VDAでTLSを有効にする

Citrix Workspace™アプリとVirtual Delivery Agent (VDA) 間でTLS接続を有効にするには、以下のタスクを実行してください。

• VDAに証明書をインストールします。詳しくは、証明書を要求してインストールするを参照してください。
• VDAがインストールされているマシンでTLSを構成します。（便宜上、VDAがインストールされているマシンは、以降「VDA」と表記します。）TLS/DTLSの構成には、Citrixが提供するPowerShellスクリプトを使用することを強くお勧めします。詳しくは、PowerShellスクリプトを使用してVDAでTLSを構成するを参照してください。ただし、TLS/DTLSを手動で構成する場合は、VDAでTLSを手動で構成するを参照してください。
• Studioで一連のPowerShellコマンドレットを実行して、VDAを含むデリバリーグループでTLSを構成します。詳しくは、デリバリーグループでTLSを構成するを参照してください。

要件と考慮事項：

• コンポーネントをインストールし、サイトを作成し、マシンカタログを作成し、デリバリーグループを作成した後で、デリバリーグループとVDAでTLSを構成します。
• デリバリーグループでTLSを構成するには、Controllerアクセスルールを変更する権限が必要です。フル管理者にはこの権限があります。
• VDAでTLSを構成するには、VDAがインストールされているマシンでWindows管理者である必要があります。
• Machine Creation Services™またはProvisioning ServicesによってプロビジョニングされたプールされたVDAでは、VDAマシンイメージは再起動時にリセットされ、以前のTLS設定が失われます。VDAが再起動されるたびにPowerShellスクリプトを実行して、TLS設定を再構成してください。

デリバリーグループには、TLSが構成されているVDAとTLSが構成されていないVDAが混在することはできません。デリバリーグループにTLSを構成する前に、そのデリバリーグループ内のすべてのVDAにTLSが構成されていることを確認してください。

VDAでTLSを構成すると、インストールされているTLS証明書の権限が変更され、ICA®サービスに証明書の秘密キーへの読み取りアクセスが付与され、ICAサービスに次の情報が通知されます。

• TLSに使用する証明書ストア内の証明書。

• TLS接続に使用するTCPポート番号。

  Windowsファイアウォール（有効な場合）は、このTCPポートでの受信接続を許可するように構成する必要があります。この構成は、PowerShellスクリプトを使用すると自動的に行われます。

• 許可するTLSプロトコルのバージョン。

  重要:

  CitrixではTLS 1.2以降の使用を推奨しています。SSLおよびそれ以前のバージョンのTLSは非推奨です。

  サポートされているTLSプロトコルバージョンには階層があります（低い方から高い方へ）：SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3。許可される最小バージョンを指定してください。そのバージョンまたはそれ以降のバージョンを使用するすべてのプロトコル接続が許可されます。

  たとえば、最小バージョンとしてTLS 1.1を指定した場合、TLS 1.1、TLS 1.2、TLS 1.3のプロトコル接続が許可されます。最小バージョンとしてSSL 3.0を指定した場合、サポートされているすべてのバージョンの接続が許可されます。最小バージョンとしてTLS 1.3を指定した場合、TLS 1.3接続のみが許可されます。

• 許可するTLS暗号スイート。

  暗号スイートは、接続に使用される暗号化を選択します。クライアントとVDAは、異なる暗号スイートのセットをサポートできます。クライアント（Citrix Workspaceアプリ）が接続し、サポートされているTLS暗号スイートのリストを送信すると、VDAはクライアントの暗号スイートの1つを、自身の構成済み暗号スイートのリストにある暗号スイートの1つと照合し、接続を受け入れます。一致する暗号スイートがない場合、VDAは接続を拒否します。

  VDAは、3つの暗号スイートセット（コンプライアンスモードとも呼ばれます）をサポートしています：GOV（政府）、COM（商用）、およびALL。許容される暗号スイートは、Windows FIPSモードにも依存します。Windows FIPSモードの詳細については、http://support.microsoft.com/kb/811833を参照してください。次の表に、各セットの暗号スイートを示します。

  暗号スイート	ALL	COM	GOV	ALL	COM	GOV
  フィップス モード	オフ	オフ	オフ	オン	オン	オン
  TLS_AES_256_GCM_SHA384	X		X	X		X
  TLS_AES_128_GCM_SHA256	X			X		X
  TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	X		X	X		X
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	X		X	X		X
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	X	X		X	X

  注:

  The VDA does not support DHE ciphersuites (for example, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, and TLS_DHE_RSA_WITH_AES_128_CBC_SHA.) If selected by Windows, the connection will fail.

