ユニバーサルプリントサーバーでTLSを有効にする
トランスポート層セキュリティ (TLS) プロトコルは、Virtual Delivery Agent (VDA) とUniversal Print Server間のTCPベースの接続でサポートされています。
警告:
Windowsレジストリでの作業を含むタスクの場合、レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になるような深刻な問題を引き起こす可能性があります。Citrix®は、レジストリエディターの誤った使用によって生じる問題が解決されることを保証できません。レジストリエディターの使用は、お客様ご自身の責任において行ってください。編集する前に、必ずレジストリをバックアップしてください。
VDAとユニバーサルプリントサーバー間の印刷接続の種類
クリアテキスト接続
以下の印刷関連の接続はVDAから発信され、Universal Print Server上のポートに接続します。これらの接続は、SSL有効ポリシー設定が無効 (デフォルト) に設定されている場合にのみ行われます。
- クリアテキスト印刷Webサービス接続 (TCPポート 8080)
- クリアテキスト印刷データストリーム (CGP) 接続 (TCPポート 7229)
Microsoftサポート記事「Windowsのサービス概要とネットワークポート要件」では、Microsoft Windows Print Spoolerサービスが使用するポートについて説明しています。このドキュメントのSSL/TLS設定は、Windows Print Spoolerサービスによって行われるNetBIOSおよびRPC接続には適用されません。ユニバーサルプリントサーバーを有効にするポリシー設定がWindowsのネイティブリモート印刷へのフォールバックを有効にするに設定されている場合、VDAはWindowsネットワーク印刷プロバイダー (win32spl.dll) をフォールバックとして使用します。
暗号化された接続
これらの印刷関連のSSL/TLS接続はVDAから発信され、Universal Print Server上のポートに接続します。これらの接続は、SSL有効ポリシー設定が有効に設定されている場合にのみ行われます。
- 暗号化された印刷Webサービス接続 (TCPポート 8443)
- 暗号化された印刷データストリーム (CGP) 接続 (TCPポート 443)
ユニバーサルプリントサーバー セキュア 2(/ja-jp/citrix-virtual-apps-desktops/2503/media/universal-print-server-secure-2.png)
SSL/TLS クライアント構成
VDA は SSL/TLS クライアントとして機能します。
Microsoft Group Policy とレジストリを使用して、暗号化された印刷 Web サービス接続 (TCP ポート 8443) 用に Microsoft SCHANNEL SSP を構成します。Microsoft のサポート記事「TLS レジストリ設定」には、Microsoft SCHANNEL SSP のレジストリ設定が記載されています。
VDA のグループポリシーエディターで、[コンピューターの構成] > [管理用テンプレート] > [ネットワーク] > [SSL 構成設定] > [SSL 暗号スイートの順序] に移動します。TLS 1.3 が設定されている場合は、次の順序を選択します。
TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256
TLS 1.2 が設定されている場合は、次の順序を選択します。
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
注:
このグループポリシー設定が構成されている場合、VDA は、暗号化された印刷 Web サービス接続 (デフォルトポート: 8443) の暗号スイートを、接続が両方の SSL 暗号スイートリストに表示されている場合にのみ選択します。
- グループポリシー SSL 暗号スイート順序リスト
- 選択した SSL 暗号スイートポリシー設定 (COM、GOV、または ALL) に対応するリスト
このグループポリシー構成は、VDA 上の他の TLS アプリケーションおよびサービスにも影響します。アプリケーションが特定の暗号スイートを必要とする場合は、このグループポリシーの暗号スイート順序リストに追加する必要がある場合があります。
重要:
TLS 構成のグループポリシーの変更は、オペレーティングシステムの再起動後にのみ有効になります。
Citrixポリシーを使用して、暗号化された印刷データストリーム (CGP) 接続 (TCPポート443) のSSL/TLS設定を構成します。
SSL/TLSサーバーの構成
ユニバーサルプリントサーバーはSSL/TLSサーバーとして機能します。
Enable-UpsSsl.ps1 PowerShellスクリプトを使用してSSL/TLS設定を構成します。
ユニバーサルプリントサーバーにTLS証明書をインストールする
HTTPSの場合、VDAによって信頼されているSSLサーバー証明書をUniversal Print Serverにインストールする必要があります。Microsoft Active Directory証明書サービスまたは別の認証局を使用して、Universal Print Serverの証明書を要求します。
Microsoft Active Directory証明書サービスを使用して証明書を登録/要求する際は、以下の考慮事項に留意してください。
- 証明書をローカルコンピューターの個人証明書ストアに配置します。
- 証明書のサブジェクト識別名 (Subject DN) の共通名属性を、Universal Print Serverの完全修飾ドメイン名 (FQDN) に設定します。これは証明書テンプレートで指定します。
- 証明書要求と秘密キーの生成に使用される暗号化サービスプロバイダー (CSP) をMicrosoft Enhanced RSA and AES Cryptographic Provider (Encryption)に設定します。これは証明書テンプレートで指定します。
- キーサイズを2048ビット以上に設定します。これは証明書テンプレートで指定します。
証明書の作成とインストールについて詳しくは、「証明書の管理」を参照してください。
ユニバーサルプリントサーバーでのSSLの構成
Universal Print Server上のXTEサービスは、受信接続をリッスンします。SSLが有効な場合、SSLサーバーとして機能します。受信接続には2種類あります。印刷コマンドを含む印刷Webサービス接続と、印刷ジョブを含む印刷データストリーム接続です。これらの接続でSSLを有効にできます。SSLはこれらの接続の機密性と整合性を保護します。デフォルトでは、SSLは無効になっています。
SSLの構成に使用されるPowerShellスクリプトはインストールメディアにあり、ファイル名は次のとおりです: \Support\Tools\SslSupport\Enable-UpsSsl.ps1.
