VDA で TLS / DTLS を有効にする
Citrix Workspace™ アプリとバーチャル デリバリー エージェント (VDAs) 間のTLS接続を有効にするには、次のタスクを完了します。
- VDA に証明書をインストールします。詳細については、「証明書を要求してインストールする」を参照してください。
- VDA がインストールされているマシンでTLSを構成します。(便宜上、VDAがインストールされているマシンは、以降「VDA」と呼びます)。TLS/DTLSの構成には、Citrixが提供するPowerShellスクリプトを使用することを強くお勧めします。詳細については、「PowerShellスクリプトを使用してVDAでTLSを構成する」を参照してください。ただし、TLS/DTLSを手動で構成する場合は、「VDAでTLSを手動で構成する」を参照してください。
- Studioで一連のPowerShellコマンドレットを実行して、VDAを含むデリバリーグループでTLSを構成します。詳細については、「デリバリーグループでTLSを構成する」を参照してください。
要件と考慮事項:
- コンポーネントのインストール、サイトの作成、マシンカタログの作成、およびデリバリーグループの作成を行った後で、デリバリーグループとVDAでTLSを構成します。
- デリバリーグループでTLSを構成するには、Controllerアクセスルールを変更する権限が必要です。この権限は、フル管理者によって付与されます。
- VDAでTLSを構成するには、VDAがインストールされているマシンでWindows管理者である必要があります。
- Machine Creation Services™またはProvisioning ServicesによってプロビジョニングされたプールされたVDAでは、再起動時にVDAマシンイメージがリセットされ、以前のTLS設定が失われます。VDAが再起動されるたびにPowerShellスクリプトを実行して、TLS設定を再構成してください。
デリバリーグループには、TLSが構成されているVDAとTLSが構成されていないVDAが混在することはできません。デリバリーグループのTLSを構成する前に、そのデリバリーグループ内のすべてのVDAに対してTLSがすでに構成されていることを確認してください。
VDAでTLSを構成すると、インストールされているTLS証明書の権限が変更され、ICA® Serviceに証明書の秘密キーへの読み取りアクセス権が付与され、ICA Serviceに次の情報が通知されます。
-
TLSに使用する証明書ストア内の証明書。
-
TLS接続に使用するTCPポート番号。
Windowsファイアウォール(有効な場合)は、このTCPポートでの受信接続を許可するように構成する必要があります。この構成は、PowerShellスクリプトを使用すると自動的に行われます。
-
許可するTLSプロトコルのバージョン。
重要:
CitrixではTLS 1.2以降の使用を推奨しています。SSLおよびそれ以前のバージョンのTLSは非推奨です。
サポートされているTLSプロトコルバージョンには階層があります(低い方から高い方へ):SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3。許可される最小バージョンを指定してください。そのバージョンまたはそれ以降のバージョンを使用するすべてのプロトコル接続が許可されます。
たとえば、最小バージョンとしてTLS 1.1を指定した場合、TLS 1.1、TLS 1.2、TLS 1.3のプロトコル接続が許可されます。最小バージョンとしてSSL 3.0を指定した場合、サポートされているすべてのバージョンの接続が許可されます。最小バージョンとしてTLS 1.3を指定した場合、TLS 1.3接続のみが許可されます。
-
許可するTLS暗号スイート。
暗号スイートは、接続に使用される暗号化を選択します。クライアントとVDAは、異なる暗号スイートのセットをサポートできます。クライアント(Citrix Workspaceアプリ)が接続し、サポートされているTLS暗号スイートのリストを送信すると、VDAはクライアントの暗号スイートの1つを、VDA自身の構成済み暗号スイートのリストにある暗号スイートの1つと照合し、接続を受け入れます。一致する暗号スイートがない場合、VDAは接続を拒否します。
VDAは、3つの暗号スイートセット(コンプライアンスモードとも呼ばれます)をサポートしています:GOV(政府)、COM(商用)、およびALL。許容される暗号スイートは、Windows FIPSモードにも依存します。Windows FIPSモードの詳細については、http://support.microsoft.com/kb/811833を参照してください。次の表に、各セットの暗号スイートを示します。
暗号スイート すべて COM GOV すべて COM GOV フィップス モード オフ オフ オフ オン オン オン TLS_AES_256_GCM_SHA384 X X X X TLS_AES_128_GCM_SHA256 X X X TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 X X X X TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 X X X X TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA X X X X 注:
The VDA does not support DHE ciphersuites (for example, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, and TLS_DHE_RSA_WITH_AES_128_CBC_SHA.) If selected by Windows, the connection will fail.
