ウェブスタジオおよびディレクターでTLSを有効にする

HTTPSを有効にすることで、Web StudioおよびDirectorへの接続を保護するために、常にTLSを使用することをお勧めします。この記事では、Web StudioおよびDirectorが信頼された証明書を使用し、HTTPS経由で安全なアクセスを確保するように構成する方法について説明します。

既定の動作

Web Studioをインストールすると、インストーラーは自己署名証明書を作成し、現在のサーバーのポート443にバインドします。ローカルサーバー上のWebブラウザーからHTTPS経由でWeb StudioおよびDirectorにアクセスできます。

ただし、別のマシンからHTTPS経由でWeb StudioまたはDirectorにアクセスしようとすると、ブラウザーは証明書を信頼していないため、セキュリティエラーを表示します。

注:

Web StudioなしでDirectorをインストールした場合、インストーラーは自己署名証明書を作成しません。

HTTPS経由で安全なアクセスを有効にする

Web Studioサーバー以外のマシンからHTTPS経由でWeb StudioまたはDirectorへのアクセスを許可するには、次の手順に従います。

1. 信頼された証明書を作成またはインポートする(#create-or-import-a-trusted-certificate)。

2. IISで証明書をポート443にバインドする(#bind-the-certificate-to-port-443)。

3. (オプション) HTTP厳格トランスポートセキュリティ (HSTS) を有効にする。

4. Web Studioがプロキシとして構成されていない場合（クライアントマシンがWeb StudioとDelivery Controllerの両方に接続する場合）、Delivery ControllerでTLSを有効にする(/ja-jp/citrix-virtual-apps-desktops/2503/secure/tls-ddc)。

注:

自己署名証明書の使用は、各マシンでの手動構成が必要となるため、推奨されません。詳細については、「自己署名証明書を使用する(#use-the-self-signed-certificate)」を参照してください。

信頼された証明書を作成またはインポートする

サーバーに接続するマシンによって信頼されている、エンタープライズまたはパブリックの認証局からの証明書を使用することをお勧めします。

詳細については、「新しい証明書を作成する」および「既存の証明書をインポートする」を参照してください。証明書の共通名またはサブジェクトの別名は、ユーザーがWeb StudioまたはDirectorに接続するために使用するFQDNと一致している必要があります。サーバーの前にロードバランサーが展開されている場合は、ロードバランサーのFQDNを使用します。

証明書をポート443にバインドする

信頼された証明書を作成またはインポートした後、IISでポート443にバインドします。これは、インストール前またはインストール後に行うことができます。ポート443の証明書バインドがすでに構成されている場合、インストーラーは変更を行いません。

注：

デフォルトでは、Web StudioとDirectorはセキュアなHTTPSアクセスにポート443を使用します。必要に応じてポート番号を変更できます。詳細については、「デフォルトのポート番号を変更する」を参照してください。

証明書をポート443にバインドするには、次の手順に従います。

1. 管理者としてサーバーにログオンします。

2. IISマネージャーを開き、サイト > 既定のWebサイト > バインドに移動します。

3. 種類がhttpsの既存のバインドがある場合は、それを選択して編集…をクリックします。httpsバインドがない場合は、追加をクリックします。

   サイトバインドの開き方を強調表示するスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2503/media/site-bindings.png)

4. サイトバインドを作成または編集します。

   1. 新しいバインドの場合、種類をhttpsに、ポートを443に設定します。

   2. 適切なSSL証明書を選択します。

   3. Windows Server 2022以降では、ユーザーが最新のTLSバージョンのみを使用して接続できるように、オプションでレガシーTLSを無効にするを選択します。

   4. OKをクリックします。

   サイトバインディングの追加(/ja-jp/citrix-virtual-apps-desktops/2503/media/add-site-binding.png)

または、PowerShellを使用して証明書を変更することもできます。たとえば、次のスクリプトは、指定された共通名を持つ証明書を検索し、それをすべてのIPアドレス、ポート443にバインドし、レガシーTLSバージョンを無効にします。