ユニバーサルプリントサーバーでの待機ポート番号の構成
これらは XTE サービスのデフォルトポートです。
- クリアテキスト印刷 Web サービス (HTTP) TCP ポート: 8080
- クリアテキスト印刷データストリーム (CGP) TCP ポート: 7229
- 暗号化された印刷 Web サービス (HTTPS) TCP ポート: 8443
- 暗号化された印刷データストリーム (CGP) TCP ポート: 443
Universal Print Server で XTE サービスが使用するポートを変更するには、管理者として PowerShell で次のコマンドを実行します (Enable-UpsSsl.ps1 PowerShell スクリプトの使用に関する注意点については、後のセクションを参照してください)。
Stop-Service CitrixXTEServer, UpSvc-
Enable-UpsSsl.ps1 -Enable -HTTPSPort <port> -CGPSSLPort <port>またはEnable-UpsSsl.ps1 -Disable -HTTPPort <port> -CGPPort <port> Start-Service CitrixXTEServer
ユニバーサルプリントサーバーでのTLS設定
負荷分散構成で複数の Universal Print Server を使用している場合は、すべての Universal Print Server で TLS 設定が一貫して構成されていることを確認してください。
Universal Print Server で TLS を構成すると、インストールされている TLS 証明書のアクセス許可が変更され、Universal Printing Service に証明書の秘密キーへの読み取りアクセス権が付与され、Universal Printing Service に次の情報が通知されます。
- TLS に使用する証明書ストア内の証明書。
- TLS 接続に使用する TCP ポート番号。
Windows ファイアウォール (有効な場合) は、これらの TCP ポートでの受信接続を許可するように構成する必要があります。この構成は、Enable-UpsSsl.ps1 PowerShell スクリプトを使用すると自動的に行われます。
- 許可する TLS プロトコルのバージョン。
Universal Print Server は TLS プロトコルバージョン 1.3 および 1.2 をサポートしています。許可される最小バージョンを指定してください。
デフォルトの TLS プロトコルバージョンは 1.2 です。
注:
Citrix Virtual Apps and Desktops バージョン 2311 以降、TLS 1.1 および 1.0 はサポートされなくなりました。
- 許可する TLS 暗号スイート。
暗号スイートは、接続に使用される暗号化アルゴリズムを選択します。VDA と Universal Print Server は、異なる暗号スイートのセットをサポートできます。VDA が接続し、サポートされている TLS 暗号スイートのリストを送信すると、Universal Print Server はクライアントの暗号スイートのいずれかを、自身の構成済み暗号スイートのリストにある暗号スイートのいずれかと照合し、接続を受け入れます。一致する暗号スイートがない場合、Universal Print Server は接続を拒否します。
Universal Print Server は、OPEN、FIPS、および SP800-52 ネイティブ Crypto Kit モードに対して、GOV(ernment)、COM(mercial)、および ALL と名付けられた以下の暗号スイートのセットをサポートしています。許容される暗号スイートは、SSL FIPS Mode ポリシー設定と Windows FIPS モードにも依存します。Windows FIPS モードの詳細については、この Microsoft サポート記事 を参照してください。
| 暗号スイート (優先順位降順) | すべて開く | COMを開く | GOVを開く | FIPS すべて | フィップス コム | FIPS 政府向け | SP800-52 全般 | SP800-52 商用 | SP800-52 政府 |
|---|---|---|---|---|---|---|---|---|---|
| TLS_ECDHE_RSA_ AES256_GCM_SHA384 | X | X | X | X | X | X | |||
| TLS_ECDHE_RSA_ AES256_CBC_SHA384 | X | X | X | X | X | X | |||
| TLS_ECDHE_RSA_ AES256_CBC_SHA | X | X | X | X | X | X |
PowerShellスクリプトを使用してユニバーサルプリントサーバーでTLSを構成する
証明書ストアのローカルコンピューター > 個人 > 証明書領域にTLS証明書をインストールします。その場所に複数の証明書がある場合は、Enable-UpsSsl.ps1 PowerShellスクリプトに証明書のサムプリントを指定します。