  NetScaler Gateway を使用している場合は、バックエンド通信の暗号スイートサポートに関する情報について、NetScaler のドキュメントを参照してください。TLS 暗号スイートのサポートについては、「Citrix ADC アプライアンスで利用可能な暗号」を参照してください。DTLS 暗号スイートのサポートについては、「DTLS 暗号のサポート」を参照してください。

証明書の要求とインストール

TLS を使用するには、代替名に VDA の FQDN が含まれる証明書をインストールする必要があります。この証明書は、VDA に直接接続するクライアント (Citrix Gateway 経由ではない) によって信頼されている必要があります。証明書を簡単に展開できない管理対象外のデバイスが VDA に接続できるようにするには、NetScaler® Gateway の展開を検討してください。

Microsoft 証明機関を使用して証明書を作成する

クライアントと VDA が信頼されたフォレストにあり、Microsoft 証明機関がある場合、証明書 MMC スナップインの証明書登録ウィザードから証明書を取得できます。

1. VDA で、MMC コンソールを開き、証明書スナップインを追加します。プロンプトが表示されたら、コンピューターアカウントを選択します。
2. 個人 > 証明書を展開し、コンテキストメニューコマンドのすべてのタスク > 新しい証明書の要求を使用します。
3. 開始するには次へをクリックし、Active Directory 登録から証明書を取得することを確認するには次へをクリックします。

4. サーバー認証証明書のテンプレートを選択します。デフォルトの Windows のコンピューターまたはWeb サーバーのエクスポート可能のいずれも使用できます。テンプレートが件名の値を自動的に提供するように設定されている場合は、詳細を指定せずに登録をクリックできます。

   

5. 証明書テンプレートの詳細を指定するには、詳細をクリックして以下を構成します。

   サブジェクト名 — 種類として共通名を選択し、VDA の FQDN を追加します

   代替名 — タイプをDNSに選択し、VDAのFQDNを追加します

   

   注:

   Active Directory証明書サービス証明書の自動登録を使用して、VDAへの証明書の発行と展開を自動化します。これは証明書の自動登録を有効にする)で説明されています。

   ワイルドカード証明書を使用して、1つの証明書で複数のVDAを保護できます。

   サブジェクト名 — タイプを共通名に選択し、VDAの*.primary.domainを入力します

   代替名 — タイプをDNSに選択し、VDAの*.primary.domainを追加します

   

   SAN証明書を使用して、1つの証明書で複数の特定のVDAを保護できます。

   サブジェクト名 — タイプを共通名に選択し、証明書の使用状況を識別するのに役立つ文字列を入力します

   代替名 — タイプをDNSに選択し、各VDAのFQDNのエントリを追加します。最適なTLSネゴシエーションを確保するために、代替名の数を最小限に抑えてください。

   

   注:

   ワイルドカード証明書とSAN証明書の両方で、[秘密鍵]タブで秘密鍵をエクスポート可能にするを選択する必要があります。

   

PowerShellスクリプトを使用してVDAでTLSを構成する

証明書ストアの「ローカルコンピューター > 個人 > 証明書」領域にTLS証明書をインストールします。その場所に複数の証明書がある場合は、証明書のサムプリントをPowerShellスクリプトに指定します。

注：

XenAppおよびXenDesktop 7.15 LTSR以降、PowerShellスクリプトはVDAのFQDNに基づいて正しい証明書を検索します。VDAのFQDNに対して単一の証明書のみが存在する場合、サムプリントを指定する必要はありません。

Enable-VdaSSL.ps1スクリプトは、VDA上のTLSリスナーを有効または無効にします。このスクリプトは、インストールメディアの Support > Tools > SslSupport フォルダーにあります。

TLSを有効にすると、DHE暗号スイートは無効になります。ECDHE暗号スイートは影響を受けません。

TLSを有効にすると、スクリプトは指定されたTCPポートの既存のWindowsファイアウォール規則をすべて無効にします。その後、ICAサービスがTLS TCPおよびUDPポートでのみ受信接続を受け入れることを許可する新しい規則を追加します。また、以下のWindowsファイアウォール規則も無効にします。