NetScaler Gatewayを使用している場合は、バックエンド通信の暗号スイートサポートに関する情報についてNetScalerのドキュメントを参照してください。TLS暗号スイートのサポートについては、Citrix ADCアプライアンスで利用可能な暗号を参照してください。DTLS暗号スイートのサポートについては、DTLS暗号のサポートを参照してください。
証明書のリクエストとインストール
TLSを使用するには、代替名にVDAのFQDNが含まれる証明書をインストールする必要があります。この証明書は、VDAに直接接続するクライアント(Citrix Gateway経由ではない)によって信頼されている必要があります。証明書を簡単に展開できない管理対象外のデバイスがVDAに接続できるようにするには、NetScaler® Gatewayの展開を検討してください。
Microsoft証明機関を使用した証明書の作成
クライアントとVDAが信頼されたフォレストにあり、Microsoft証明機関がある場合、証明書MMCスナップインの証明書登録ウィザードから証明書を取得できます。
- VDAで、MMCコンソールを開き、証明書スナップインを追加します。プロンプトが表示されたら、[コンピューターアカウント]を選択します。
- 個人 > 証明書を展開し、コンテキストメニューコマンドのすべてのタスク > 新しい証明書を要求を使用します。
- 開始するには次へをクリックし、Active Directory登録から証明書を取得することを確認するために次へをクリックします。
-
サーバー認証証明書のテンプレートを選択します。デフォルトのWindowsのコンピューターまたはWebサーバーのエクスポート可能のいずれも使用できます。テンプレートが件名の値を自動的に提供するように設定されている場合は、詳細を指定せずに登録をクリックできます。
-
証明書テンプレートのさらに詳細な情報を提供するには、詳細をクリックして、以下を構成します。
サブジェクト名 — 種類として共通名を選択し、VDAのFQDNを追加します
代替名 — 種類をDNSに選択し、VDAのFQDNを追加します
証明書のプロパティ(/ja-jp/citrix-virtual-apps-desktops/2503/media/tls-certificate-properties.png)
注:
Active Directory証明書サービス証明書の自動登録を使用して、VDAへの証明書の発行と展開を自動化します。これについては、証明書の自動登録を有効にするで説明されています。
ワイルドカード証明書を使用すると、単一の証明書で複数のVDAを保護できます。
サブジェクト名 — 種類を共通名に選択し、VDAの*.primary.domainを入力します
代替名 — 種類をDNSに選択し、VDAの*.primary.domainを追加します
証明書要求ワイルドカードダイアログ(/ja-jp/citrix-virtual-apps-desktops/2503/media/tls-request-certificates-wildcard.png)
SAN証明書を使用すると、単一の証明書で複数の特定のVDAを保護できます。
サブジェクト名 — 種類を共通名に選択し、証明書の使用状況を識別するのに役立つ文字列を入力します
代替名 — 種類をDNSに選択し、各VDAのFQDNのエントリを追加します。最適なTLSネゴシエーションを確保するために、代替名の数を最小限に抑えてください。
証明書要求ダイアログ(/ja-jp/citrix-virtual-apps-desktops/2503/media/tls-request-certificates-san.png)
注:
ワイルドカード証明書とSAN証明書の両方で、秘密キーのタブで秘密キーをエクスポート可能にするを選択する必要があります。
証明書要求ダイアログ(/ja-jp/citrix-virtual-apps-desktops/2503/media/tls-certificate-properties-private-key.png)
PowerShellスクリプトを使用してVDAでTLSを構成する
証明書ストアのローカルコンピューター > 個人 > 証明書領域にTLS証明書をインストールします。その場所に複数の証明書がある場合は、PowerShellスクリプトに証明書のサムプリントを指定します。
注:
XenAppおよびXenDesktop 7.15 LTSR以降、PowerShellスクリプトはVDAのFQDNに基づいて正しい証明書を検索します。VDA FQDNに対して単一の証明書のみが存在する場合、サムプリントを指定する必要はありません。
Enable-VdaSSL.ps1スクリプトは、VDAでTLSリスナーを有効または無効にします。このスクリプトは、インストールメディアの Support > Tools > SslSupport フォルダーにあります。
TLSを有効にすると、DHE暗号スイートは無効になります。ECDHE暗号スイートは影響を受けません。
TLSを有効にすると、スクリプトは指定されたTCPポートの既存のWindowsファイアウォール規則をすべて無効にします。その後、ICAサービスがTLS TCPおよびUDPポートでのみ受信接続を受け入れることを許可する新しい規則を追加します。また、以下のWindowsファイアウォール規則も無効にします。
- シトリックス ICA (デフォルト: 1494)
- シトリックス CGP (デフォルト: 2598)
- シトリックス ウェブソケット (デフォルト: 8008)
その結果、ユーザーはTLSまたはDTLSを使用してのみ接続できます。TLSまたはDTLSなしでは、ICA/HDX、セッション信頼性を使用したICA/HDX、またはWebSocket経由のHDXを使用できません。
注:
DTLSは、UDPリアルタイムトランスポート経由のICA/HDXオーディオ、またはICA/HDX Framehawkではサポートされていません。
ネットワークポートを参照してください。
スクリプトには、以下の構文の説明と追加の例が含まれています。この情報はNotepad++などのツールを使用して確認できます。
重要:
EnableまたはDisableパラメーター、およびCertificateThumbPrintパラメーターのいずれかを指定します。その他のパラメーターはオプションです。
構文
Enable-VdaSSL {-Enable | -Disable} -CertificateThumbPrint "<thumbprint>" [-SSLPort <port>] [-SSLMinVersion "<min-ssl-version>"] [-SSLCipherSuite"\<suite>"]
| パラメーター | 説明 |
|---|---|
| 有効化 | VDAにTLSリスナーをインストールして有効にします。このパラメーターまたはDisableパラメーターのいずれかが必要です。 |
| 無効化 | VDA上のTLSリスナーを無効にします。このパラメーターまたはEnableパラメーターのいずれかが必要です。このパラメーターを指定した場合、他のパラメーターは無効になります。 |
| 証明書のサムプリント “ |
証明書ストア内のTLS証明書のサムプリント。引用符で囲みます。スクリプトは指定されたサムプリントを使用して、使用する証明書を選択します。このパラメーターが省略された場合、誤った証明書が選択されます。 |
| SSLPort |
TLSポート。デフォルト: 443 |
| エスエスエル最小バージョン “ |
引用符で囲まれた最小TLSプロトコルバージョン。有効な値: SSL_3.0、TLS_1.0 (デフォルト)、TLS_1.1、TLS_1.2、および TLS_1.3。TLS_1.3 には、Windows 11またはWindows Server 2022以降が必要です。 |
| エスエスエル暗号スイート “ |
引用符で囲まれたTLS暗号スイート。有効な値: 「GOV」、「COM」、および「ALL」(デフォルト)。 |
使用例
次のスクリプトは、TLSプロトコルバージョン値をインストールして有効にします。サムプリント(この例では「12345678987654321」として表される)は、使用する証明書を選択するために使用されます。
Enable-VdaSSL -Enable -CertificateThumbPrint "12345678987654321"
次のスクリプトは、TLSリスナーをインストールして有効にし、TLSポート400、GOV暗号スイート、および最小TLS 1.2プロトコル値を指定します。サムプリント(この例では「12345678987654321」として表される)は、使用する証明書を選択するために使用されます。