注:
PowerShellスクリプトは、Universal Print ServerのFQDNに基づいて正しい証明書を検索します。Universal Print ServerのFQDNに対して証明書が1つしかない場合は、証明書のサムプリントを指定する必要はありません。
Enable-UpsSsl.ps1 スクリプトは、VDAからUniversal Print ServerへのTLS接続を有効または無効にします。このスクリプトは、インストールメディアのSupport > Tools > SslSupportフォルダーにあります。
TLSを有効にすると、スクリプトはUniversal Print ServerのTCPポートに対する既存のWindowsファイアウォールルールをすべて無効にします。その後、XTEサービスがTLS TCPおよびUDPポートでのみ受信接続を受け入れることを許可する新しいルールを追加します。また、以下のWindowsファイアウォールルールも無効にします。
- クリアテキスト印刷Webサービス接続 (デフォルト: 8080)
- クリアテキスト印刷データストリーム (CGP) 接続 (デフォルト: 7229)
その結果、VDAはTLSを使用している場合にのみこれらの接続を行うことができます。
注:
TLSを有効にしても、VDAからユニバーサルプリントサーバーへのWindowsプリントスプーラーRPC/SMB接続には影響しません。
重要:
最初のパラメーターとしてEnableまたはDisableのいずれかを指定します。ローカルコンピューターの個人証明書ストアにUniversal Print ServerのFQDNを持つ証明書が1つしかない場合、CertificateThumbprintパラメーターはオプションです。その他のパラメーターはオプションです。
構文
Enable-UpsSSL.ps1 -Enable [-HTTPPort <port>] [-CGPPort <port>] [–HTTPSPort <port>] [-CGPSSLPort <port>] [-SSLMinVersion <version>] [-SSLCipherSuite <name>] [-CertificateThumbprint <thumbprint>] [-FIPSMode <Boolean>] [-ComplianceMode <mode>]
Enable-UpsSSL.ps1 -Disable [-HTTPPort <portnum>] [-CGPPort <portnum>]
| パラメーター | 説明文 |
|---|---|
| 有効にする | XTEサーバーでSSL/TLSを有効にします。このパラメーターまたはDisableパラメーターのいずれかが必要です。 |
| 無効にする | XTEサーバーでSSL/TLSを無効にします。このパラメーターまたはEnableパラメーターのいずれかが必要です。 |
証明書サムプリント "<thumbprint>"
|
ローカルコンピューターの個人証明書ストアにあるTLS証明書のサムプリント。引用符で囲みます。スクリプトは、指定されたサムプリントを使用して、使用する証明書を選択します。 |
HTTPポートアドレス <port>
|
クリアテキスト印刷Webサービス (HTTP/SOAP) ポート。デフォルト: 8080 |
シージーピーポート <port>
|
クリアテキスト印刷データストリーム (CGP) ポート。デフォルト: 7229 |
エイチティーティーピーエスポート <port>
|
暗号化された印刷Webサービス (HTTPS/SOAP) ポート。デフォルト: 8443 |
シージーピーエスエスエルポート <port>
|
暗号化された印刷データストリーム (CGP) ポート。デフォルト: 443 |
SSL最小バージョン "<version>"
|
引用符で囲まれた最小TLSプロトコルバージョン。有効な値: 「TLS_1.2」および「TLS_1.3」。デフォルト: TLS_1.2。 |
SSL暗号スイート "<name>"
|
引用符で囲まれたTLS暗号スイートパッケージの名前。有効な値: 「GOV」、「COM」、および「ALL」(デフォルト)。 |
フィップスモード <Boolean>
|
XTEサーバーでFIPS 140モードを有効または無効にします。有効な値: FIPS 140モードを有効にする場合は$true、FIPS 140モードを無効にする場合は$false。 |
使用例
次のスクリプトはTLSを有効にします。サムプリント(この例では「12345678987654321」と表記)は、使用する証明書を選択するために使用されます。
Enable-UpsSsl.ps1 –Enable -CertificateThumbprint "12345678987654321"
次のスクリプトはTLSを無効にします。
Enable-UpsSsl.ps1 –Disable
FIPSモードの構成
米国連邦情報処理標準(FIPS)モードを有効にすると、Universal Print Serverの暗号化された接続にFIPS 140準拠の暗号化のみが使用されるようになります。
