セキュリティキーを管理する

重要:

• この機能は、StoreFront™ 1912 LTSR CU2以降と組み合わせて使用する必要があります。
• Secure XML機能は、Citrix ADCおよびCitrix Gatewayリリース12.1以降でのみサポートされています。

注:

Citrix Virtual Apps and Desktops™ の展開は、Web Studio（Webベース）と Citrix Studio（Windowsベース）の2種類の管理コンソールを用いて管理可能です。本記事では Web Studio のみに焦点を当てています。Citrix Studio に関する詳細情報は、Citrix Virtual Apps and Desktops 7 2212 以前のバージョンに掲載されている関連記事をご参照ください。

この機能を使用すると、承認されたStoreFrontおよびCitrix GatewayマシンのみがDelivery Controllerと通信できるようになります。この機能を有効にすると、キーを含まないすべての要求はブロックされます。この機能を使用して、内部ネットワークからの攻撃から保護するための追加のセキュリティ層を追加します。

この機能を使用するための一般的なワークフローは次のとおりです。

1. Web Studioで機能設定を表示できるようにします。

2. サイトの設定を構成します。

3. StoreFrontの設定を構成します。

4. Citrix ADCの設定を構成します。

サイトの設定を構成する

Web StudioまたはPowerShellを使用して、サイトのセキュリティキー設定を構成できます。

Web Studio を使用する方法

1. Web Studio にサインインし、左側のペインで設定を選択します。

2. セキュリティキーの管理タイルを見つけて、編集をクリックします。セキュリティキーの管理ページが表示されます。

   セキュリティキー管理ウィザード(/ja-jp/citrix-virtual-apps-desktops/2411/media/manage-security-key-wizard.png)

3. 更新アイコンをクリックしてキーを生成します。

   重要:

   • 使用可能なキーは2つあります。XMLポートおよびSTAポートを介した通信には、同じキーまたは異なるキーを使用できます。一度に1つのキーのみを使用することをお勧めします。未使用のキーは、キーのローテーションにのみ使用されます。
   • 既に使用中のキーを更新するために更新アイコンをクリックしないでください。クリックすると、サービスが中断されます。

4. 通信にキーが必要な場所を選択します。

   • XMLポートを介した通信にキーを要求する（StoreFrontのみ）。選択した場合、XMLポートを介した通信を認証するためにキーを要求します。StoreFrontはこのポートを介してCitrix Cloudと通信します。XMLポートの変更については、Knowledge Centerの記事CTX127945を参照してください。

   • STAポートを介した通信にキーを要求する。選択した場合、STAポートを介した通信を認証するためにキーを要求します。Citrix GatewayとStoreFrontはこのポートを介してCitrix Cloudと通信します。STAポートの変更については、Knowledge Centerの記事CTX101988を参照してください。

5. 変更を適用してウィンドウを閉じるには、保存をクリックします。

パワーシェルを使用する

以下は、Web Studioの操作に相当するPowerShellの手順です。

1. シトリックス バーチャル アプリ アンド デスクトップ リモート パワーシェル SDK を実行します。

2. コマンドウィンドウで、次のコマンドを実行します。
   • Add-PSSnapIn Citrix*
3. キーを生成し、Key1 を設定するために、以下のコマンドを実行します。
   • New-BrokerXmlServiceKey
   • Set-BrokerSite -XmlServiceKey1 <the key you generated>
4. キーを生成し、Key2 を設定するために、以下のコマンドを実行します。
   • New-BrokerXmlServiceKey
   • Set-BrokerSite -XmlServiceKey2 <the key you generated>
5. 通信の認証でキーの使用を有効にするために、以下のコマンドのいずれかまたは両方を実行します。
   • XML ポート経由で通信を認証するには:
     • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
   • STA ポート経由で通信を認証するには:
     • Set-BrokerSite -RequireXmlServiceKeyForSta $true

ガイダンスと構文については、PowerShell コマンドのヘルプを参照してください。

StoreFront の設定を構成する

サイトの構成が完了したら、PowerShell を使用して StoreFront の関連設定を構成する必要があります。

StoreFrontサーバーで、次のPowerShellコマンドを実行します。

$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

次のパラメーターに適切な値を入力します。

• Path to store
• Resource feed name
• secret

STAポート経由の通信用にキーを構成するには、New-STFSecureTicketAuthority および Set-STFRoamingGateway コマンドを使用します。例：

