ウェブスタジオおよびディレクターでTLSを有効にする

Web StudioおよびDirectorへの接続を保護するために、HTTPSを有効にして常にTLSを使用することをお勧めします。この記事では、信頼できる証明書を使用し、HTTPS経由で安全なアクセスを確保するようにWeb StudioとDirectorを構成する方法について説明します。

デフォルトの動作

Web Studioをインストールすると、インストーラーは自己署名証明書を作成し、現在のサーバーのポート443にバインドします。ローカルサーバー上のWebブラウザーからHTTPS経由でWeb StudioおよびDirectorにアクセスできます。

ただし、別のマシンからHTTPS経由でWeb StudioまたはDirectorにアクセスしようとすると、ブラウザーは証明書を信頼しないため、セキュリティエラーを表示します。

注：

Web StudioなしでDirectorをインストールした場合、インストーラーは自己署名証明書を作成しません。

HTTPS経由で安全なアクセスを有効にする

Web Studioサーバー以外のマシンからHTTPS経由でWeb StudioまたはDirectorへのアクセスを許可するには、次の手順に従います。

1. 信頼できる証明書を作成またはインポートする。

2. IISで証明書をポート443にバインドする。

3. (オプション) HTTP ストリクト トランスポート セキュリティ (HSTS) を有効にする

4. Web Studioがプロキシとして構成されていない場合（クライアントマシンがWeb StudioとDelivery Controllerの両方に接続する場合）、Delivery ControllerでTLSを有効にする。

注：

自己署名証明書の使用は、各マシンで手動構成が必要なため推奨されません。詳細については、自己署名証明書を使用するを参照してください。

信頼された証明書を作成またはインポートする

サーバーに接続するマシンによって信頼されている、エンタープライズまたはパブリック証明機関からの証明書を使用することをお勧めします。

詳細については、「新しい証明書の作成」および「既存の証明書のインポート」を参照してください。証明書の共通名またはサブジェクトの別名は、ユーザーがWeb StudioまたはDirectorに接続するために使用するFQDNと一致している必要があります。サーバーの前にロードバランサーが展開されている場合は、ロードバランサーのFQDNを使用してください。

証明書をポート443にバインドする

信頼された証明書を作成またはインポートした後、IISでポート443にバインドします。これは、インストール前またはインストール後のどちらでも実行できます。ポート443に対して証明書のバインドがすでに構成されている場合、インストーラーは変更を行いません。

注：

デフォルトでは、Web StudioとDirectorはセキュアなHTTPSアクセスにポート443を使用します。必要に応じてポート番号を変更できます。詳細については、「デフォルトのポート番号の変更」を参照してください。

証明書をポート443にバインドするには、次の手順に従います。

1. 管理者としてサーバーにログオンします。

2. IISマネージャーを開き、サイト > 既定のWebサイト > バインドに移動します。

3. 種類がhttpsの既存のバインドがある場合は、それを選択して編集…をクリックします。httpsバインドがない場合は、追加をクリックします。

   サイトバインドの開き方を強調表示するスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2411/media/site-bindings.png)

4. サイトバインドを作成または編集します。

   1. 新しいバインドの場合は、種類をhttpsに、ポートを443に設定します。

   2. 適切なSSL証明書を選択します。

   3. Windows Server 2022以降では、必要に応じてレガシーTLSを無効にするを選択し、ユーザーが最新のTLSバージョンのみを使用して接続できるようにします。

   4. OKをクリックします。

   

または、PowerShellを使用して証明書を変更することもできます。たとえば、次のスクリプトは、指定された共通名を持つ証明書を検索し、それをすべてのIPアドレス、ポート443にバインドし、レガシーTLSバージョンを無効にします。

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="{91fe7386-e0c2-471b-a252-1e0a805febac}" disablelegacytls=enable
<!--NeedCopy-->