クライアントでFIPSモードを構成する前に、サーバーでFIPSモードを構成してください。
Windows FIPSモードの有効化/無効化については、Microsoftのドキュメントサイトを参照してください。
クライアントでのFIPSモードの有効化
デリバリーコントローラー™上でWebスタジオを実行し、UPS FIPS Mode Citrixポリシー設定をEnabledに設定します。Citrixポリシーを有効にします。
各VDAで以下を実行します。
- Windows FIPSモードを有効にします。
- VDAを再起動します。
サーバーでFIPSモードを有効にする
各ユニバーサルプリントサーバーで、次の操作を実行します。
- Windows FIPSモードを有効にします。
- 管理者としてこのPowerShellコマンドを実行します:
stop-service CitrixXTEServer, UpSvc -
-Enable -FIPSMode $trueパラメーターを指定してEnable-UpsSsl.ps1スクリプトを実行します。 - ユニバーサルプリントサーバーを再起動します。
クライアントでFIPSモードを無効にする
Web Studioで、UPS FIPSモードのCitrixポリシー設定を無効に設定します。Citrixポリシーを有効にします。UPS FIPSモードのCitrixポリシー設定を削除することもできます。
各VDAでこれを実行します。
- Windows FIPSモードを無効にします。
- VDAを再起動します。
サーバーでFIPSモードを無効にする
各ユニバーサルプリントサーバーでこれを実行します。
- Windows FIPSモードを無効にします。
- 管理者としてこのPowerShellコマンドを実行します:
stop-service CitrixXTEServer, UpSvc -
Enable-UpsSsl.ps1スクリプトを-Enable -FIPSMode $falseパラメーターを指定して実行します。 - ユニバーサルプリントサーバーを再起動します。
注:
SSLプロトコルバージョンがTLS 1.3に設定されている場合、FIPSモードはサポートされません。
SSL/TLSプロトコルバージョンの構成
デフォルトのSSL/TLSプロトコルバージョンはTLS 1.2です。TLS 1.2とTLS 1.3は、運用環境での使用が推奨されるSSL/TLSプロトコルバージョンです。トラブルシューティングのために、非運用環境でSSL/TLSプロトコルバージョンを一時的に変更する必要がある場合があります。
SSL 2.0およびSSL 3.0は、ユニバーサルプリントサーバーではサポートされていません。
サーバーでのSSL/TLSプロトコルバージョンの設定
各ユニバーサルプリントサーバーで、次の操作を行います。
- 管理者としてこのPowerShellコマンドを実行します:
stop-service CitrixXTEServer, UpSvc -
Enable-UpsSsl.ps1スクリプトを-Enable -SSLMinVersionバージョンパラメーターを指定して実行します。テストが完了したら、これをTLS 1.2またはTLS 1.3に戻すことを忘れないでください。 - ユニバーサルプリントサーバーを再起動します。
クライアントでのSSL/TLSプロトコルバージョンの設定
Studioで、SSL Protocol Versionポリシー設定を目的のプロトコルバージョンに設定し、ポリシーを有効にします。
VDAのオペレーティングシステムが選択したTLSバージョンをサポートしていることを確認してください。WindowsでサポートされているTLSバージョンについては、Microsoft Learn - TLS protocol version supportを参照してください。デフォルトを上書きするようにレジストリを構成するには、Microsoft Learn - TLS, DTLS, and SSL protocol version settingsを参照してください。
トラブルシューティング
接続エラーが発生した場合は、ユニバーサルプリントサーバー上の C:\Program Files (x86)\Citrix\XTE\logs\error.log ファイルを確認してください。
SSL/TLSハンドシェイクが失敗した場合、このログファイルにエラーメッセージ「SSL handshake from client failed」が表示されます。このような失敗は、VDAとUniversal Print ServerのSSL/TLSプロトコルバージョンが一致しない場合に発生する可能性があります。
ユニバーサルプリントサーバーのホスト名を含む以下のポリシー設定で、ユニバーサルプリントサーバーのFQDNを使用してください。
- セッションプリンター
- プリンターの割り当て
- 負荷分散のためのユニバーサルプリントサーバー
Universal Print ServerとVDAでシステムクロック(日付、時刻、タイムゾーン)が正しいことを確認してください。