• シトリックス ICA (デフォルト: 1494)
• シトリックス CGP (デフォルト: 2598)
• シトリックス ウェブソケット (デフォルト: 8008)

その結果、ユーザーはTLSまたはDTLSを使用してのみ接続できます。TLSまたはDTLSなしでは、ICA/HDX、セッション信頼性を使用したICA/HDX、またはWebSocket経由のHDXを使用できません。

注：

DTLSは、UDPリアルタイムトランスポート経由のICA/HDXオーディオ、またはICA/HDX Framehawkではサポートされていません。

「ネットワークポート」を参照してください。

このスクリプトには、以下の構文の説明と追加の例が含まれています。この情報はNotepad++などのツールを使用して確認できます。

重要:

EnableまたはDisableパラメーターと、CertificateThumbPrintパラメーターを指定します。その他のパラメーターはオプションです。

構文

Enable-VdaSSL {-Enable | -Disable} -CertificateThumbPrint "<thumbprint>" [-SSLPort <port>] [-SSLMinVersion "<min-ssl-version>"] [-SSLCipherSuite"\<suite>"]

使用例

次のスクリプトは、TLSプロトコルバージョンの値をインストールして有効にします。サムプリント（この例では「12345678987654321」として表されます）は、使用する証明書を選択するために使用されます。

Enable-VdaSSL -Enable -CertificateThumbPrint "12345678987654321"

次のスクリプトは、TLSリスナーをインストールして有効にし、TLSポート400、GOV暗号スイート、および最小TLS 1.2プロトコル値を指定します。サムプリント（この例では「12345678987654321」として表されます）は、使用する証明書を選択するために使用されます。

Enable-VdaSSL -Enable
-CertificateThumbPrint "12345678987654321"
-SSLPort 400 -SSLMinVersion "TLS_1.2"
-SSLCipherSuite "All"

次のスクリプトは、VDA上のTLSリスナーを無効にします。

Enable-VdaSSL -Disable

VDAでTLSを手動で構成する

VDAでTLSを手動で構成する場合、各VDA上の適切なサービスに対して、TLS証明書の秘密キーへの一般的な読み取りアクセス権を付与します。WindowsシングルセッションOS用VDAの場合はNT SERVICE\PorticaService、WindowsマルチセッションOS用VDAの場合はNT SERVICE\TermService。VDAがインストールされているマシンで:

手順1。Microsoft管理コンソール（MMC）を起動します: [スタート] > [ファイル名を指定して実行] > mmc.exe。

手順2。MMCに証明書スナップインを追加します。

1. [ファイル] > [スナップインの追加と削除] を選択します。
2. [証明書] を選択し、[追加] をクリックします。
3. 「このスナップインは常に次の証明書を管理します:」というプロンプトが表示されたら、「コンピューターアカウント」を選択し、[次へ] をクリックします。
4. 「このスナップインで管理するコンピューターを選択してください」というプロンプトが表示されたら、「ローカルコンピューター」を選択し、[完了] をクリックします。

ステップ 3。証明書 (ローカル コンピューター) > 個人 > 証明書で、証明書を右クリックし、「すべてのタスク > プライベート キーの管理」を選択します。

ステップ 4。アクセス制御リストエディターに「(FriendlyName) プライベートキーのアクセス許可」と表示されます。(FriendlyName) は TLS 証明書の名前です。次のいずれかのサービスを追加し、読み取りアクセス権を付与します。

• Windowsシングルセッションオペレーティングシステム用VDAの場合、「PORTICASERVICE」
• Windowsマルチセッションオペレーティングシステム用VDAの場合、「TERMSERVICE」

ステップ 5。インストールされているTLS証明書をダブルクリックします。証明書ダイアログで、「詳細」タブを選択し、一番下までスクロールします。「拇印」をクリックします。

STEP 6. Run regedit and go to HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.