なお、appidは、どのアプリケーションが証明書を追加したかを識別するために使用できる任意のGUIDです。

自己署名証明書を使用する

既存の自己署名証明書を使用できますが、サーバーにアクセスする各マシンを手動で構成する必要があるため、推奨されません。

Web Studioに接続する必要があるマシンに自己署名証明書をインストールするには：

1. Web StudioおよびDelivery Controllerサーバーから既存の自己署名証明書をエクスポートします。
2. サーバーにアクセスする必要があるマシンの信頼されたルート証明書ストアに証明書をインポートします。

(オプション) HTTP ストリクト トランスポート セキュリティ (HSTS) を有効にする

HTTP Strict Transport Security (HSTS) は、サイトにアクセスする際にHTTPSのみを使用するようにWebブラウザに指示します。ユーザーがHTTPを使用してURLにアクセスしようとすると、ブラウザは自動的にHTTPSに切り替わります。この設定により、クライアント側とサーバー側の両方で安全な接続検証が保証されます。ブラウザは、設定された期間、この検証を維持します。

Windows Server 2019以降の環境では、IISにおいてHSTSを構成することが可能です。

1. インターネットインフォメーションサービス (IIS) マネージャーを開きます。
2. 既定のWebサイト (または適切なWebサイト) を選択します。
3. 右側のアクションペインで、HSTS… を選択します。
4. 有効にするを選択し、最大有効期間を入力します（例: 1年間で31536000）。
5. HTTPをHTTPSにリダイレクトを選択します。

   注:

   Web Studioは、Studio Webサイトにアクセスする際にHTTPをHTTPSにリダイレクトするURL書き換えルールを自動的に構成します。ただし、このオプションはDirectorおよびIISサイト上の他のすべてのアプリケーションにも適用されます。

6. OKをクリックします。

   

(オプション) デフォルトのポート番号を変更する

デフォルトでは、Web StudioとDirectorは安全なHTTPSアクセスにポート443を使用します。このポート番号を変更するには、Default Web Siteで目的のポートのサイトバインディングを作成するために、次の手順に従います。

手順:

1. Web Studioをホストしているサーバーで、インターネットインフォメーションサービス (IIS) マネージャーを開きます。

2. 接続ペインで、サーバーノードを展開し、サイトの下にある既定のWebサイトを選択します。

3. 右側のアクションペインで、バインディングをクリックします。

   

4. サイトバインディングウィンドウで、追加をクリックします。

5. 「サイトバインディングの追加」ウィンドウで、新しいバインディングに以下を設定します。

   1. 種類: https を選択します。
   2. IPアドレス: 適切なIPアドレスを選択するか、該当する場合は「未割り当てのすべて」のままにします。
   3. ポート: 目的のポート番号を入力します（例: 444）。
   4. SSL証明書: セキュアな通信のために適切なSSL証明書を選択します。

   注:

   Delivery Controller™ と Web Studio が別々のマシンにインストールされており、サーバーに他のサービスやWebサイトが展開されていない場合は、ポート443を削除できます。それ以外の場合は、オーケストレーションサービスや他のFMAサービスとの通信の問題を避けるために、このポートを維持してください。

6. OK をクリックしてバインディングを保存し、サイトバインディング ウィンドウを閉じます。

7. IISマネージャー で、サーバーノードをクリックし、操作 ペインで 再起動 をクリックして新しいバインディングを適用します。

（オプション）HTTPSリダイレクトを無効にする

Web Studioをインストールすると、デフォルトで、すべてのHTTPアクセスはHTTPSに自動的にリダイレクトされます。HTTPアクセスを許可するためにこのリダイレクトを無効にすることも可能です。このアプローチは、HTTPアクセスをブロックするための他の対策を講じている場合にのみ推奨されます。Web Studioの前にTLS終端ロードバランサーがある場合でも、ロードバランサーとWeb Studioの間でHTTPSを使用することをお勧めします。

1. Web Studioサーバーにログオンします。
2. インターネットインフォメーションサービス (IIS) マネージャー を開き、Server_name > サイト > 既定のWebサイト > URL書き換え に移動します。

3. 次のスクリーンショットに示すように、httpsへのリダイレクト の 受信規則 を無効にします。

   HTTPSリダイレクトを無効にする(/ja-jp/citrix-virtual-apps-desktops/2411/media/studio-disable-https-redirect.png)

IISでHSTSを有効にしている場合は、Redirect Http to Httpsもクリアする必要があります。