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="{91fe7386-e0c2-471b-a252-1e0a805febac}" disablelegacytls=enable
<!--NeedCopy-->

appidは、どのアプリケーションが証明書を追加したかを識別するために使用できる任意のGUIDであることに注意してください。

自己署名証明書を使用する

既存の自己署名証明書を使用できますが、サーバーにアクセスする各マシンを手動で構成する必要があるため、推奨されません。

Web Studioに接続する必要があるマシンに自己署名証明書をインストールするには：

1. Web StudioおよびDelivery Controllerサーバーから既存の自己署名証明書をエクスポートします。
2. サーバーにアクセスする必要があるマシンの信頼されたルート証明書ストアに証明書をインポートします。

(オプション) HTTP厳格トランスポートセキュリティ (HSTS) を有効にする

HTTP Strict Transport Security (HSTS)は、サイトにアクセスする際にHTTPSのみを使用するようにWebブラウザに指示します。ユーザーがHTTPを使用してURLにアクセスしようとすると、ブラウザは自動的にHTTPSに切り替わります。この設定により、クライアント側とサーバー側の両方で安全な接続検証が保証されます。ブラウザは、設定された期間、この検証を維持します。

Windows Server 2019以降のバージョンでは、IISにおいてHSTSを構成することが可能です。

1. インターネットインフォメーションサービス (IIS) マネージャーを開きます。
2. 既定のWebサイト (または適切なWebサイト) を選択します。
3. 右側のアクションペインで、HSTS…を選択します。
4. 有効にするを選択し、最大有効期間を入力します（例：1年の場合は31536000）。
5. HTTPをHTTPSにリダイレクトを選択します。

   注：

   Web Studioは、Studio Webサイトにアクセスする際にHTTPをHTTPSにリダイレクトするURL書き換えルールを自動的に構成します。ただし、このオプションはDirectorおよびIISサイト上の他のすべてのアプリケーションにも適用されます。

6. OKをクリックします。

   HSTS設定のスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2503/media/iis-hsts.png)

（オプション）デフォルトのポート番号を変更する

デフォルトでは、Web StudioとDirectorはセキュアなHTTPSアクセスにポート443を使用します。このポート番号を変更するには、Default Web Siteで目的のポートのサイトバインディングを作成するために、以下の手順に従ってください。

手順：

1. Web Studioをホストしているサーバーで、インターネット インフォメーション サービス (IIS) マネージャーを開きます。

2. 接続ペインで、サーバーノードを展開し、サイトの下にある既定のWebサイトを選択します。

3. 右側のアクションペインで、バインディングをクリックします。

   新しいポートを設定(/ja-jp/citrix-virtual-apps-desktops/2503/media/web-studio-new-port.png)

4. サイトバインディングウィンドウで、追加をクリックします。

5. 「サイトバインディングの追加」ウィンドウで、新しいバインディングに対して以下を設定します。

   1. 種類: httpsを選択します。
   2. IPアドレス: 適切なIPアドレスを選択するか、該当する場合は「未割り当てのすべて」のままにします。
   3. ポート: 目的のポート番号（例: 444）を入力します。
   4. SSL証明書: セキュアな通信のために適切なSSL証明書を選択します。

   注:

   Delivery Controller™とWeb Studioが別々のマシンにインストールされており、サーバーに他のサービスやWebサイトが展開されていない場合は、ポート443を削除できます。それ以外の場合は、オーケストレーションサービスや他のFMAサービスとの通信問題を避けるために、このポートを維持してください。

6. OKをクリックしてバインディングを保存し、サイトバインディングウィンドウを閉じます。

7. IISマネージャーで、サーバーノードをクリックし、操作ペインで再起動をクリックして新しいバインディングを適用します。

（オプション）HTTPSリダイレクトを無効にする

Web Studioをインストールすると、デフォルトで、すべてのHTTPアクセスはHTTPSに自動的にリダイレクトされます。HTTPアクセスを許可するために、このリダイレクトを無効にすることができます。このアプローチは、HTTPアクセスをブロックするための他の対策を講じている場合にのみ推奨されます。Web Studioの前にTLS終端ロードバランサーがある場合でも、ロードバランサーとWeb Studioの間でHTTPSを使用することをお勧めします。

1. Web Studioサーバーにログオンします。
2. インターネットインフォメーションサービス (IIS) マネージャーを開き、Server_name > サイト > 既定のWebサイト > URL書き換えに移動します。

3. 次のスクリーンショットに示すように、httpsへのリダイレクトの受信規則を無効にします。

   HTTPSリダイレクトを無効にする(/ja-jp/citrix-virtual-apps-desktops/2503/media/studio-disable-https-redirect.png)

IISでHSTSを有効にしている場合は、「Redirect Http to Https」もクリアする必要があります。