1. SSL Thumbprint キーを編集し、TLS 証明書の拇印の値をこのバイナリ値にコピーします。「バイナリ値の編集」ダイアログボックスの不明な項目（「0000」や特殊文字など）は無視しても問題ありません。
2. SSLEnabled キーを編集し、DWORD 値を 1 に変更します。(後で SSL を無効にするには、DWORD 値を 0 に変更します。)

3. デフォルト設定を変更する場合（オプション）は、同じレジストリパスで以下を使用します。

   SSLPort DWORD – SSLポートの番号を指定します。デフォルトは443です。

   SSLMinVersion DWORD – 最小SSLバージョンを設定するための値です。1はSSL 3.0、2はTLS 1.0、3はTLS 1.1、4はTLS 1.2、5はTLS 1.3を意味します。既定値は2 (TLS 1.0) です。

   SSLCipherSuite DWORD – 1 = GOV, 2 = COM, 3 = ALL. Default: 3 (ALL).

ステップ 7。TLS TCP および UDP ポートがデフォルトの 443 ではない場合、Windows ファイアウォールで開いていることを確認します。(Windows ファイアウォールで受信規則を作成する際は、そのプロパティで「接続を許可する」と「有効」のエントリが選択されていることを確認してください。)

ステップ 8。他のアプリケーションやサービス（IISなど）がTLS TCPポートを使用していないことを確認します。

ステップ 9。マルチセッションVDAの場合、変更を有効にするにはマシンを再起動します。(シングルセッションVDAマシンを再起動する必要はありません。)

ステップ 10. 接続の問題を回避するために、VDAでサポートされている暗号スイートが最も高い優先順位を持つように、Windowsの暗号スイート設定を変更します。

重要:

以下に概説するグループポリシーの変更は、システムを再起動した後にのみ有効になります。

MCSまたはPVSでプロビジョニングされた非永続的なセッションホストを使用している場合は、マスターイメージにこれらの設定を適用する必要があります。

オプション 1:

グループポリシーエディターを使用して、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL構成設定] > [SSL暗号スイートの順序] に移動します。次の暗号スイートがリストの先頭にあることを確認します。

TLS_AES_256_GCM_SHA384_P384
TLS_AES_256_GCM_SHA384_P256
TLS_AES_128_GCM_SHA256_P384
TLS_AES_128_GCM_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
<!--NeedCopy-->

注:

TLS_AES_256_GCM_SHA384およびTLS_AES_128_GCM_SHA256は、Windows 11およびWindows Server 2022以降にのみ適用されます。古いオペレーティングシステムを使用している場合は、これらの暗号スイートをリストに含めないでください。

リストされている暗号スイートは、楕円曲線P384またはP256も指定しており、「curve25519」が選択されないようにします。FIPSモードは「curve25519」の使用を妨げません。

リストから暗号スイートを削除する必要はありません。これらの設定はシステム全体に適用されるため、暗号スイートを削除する場合は、セッションホストで実行されているアプリケーションやサービスによってそれらが必要とされないことを確認する必要があります。

オプション 2:

グループポリシーエディターを使用して、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL構成設定] > [SSL暗号スイートの順序] に移動します。次の暗号スイートがリストの先頭にあることを確認します。

TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
<!--NeedCopy-->

注: TLS_AES_256_GCM_SHA384およびTLS_AES_128_GCM_SHA256は、Windows 11およびWindows Server 2022以降にのみ適用されます。古いオペレーティングシステムを使用している場合は、これらの暗号スイートをリストに含めないでください。

リストから暗号スイートを削除する必要はありません。これらの設定はシステム全体に適用されるため、暗号スイートを削除する場合は、セッションホストで実行されているアプリケーションやサービスによってそれらが必要とされないことを確認する必要があります。

グループポリシーエディターを使用して、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL構成設定] > [ECC曲線順序] に移動します。設定を有効にし、次の曲線をリストに含めます。

NistP384
NistP256
<!--NeedCopy-->

注:

これにより、「curve25519」が選択されないようにします。FIPSモードは、「curve25519」の使用を妨げません。

VDAは、グループポリシーリストと、選択されたコンプライアンスモード（COM、GOV、またはALL）のリストの両方に含まれている場合にのみ、暗号スイートを選択します。暗号スイートは、クライアント（Citrix Workspaceアプリ）から送信されたリストにも含まれている必要があります。

デリバリーグループでのTLSの構成

TLS接続用に構成したVDAを含む各デリバリーグループに対して、この手順を完了してください。

1. StudioからPowerShellコンソールを開きます。
2. Run Get-BrokerAccessPolicyRule -DesktopGroupName ‘<delivery-group-name>’ | Set-BrokerAccessPolicyRule -HdxSslEnabled $true.
3. Run Set-BrokerSite -DnsResolutionEnabled $true.