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

次のパラメーターに適切な値を入力します。

• Gateway name
• STA URL
• Secret

ガイダンスと構文については、PowerShellコマンドのヘルプを参照してください。

Citrix ADC の設定を構成する

注：

Citrix ADC をゲートウェイとして使用しない限り、Citrix ADC のこの機能を構成する必要はありません。Citrix ADC を使用する場合は、次の手順に従います。

1. 以下の前提条件となる構成がすでに整っていることを確認してください。

   • 以下のCitrix ADC関連のIPアドレスが構成されています。
     • Citrix ADCコンソールにアクセスするためのCitrix ADC管理IP (NSIP) アドレス。詳細については、「NSIPアドレスの構成」を参照してください。

     

     • Citrix ADCアプライアンスとバックエンドサーバー間の通信を有効にするためのサブネットIP (SNIP) アドレス。詳細については、「サブネットIPアドレスの構成」を参照してください。
     • セッション起動のためにADCアプライアンスにログインするためのCitrix Gateway仮想IPアドレスとロードバランサー仮想IPアドレス。詳細については、「仮想サーバーの作成」を参照してください。

     

   • Citrix ADCアプライアンスで必要なモードと機能が有効になっています。
     • モードを有効にするには、Citrix ADC GUIで システム > 設定 > モードの構成 に移動します。
     • 機能を有効にするには、Citrix ADC GUIで システム > 設定 > 基本機能の構成 に移動します。
   • 証明書関連の構成が完了しています。
     • 証明書署名要求 (CSR) が作成されています。詳細については、「証明書の作成」を参照してください。

     

     • サーバー証明書、CA証明書、およびルート証明書がインストールされています。詳細については、「インストール、リンク、および更新」を参照してください。

     

     「CA証明書をインストール」(/ja-jp/citrix-virtual-apps-desktops/2411/media/adc-install-ca-certificate.png)

     • Citrix Virtual Desktops 用の Citrix Gateway が作成されました。Test STA Connectivity ボタンをクリックして接続をテストし、仮想サーバーがオンラインであることを確認します。詳細については、「Citrix Virtual Apps and Desktops 用の Citrix ADC のセットアップ」を参照してください。

     「仮想デスクトップ用ゲートウェイ」(/ja-jp/citrix-virtual-apps-desktops/2411/media/xenapp-xendesktop-wizard.gif)

2. リライトアクションを追加します。詳細については、「リライトアクションの構成」を参照してください。

   1. AppExpert > 書き換え > アクション に移動します。
   2. 追加をクリックして、新しいリライトアクションを追加します。アクションの名前は「set Type to INSERT_HTTP_HEADER」とすることができます。

   「リライトアクションの追加」(/ja-jp/citrix-virtual-apps-desktops/2411/media/adc-appexpert-rewrite-action.png)

   1. 種類 で、HTTPヘッダーの挿入 を選択します。
   2. ヘッダー名フィールドに、X-Citrix-XmlServiceKey と入力します。
   3. 式 に、引用符付きで<XmlServiceKey1 value>を追加します。XmlServiceKey1 の値は、Desktop Delivery Controller™ の構成からコピーできます。

   「XMLサービスキーの値」(/ja-jp/citrix-virtual-apps-desktops/2411/media/xml-service-key-values.png)

3. リライトポリシーを追加します。詳細については、「リライトポリシーの構成」を参照してください。

   1. AppExpert > リライト > ポリシー に移動します。

   2. 追加をクリックして、新しいポリシーを追加します。

   「リライトポリシーの追加」(/ja-jp/citrix-virtual-apps-desktops/2411/media/adc-appexpert-rewrite-policy.png)

   1. 「アクション」で、前のステップで作成したアクションを選択します。
   2. 「式」フィールドに HTTP.REQ.IS_VALID を追加します。
   3. 「OK」をクリックします。

4. 負荷分散を設定します。STAサーバーごとに1つの負荷分散仮想サーバーを構成する必要があります。そうしないと、セッションの起動に失敗します。

   詳細については、基本的な負荷分散の設定を参照してください。

   1. 負荷分散仮想サーバーを作成します。
      • トラフィック管理 > 負荷分散 > サーバーに移動します。
      • 「仮想サーバー」ページで、「追加」をクリックします。

