セキュリティキーの管理

重要:

• この機能は、StoreFront™ 1912 LTSR CU2以降と組み合わせて使用する必要があります。
• Secure XML機能は、Citrix ADCおよびCitrix Gatewayリリース12.1以降でのみサポートされています。

注:

Citrix Virtual Apps and Desktops™の展開は、WebベースのウェブスタジオとWindowsベースのシトリックススタジオという2つの管理コンソールで管理できます。この記事ではウェブスタジオのみを扱います。シトリックススタジオに関する詳細については、Citrix Virtual Apps and Desktops 7 2212以前の同等の記事を参照してください。

この機能を使用すると、承認されたStoreFrontおよびCitrix GatewayマシンのみがDelivery Controllerと通信できるようになります。この機能を有効にすると、キーを含まないすべての要求はブロックされます。この機能を使用して、内部ネットワークから発信される攻撃から保護するための追加のセキュリティレイヤーを追加します。

この機能を使用するための一般的なワークフローは次のとおりです。

1. Web Studioで機能設定を表示できるようにします。

2. サイトの設定を構成します。

3. StoreFrontの設定を構成します。

4. Citrix ADCの設定を構成します。

サイトの設定を構成する

Web StudioまたはPowerShellを使用して、サイトのセキュリティキー設定を構成できます。

ウェブスタジオを使用する

1. Web Studio にサインインし、左ペインで 設定 を選択します。

2. セキュリティキーの管理 タイルを見つけて、編集 をクリックします。セキュリティキーの管理 ページが表示されます。

   

3. 更新アイコンをクリックしてキーを生成します。

   重要:

   • 使用できるキーは2つあります。XMLポートおよびSTAポートを介した通信には、同じキーまたは異なるキーを使用できます。一度に1つのキーのみを使用することをお勧めします。未使用のキーは、キーのローテーションにのみ使用されます。
   • すでに使用中のキーを更新するために更新アイコンをクリックしないでください。クリックすると、サービスが中断されます。

4. 通信にキーが必要な場所を選択します。

   • XMLポートを介した通信にキーを要求する (StoreFrontのみ)。選択した場合、XMLポートを介した通信を認証するためにキーを要求します。StoreFrontはこのポートを介してCitrix Cloudと通信します。XMLポートの変更については、Knowledge Centerの記事 CTX127945 を参照してください。

   • STAポートを介した通信にキーを要求する。選択した場合、STAポートを介した通信を認証するためにキーを要求します。Citrix GatewayとStoreFrontはこのポートを介してCitrix Cloudと通信します。STAポートの変更については、Knowledge Centerの記事 CTX101988 を参照してください。

5. 保存 をクリックして変更を適用し、ウィンドウを閉じます。

パワーシェルを使用する

以下は、Web Studioの操作に相当するPowerShellの手順です。

1. シトリックス バーチャルアプリおよびデスクトップ リモート パワーシェル エスディーケー を実行します。

2. コマンドウィンドウで、次のコマンドを実行します。
   • Add-PSSnapIn Citrix*
3. キーを生成し、Key1 を設定するには、次のコマンドを実行します。
   • New-BrokerXmlServiceKey
   • Set-BrokerSite -XmlServiceKey1 <the key you generated>
4. キーを生成し、Key2 を設定するには、次のコマンドを実行します。
   • New-BrokerXmlServiceKey
   • Set-BrokerSite -XmlServiceKey2 <the key you generated>
5. 通信の認証でキーの使用を有効にするには、次のコマンドのいずれか、または両方を実行します。
   • XML ポート経由で通信を認証するには:
     • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
   • STA ポート経由で通信を認証するには:
     • Set-BrokerSite -RequireXmlServiceKeyForSta $true

ガイダンスと構文については、PowerShell コマンドのヘルプを参照してください。

StoreFront の設定を構成する

サイトの構成が完了したら、PowerShell を使用して StoreFront の関連設定を構成する必要があります。

StoreFrontサーバーで、次のPowerShellコマンドを実行します。

$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

次のパラメーターに適切な値を入力します。

• Path to store
• Resource feed name
• secret

STAポート経由の通信用にキーを構成するには、New-STFSecureTicketAuthority および Set-STFRoamingGateway コマンドを使用します。例:

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

次のパラメーターに適切な値を入力します。

• Gateway name
• STA URL
• Secret

ガイダンスと構文については、PowerShellコマンドのヘルプを参照してください。

Citrix ADC の設定を構成する

注:

Citrix ADC をゲートウェイとして使用しない限り、Citrix ADC のこの機能を構成する必要はありません。Citrix ADC を使用する場合は、次の手順に従います。

1. 以下の前提条件となる構成がすでに設定されていることを確認してください。

   • 以下のCitrix ADC関連のIPアドレスが構成されています。
     • Citrix ADCコンソールにアクセスするためのCitrix ADC管理IP (NSIP) アドレス。詳細については、「NSIPアドレスの構成」を参照してください。

     ADC管理IPアドレス(/ja-jp/citrix-virtual-apps-desktops/2503/media/adc-management-ip.png)

     • Citrix ADCアプライアンスとバックエンドサーバー間の通信を有効にするためのサブネットIP (SNIP) アドレス。詳細については、「サブネットIPアドレスの構成」を参照してください。
     • セッション起動のためにADCアプライアンスにログインするためのCitrix Gateway仮想IPアドレスとロードバランサー仮想IPアドレス。詳細については、「仮想サーバーの作成」を参照してください。

     サブネットIPアドレス(/ja-jp/citrix-virtual-apps-desktops/2503/media/adc-subnetip-address.png)

   • Citrix ADCアプライアンスで必要なモードと機能が有効になっています。
     • モードを有効にするには、Citrix ADCのユーザーインターフェイスで、System > Settings > Configure Mode の順に選択します。
     • To enable the features, in the Citrix ADC GUI go to System > Settings > Configure Basic Features.
   • 証明書関連の構成が完了しています。
     • 証明書署名要求 (CSR) が作成されます。詳細については、「証明書の作成」を参照してください。

     CSR証明書の作成(/ja-jp/citrix-virtual-apps-desktops/2503/media/adc-create-rsa-key.png)

     • サーバー証明書、CA証明書、およびルート証明書がインストールされます。詳細については、「インストール、リンク、および更新」を参照してください。

     サーバー証明書のインストール(/ja-jp/citrix-virtual-apps-desktops/2503/media/adc-install-server-certificate.png)

     

     • Citrix Virtual Desktops用にCitrix Gatewayが作成されました。仮想サーバーがオンラインであることを確認するには、Test STA Connectivityボタンをクリックして接続をテストします。詳細については、「Citrix Virtual Apps and Desktops向けCitrix ADCのセットアップ」(/ja-jp/citrix-adc/current-release/solutions/deploy-xa-xd.html)を参照してください。

     

2. リライトアクションを追加します。詳細については、「リライトアクションの構成」(/ja-jp/citrix-adc/current-release/appexpert/rewrite.html#configuring-a-rewrite-action)を参照してください。

   1. Go to AppExpert > Rewrite > Actions.
   2. 追加をクリックして、新しいリライトアクションを追加します。アクションの名前は「set Type to INSERT_HTTP_HEADER」にすることができます。

   

   1. タイプ の項目で、INSERT_HTTP_HEADER を選択してください。
   2. ヘッダー名フィールドに X-Citrix-XmlServiceKey と入力します。
   3. 式に、引用符付きで<XmlServiceKey1 value>を追加します。XmlServiceKey1 の値は、Desktop Delivery Controller™ の構成からコピーできます。

   

3. リライトポリシーを追加します。詳細については、「リライトポリシーの構成」(/ja-jp/citrix-adc/current-release/appexpert/rewrite.html#configure-rewrite-policy)を参照してください。

   1. AppExpert > 書き換え > ポリシーに移動します。

   2. 追加をクリックして、新しいポリシーを追加します。

   

   1. 「アクション」で、前の手順で作成したアクションを選択します。
   2. 式フィールドにHTTP.REQ.IS_VALIDを追加します。
   3. OKをクリックします。

4. ロードバランシングを設定します。STAサーバーごとに1つのロードバランシング仮想サーバーを構成する必要があります。構成しない場合、セッションの起動に失敗します。

