーまたはグループの選択ダイアログボックスで
SYSTEMと入力し、OKをクリックします
タスク作成アクションタブのスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2407/media/ssltask-general.png)
-
-
トリガー タブを選択します
-
新規…をクリックします。新しいトリガーダイアログで:
-
タスクの開始をイベント時に設定します
-
Set Log to Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational
-
Set Source to Microsoft-Windows-CertificateServicesClient-Lifecycle-System
-
イベントIDを
1006に設定します -
トリガーを保存するためにOKをクリックします
新しいトリガーウィンドウのスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2407/media/ssltask-trigger.png)
-
-
操作タブを選択します
-
新規…をクリックします
-
新しい操作ダイアログで:
-
アクションをプログラムの開始に設定します
-
プログラム/スクリプトフィールドに
powershell.exeと入力します -
引数の追加フィールドに、PowerShellスクリプトへのパスを含めて
-ExecutionPolicy RemoteSigned Enable-VdaSsl.ps1 -Enable -Confirm:$Falseと入力します。 -
OKを押してアクションを保存します
-
-
OKを押してタスクを保存します
トラブルシューティング
接続エラーが発生した場合は、VDAのシステムイベントログを確認してください。
Windows向けCitrix Workspaceアプリを使用している場合、TLSエラーを示す接続エラーが発生した場合は、Desktop Viewerを無効にしてから、再度接続を試してください。接続が引き続き失敗する場合でも、基になるTLS問題の説明が提供される可能性があります。たとえば、証明機関から証明書を要求する際に誤ったテンプレートを指定した、などです。
HDX Adaptive Transportを使用するほとんどの構成は、DTLSで正常に動作します。これには、Citrix Workspaceアプリ、Citrix Gateway、およびVDAの最新バージョンを使用する構成も含まれます。Citrix WorkspaceアプリとCitrix Gatewayの間でDTLSを使用し、かつCitrix GatewayとVDAの間でDTLSを使用する一部の構成では、追加のアクションが必要です。
次の場合、追加のアクションが必要です:
- the Citrix Receiver version supports HDX Adaptive Transport and DTLS: Receiver for Windows (4.7, 4.8, 4.9), Receiver for Mac (12.5, 12.6, 12.7), Receiver for iOS (7.2, 7.3.x) or Receiver for Linux (13.7)
かつ、以下のいずれかが当てはまる場合:
-
Citrix GatewayのバージョンがVDAへのDTLSをサポートしているが、VDAのバージョンがDTLSをサポートしていない場合(バージョン7.15以前)、
-
VDAのバージョンがDTLSをサポートしているが(バージョン7.16以降)、Citrix GatewayのバージョンがVDAへのDTLSをサポートしていない場合。
Citrix Receiver™からの接続が失敗するのを避けるには、次のいずれかを実行します。
- Citrix Receiver アプリケーションを、Windows 用 Receiver のバージョン 4.10 以降、Mac 用 Receiver のバージョン 12.8 以降、または iOS 用 Receiver のバージョン 7.5 以降にアップデートしてください。または、
- Citrix Gatewayを、VDAへのDTLSをサポートするバージョンに更新する。または、
- VDAをバージョン7.16以降に更新する。または、
- VDAでDTLSを無効にする。または、
- HDX アダプティブ トランスポートを無効にする。
注:
Receiver for Linuxの適切なアップデートはまだ利用できません。Receiver for Android(バージョン3.12.3)は、Citrix Gateway経由のHDX Adaptive TransportおよびDTLSをサポートしていないため、影響を受けません。
VDAでDTLSを無効にするには、VDAファイアウォール構成を変更してUDPポート443を無効にします。「ネットワークポート」を参照してください。
TLSとHTML5ビデオリダイレクト、およびブラウザコンテンツリダイレクト
HTML5ビデオリダイレクトとブラウザコンテンツリダイレクトを使用して、HTTPS Webサイトをリダイレクトできます。これらのWebサイトに挿入されたJavaScriptは、VDAで実行されているCitrix HDX HTML5ビデオリダイレクトサービスへのTLS接続を確立する必要があります。これを実現するために、HTML5ビデオリダイレクトサービスは、VDA上の証明書ストアに2つのカスタム証明書を生成します。サービスを停止すると、証明書は削除されます。
HTML5ビデオリダイレクトポリシーはデフォルトで無効になっています。
ブラウザコンテンツリダイレクトはデフォルトで有効になっています。
HTML5ビデオリダイレクトの詳細については、「マルチメディアポリシー設定」を参照してください。