      

      • 「プロトコル」で、「HTTP」を選択します。
      • 負荷分散仮想IPアドレスを追加し、「ポート」で「80」を選択します。
      • 「OK」をクリックします。
   2. 負荷分散サービスを作成します。
      • トラフィック管理 > 負荷分散 > サービスに移動します。

      

      • 「既存のサーバー」で、前の手順で作成した仮想サーバーを選択します。
      • 「プロトコル」で「HTTP」を選択し、「ポート」で「80」を選択します。
      • 「OK」をクリックし、次に「完了」をクリックします。
   3. サービスを仮想サーバーにバインドします。
      • 以前に作成した仮想サーバーを選択し、「編集」をクリックします。
      • 「サービスとサービスグループ」で、「負荷分散仮想サーバーサービスバインディングなし」をクリックします。

      サービスを仮想サーバーにバインドする(/ja-jp/citrix-virtual-apps-desktops/2411/media/adc-bind-service-to-lbvserver.png)

      • 「サービスバインディング」で、以前に作成したサービスを選択します。
      • 「バインド」をクリックします。
   4. 以前に作成した書き換えポリシーを仮想サーバーにバインドします。
      • 以前に作成した仮想サーバーを選択し、「編集」をクリックします。
      • 「詳細設定」で「ポリシー」をクリックし、次に「ポリシー」セクションで「+」をクリックします。

      書き換えポリシーをバインドする(/ja-jp/citrix-virtual-apps-desktops/2411/media/adc-bind-rewrite-policy.png)

      • 「ポリシーの選択」で「書き換え」を選択し、「タイプの選択」で「要求」を選択します。
      • 「続行」をクリックします。
      • 「ポリシーの選択」で、以前作成した書き換えポリシーを選択します。
      • 「バインド」をクリックします。
      • 「完了」をクリックします。
   5. 必要に応じて、仮想サーバーの永続性を設定します。
      • 以前作成した仮想サーバーを選択し、「編集」をクリックします。
      • 「詳細設定」で、「永続性」をクリックします。

      永続性の設定(/ja-jp/citrix-virtual-apps-desktops/2411/media/adc-lb-vserver-persistence.png)

      • 永続性の種類として「その他」を選択します。
      • 「DESTIP」を選択して、仮想サーバーによって選択されたサービス（宛先IPアドレス）のIPアドレスに基づいて永続セッションを作成します。
      • 「IPv4ネットマスク」で、DDCと同じネットワークマスクを追加します。
      • 「OK」をクリックします。
   6. 他の仮想サーバーについても同様に、これらの手順を繰り返します。

Citrix ADCアプライアンスがCitrix Virtual Desktops™で既に構成されている場合の構成変更

Citrix ADCアプライアンスをCitrix Virtual Desktopsで既に構成している場合、Secure XML機能を使用するには、次の構成変更を行う必要があります。

• セッション起動前に、ゲートウェイのセキュリティチケット機関のURLを変更して、負荷分散仮想サーバーのFQDNを使用するようにします。
• TrustRequestsSentToTheXmlServicePortパラメーターがFalseに設定されていることを確認します。デフォルトでは、TrustRequestsSentToTheXmlServicePortパラメーターはFalseに設定されています。ただし、顧客がCitrix Virtual Desktops用にCitrix ADCをすでに構成している場合、TrustRequestsSentToTheXmlServicePortはTrueに設定されます。

1. Citrix ADC のグラフィカルユーザーインターフェイスで、「構成 > Citrix製品との統合」に移動し、「XenApp and XenDesktop®」をクリックします。

2. ゲートウェイインスタンスを選択し、編集アイコンをクリックします。

   

3. StoreFrontペインで、編集アイコンをクリックします。

   

4. 「セキュアチケットオーソリティURL」を追加します。
   • Secure XML機能が有効になっている場合、STA URLは負荷分散サービスのURLである必要があります。
   • Secure XML機能が無効になっている場合、STA URLはSTAのURL（DDCのアドレス）である必要があり、DDC上のTrustRequestsSentToTheXmlServicePortパラメーターはTrueに設定されている必要があります。