   詳細については、「基本的なロードバランシングのセットアップ」を参照してください。

   1. ロードバランシング仮想サーバーを作成します。
      • トラフィック管理 > ロードバランシング > サーバーに移動します。
      • 仮想サーバーページで、追加をクリックします。

      

      • 「プロトコル」で「HTTP」を選択します。
      • ロードバランシング仮想IPアドレスを追加し、「ポート」で「80」を選択します。
      • OKをクリックします。
   2. ロードバランシングサービスを作成します。
      • トラフィック管理 > 負荷分散 > サービスに移動します。

      

      • 「Existing Server」で、前の手順で作成した仮想サーバーを選択します。
      • 「Protocol」で「HTTP」を選択し、「Port」で「80」を選択します。
      • 「OK」をクリックし、次に「Done」をクリックします。
   3. サービスを仮想サーバーにバインドします。
      • 以前に作成した仮想サーバーを選択し、「Edit」をクリックします。
      • 「サービスとサービスグループ」で、「負荷分散仮想サーバーサービスバインディングなし」をクリックします。

      サービスを仮想サーバーにバインドする(/ja-jp/citrix-virtual-apps-desktops/2503/media/adc-bind-service-to-lbvserver.png)

      • 「Service Binding」で、以前に作成したサービスを選択します。
      • 「Bind」をクリックします。
   4. 以前に作成した書き換えポリシーを仮想サーバーにバインドします。
      • 以前に作成した仮想サーバーを選択し、「Edit」をクリックします。
      • 「Advanced Settings」で「Policies」をクリックし、次に「Policies」セクションで「+」をクリックします。

      書き換えポリシーをバインドする(/ja-jp/citrix-virtual-apps-desktops/2503/media/adc-bind-rewrite-policy.png)

      • 「ポリシーの選択」で「書き換え」を選択し、「種類の選択」で「要求」を選択します。
      • 「Continue」をクリックします。
      • 「ポリシーの選択」で、以前に作成した書き換えポリシーを選択します。
      • バインドをクリックします。
      • 完了をクリックします。
   5. 必要に応じて、仮想サーバーの永続性を設定します。
      • 以前に作成した仮想サーバーを選択し、編集をクリックします。
      • 「詳細設定」で、永続性をクリックします。

      永続性の設定(/ja-jp/citrix-virtual-apps-desktops/2503/media/adc-lb-vserver-persistence.png)

      • 永続性の種類として「その他」を選択します。
      • DESTIPを選択して、仮想サーバーによって選択されたサービス（宛先IPアドレス）のIPアドレスに基づいて永続セッションを作成します。
      • 「IPv4ネットマスク」で、DDCと同じネットワークマスクを追加します。
      • OKをクリックします。
   6. 他の仮想サーバーについても、これらの手順を繰り返します。

Citrix ADCアプライアンスがCitrix Virtual Desktops™で既に構成されている場合の構成の変更

Citrix ADCアプライアンスをCitrix Virtual Desktopsで既に構成している場合、Secure XML機能を使用するには、次の構成変更を行う必要があります。

• セッション起動前に、ゲートウェイのセキュリティチケット機関URLを変更して、負荷分散仮想サーバーのFQDNを使用するようにします。
• TrustRequestsSentToTheXmlServicePort パラメーターが False に設定されていることを確認します。デフォルトでは、TrustRequestsSentToTheXmlServicePort パラメーターは False に設定されています。ただし、顧客がCitrix Virtual Desktops用にCitrix ADCをすでに構成している場合、TrustRequestsSentToTheXmlServicePort は True に設定されます。

1. Citrix ADCのGUIで、[構成] > [Citrix製品との統合] に移動し、[ゼナップ アンド ゼンダスクトップ®] をクリックします。

2. ゲートウェイインスタンスを選択し、編集アイコンをクリックします。

   

3. StoreFrontペインで、編集アイコンをクリックします。

   

4. システム設定において、Secure Ticket Authority URL の項目を追加します。
   • Secure XML機能が有効になっている場合、STA URLは負荷分散サービスのURLである必要があります。
   • Secure XML機能が無効になっている場合、STA URLはSTAのURL（DDCのアドレス）である必要があり、DDC上の TrustRequestsSentToTheXmlServicePort パラメーターはTrueに設定されている必要があります。