自動登録を使用したプールされたVDAのSSLの有効化

プールされたVDAを使用する場合、マスターイメージに証明書を追加すると、すべてのVDAが同じイメージを共有します。ワイルドカード証明書を使用できますが、欠点として、いずれかのVDAが侵害された場合、この強力な証明書により、すべてのVDAに属するHDX™接続が危険にさらされることになります。

代わりに、より安全な代替策として、Microsoft Active Directory証明書サービスを活用して、グループポリシーを使用して証明書を自動的にプロビジョニングする方法があります。VDA上のスタートアップスクリプトを使用して、新しい証明書を動的にプロビジョニングし、VDAへのSSLを有効にすることができます。

このアプローチは、シングルセッションデスクトップVDAでのみ機能することに注意してください。マルチセッションVDAの場合、証明書が自動的にプロビジョニングされる前に、ブートプロセス中にICAリスナーが早すぎる段階で起動されます。

Active Directory証明書サービスは内部のエンタープライズ証明機関を使用するため、すべてのWindowsインストールで自動的に信頼されるわけではありません。クライアントが企業によって管理され、ドメインフォレストの一部である場合、信頼されたCA証明書はグループポリシーを使用して自動的に配布されます。BYODやその他のドメインに参加していないデバイスの場合、信頼されたCA証明書を別のメカニズム（ダウンロードリンクの提供など）でユーザーに配布するか、NetScaler Gatewayを使用する必要があります。

証明書の自動登録を有効にする

まず、VDAドメインフォレスト内のサーバーにエンタープライズCAを提供するActive Directory証明書サービスロールがインストールされていることを確認してください。そうでない場合、自動登録は不可能です。

これは、VDAが起動するたびに証明書要求を送信するため、Enterprise CAに通常よりもかなり高い負荷をかける可能性があります。負荷に対処するために、CAサーバーに十分なCPUとメモリを割り当て、常に、本番環境に移行する前にラボ環境で展開のスケーラビリティをテストしてください。

グループポリシー管理エディターで、SSLが有効なプールされたVDAを含む組織単位に適用される新しいポリシーを次のように作成します。

1. コンピューターの構成 -> ポリシー -> Windows の設定 -> セキュリティの設定 -> 公開キーのポリシー を展開します
2. 「証明書サービス クライアント – 自動登録ポリシー」オブジェクトのプロパティを編集します
3. 以下のスクリーンショットに示すように構成します。
4. 自動証明書要求コンテナーを右クリックし、新規 -> 自動証明書要求… を選択します
5. 自動証明書要求セットアップウィザードで、「次へ」をクリックします
6. コンピューター証明書テンプレートが選択されていることを確認し、「次へ」をクリックします
7. 「完了」をクリックします

登録ポリシーのスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2411/media/ssltask-autoenrollment-policy.png)

Windowsマスターイメージの準備

Enable-VdaSsl.ps1スクリプトを、製品インストールメディアのSupport\Tools\SslSupportフォルダーからVDAマスターイメージにコピーします。マスターイメージには、HDX SSL接続に使用する証明書を含めないでください。証明書は、MCSまたはPVSマシンカタログが作成されるときにプロビジョニングされます。次に、次のように新しいスケジュールされたタスクを作成します（スケジュールされたタスクは今すぐ実行しないでください）。

1. タスクスケジューラを開きます。

2. 操作ペインで、タスクの作成… を押します

3. 全般タブで：

   • 「名前」を入力します（例：Enable VDA SSL）

   • 「ユーザーまたはグループの変更…」をクリックし、「ユーザーまたはグループの選択」ダイアログボックスにSYSTEMと入力して「OK」をクリックします

   タスク作成アクションタブのスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2411/media/ssltask-general.png)

4. 「トリガー」タブを選択します

5. 「新規…」をクリックします。「新しいトリガー」ダイアログで：

   1. 「タスクの開始」を「イベント時」に設定します

   2. Set Log to Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational

   3. Set Source to Microsoft-Windows-CertificateServicesClient-Lifecycle-System

   4. 「イベントID」を1006に設定します

   5. 「OK」をクリックしてトリガーを保存します

   新しいトリガーウィンドウのスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2411/media/ssltask-trigger.png)

6. 「アクション」タブを選択します

7. 「新規…」をクリックします

8. 「新しいアクション」ダイアログで：

   1. 「アクション」を「プログラムの開始」に設定します

   2. 「プログラム/スクリプト」フィールドに、powershell.exeと入力します。

   3. 「引数の追加」フィールドに、PowerShellスクリプトへのパスを含めて-ExecutionPolicy RemoteSigned Enable-VdaSsl.ps1 -Enable -Confirm:$Falseと入力します。

   4. OKを押してアクションを保存します。

   新しいアクションウィンドウのスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2411/media/ssltask-action.png)

9. OKを押してタスクを保存します。

トラブルシューティング

接続エラーが発生した場合は、VDAのシステムイベントログを確認してください。

Windows向けCitrix Workspaceアプリを使用しているときに、TLSエラーを示す接続エラーが表示された場合は、Desktop Viewerを無効にしてから、もう一度接続を試してください。接続は引き続き失敗しますが、基になるTLSの問題の説明が提供される場合があります。（たとえば、証明機関から証明書を要求するときに誤ったテンプレートを指定した場合などです。）

HDX Adaptive Transportを使用するほとんどの構成は、Citrix Workspaceアプリ、Citrix Gateway、およびVDAの最新バージョンを使用しているものを含め、DTLSで正常に動作します。Citrix WorkspaceアプリとCitrix Gatewayの間でDTLSを使用し、Citrix GatewayとVDAの間でDTLSを使用する一部の構成では、追加のアクションが必要です。

次の場合、追加のアクションが必要です。

• Citrix ReceiverのバージョンがHDX Adaptive TransportおよびDTLSをサポートしていること：Windows版レシーバー (4.7, 4.8, 4.9)、Mac版レシーバー (12.5, 12.6, 12.7)、iOS版レシーバー (7.2, 7.3.x)、またはLinux版レシーバー (13.7)

かつ、以下のいずれかが当てはまる場合：

• Citrix GatewayのバージョンがVDAへのDTLSをサポートしているが、VDAのバージョンがDTLSをサポートしていない場合（バージョン7.15以前）、

• VDAのバージョンがDTLSをサポートしているが（バージョン7.16以降）、Citrix GatewayのバージョンがVDAへのDTLSをサポートしていない場合。

Citrix Receiver™からの接続が失敗するのを避けるには、次のいずれかを実行します。

• Citrix Receiver を、Windows版レシーバー バージョン 4.10 以降、Mac版レシーバー 12.8 以降、または iOS版レシーバー 7.5 以降に更新する。または、
• Citrix Gateway を、VDA への DTLS をサポートするバージョンに更新する。または、
• VDA をバージョン 7.16 以降に更新する。または、
• VDA で DTLS を無効にする。または、
• HDXアダプティブトランスポートを無効にする。

注：

Receiver for Linux の適切なアップデートはまだ利用できません。Receiver for Android (バージョン 3.12.3) は、Citrix Gateway 経由の HDX Adaptive Transport および DTLS をサポートしていないため、影響を受けません。

VDA で DTLS を無効にするには、VDA ファイアウォール構成を変更して UDP ポート 443 を無効にします。(/ja-jp/tech-zone/build/tech-papers/citrix-communication-ports.html#citrix-virtual-apps-and-desktops)を参照してください。

TLS と HTML5 ビデオリダイレクト、およびブラウザコンテンツリダイレクト

HTML5 ビデオリダイレクトとブラウザコンテンツリダイレクトを使用して、HTTPS Web サイトをリダイレクトできます。これらの Web サイトに挿入される JavaScript は、VDA で実行されている Citrix HDX HTML5 Video Redirection Service への TLS 接続を確立する必要があります。これを実現するために、HTML5 Video Redirection Service は VDA の証明書ストアに 2 つのカスタム証明書を生成します。サービスを停止すると、証明書は削除されます。

HTML5 ビデオリダイレクトポリシーは、デフォルトで無効になっています。

ブラウザコンテンツリダイレクトは、デフォルトで有効になっています。

HTML5 ビデオリダイレクトの詳細については、(/ja-jp/citrix-virtual-apps-desktops/2411/policies/reference/ica-policy-settings/multimedia-policy-settings.html#html5-video-redirection)を参照してください。