Enable-VdaSSL -Enable
-CertificateThumbPrint "12345678987654321"
-SSLPort 400 -SSLMinVersion "TLS_1.2"
-SSLCipherSuite "All"
次のスクリプトは、VDA上のTLSリスナーを無効にします。
Enable-VdaSSL -Disable
VDAでTLSを手動で構成する
VDAでTLSを手動で構成する場合、各VDA上の適切なサービスに対して、TLS証明書の秘密キーへの一般的な読み取りアクセス権を付与します。WindowsシングルセッションOS用VDAの場合はNT SERVICE\PorticaService、WindowsマルチセッションOS用VDAの場合はNT SERVICE\TermService。VDAがインストールされているマシンで:
ステップ1。Microsoft管理コンソール(MMC)を起動します: スタート > ファイル名を指定して実行 > mmc.exe。
ステップ2。MMCに証明書スナップインを追加します:
- ファイル > スナップインの追加と削除 を選択します。
- 証明書を選択し、追加をクリックします。
- 「このスナップインは常に次の証明書を管理します:」というプロンプトが表示されたら、「コンピューターアカウント」を選択し、次へをクリックします。
- 「このスナップインで管理するコンピューターを選択してください」というプロンプトが表示されたら、「ローカルコンピューター」を選択し、完了をクリックします。
ステップ 3. 「証明書 (ローカルコンピューター)」>「個人」>「証明書」で、証明書を右クリックし、「すべてのタスク」>「秘密キーの管理」を選択します。
ステップ 4. アクセス制御リストエディターに「(FriendlyName) の秘密キーのアクセス許可」と表示されます。ここで (FriendlyName) は TLS 証明書の名前です。次のいずれかのサービスを追加し、読み取りアクセス権を付与します。
- WindowsシングルセッションOS用のVDAの場合、サービス名は「PORTICASERVICE」です。
- WindowsマルチセッションOS用のVDAの場合、サービス名は「TERMSERVICE」です。
ステップ 5. インストールされているTLS証明書をダブルクリックします。証明書のダイアログボックスで、「詳細」タブを選択し、一番下までスクロールします。「拇印」をクリックします。
STEP 6. Run regedit and go to HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- SSL Thumbprint キーを編集し、TLS証明書の拇印の値をこのバイナリ値にコピーします。「バイナリ値の編集」ダイアログボックスの不明な項目(「0000」や特殊文字など)は無視しても問題ありません。
- SSLEnabled キーを編集し、DWORD値を1に変更します。(後でSSLを無効にするには、DWORD値を0に変更します。)
-
デフォルト設定を変更する場合(オプション)は、同じレジストリパスで以下を使用します。
SSLPort DWORD – SSLポート番号。既定値は443です。
SSLMinVersion DWORD – 1 = SSL 3.0, 2 = TLS 1.0, 3 = TLS 1.1, 4 = TLS 1.2, 5 = TLS 1.3. Default: 2 (TLS 1.0).
SSLCipherSuite DWORD – 1 = GOV, 2 = COM, 3 = ALL. Default: 3 (ALL).
ステップ 7. TLS TCPおよびUDPポートがデフォルトの443でない場合、Windowsファイアウォールで開いていることを確認してください。(Windowsファイアウォールで受信規則を作成する際は、そのプロパティで「接続を許可する」と「有効」が選択されていることを確認してください。)
ステップ 8. 他のアプリケーションやサービス(IISなど)がTLS TCPポートを使用していないことを確認してください。
ステップ 9. マルチセッションVDAの場合、変更を有効にするにはマシンを再起動します。(シングルセッションVDAマシンを再起動する必要はありません。)
ステップ10. 接続の問題を回避するために、VDAでサポートされている暗号スイートが最も高い優先順位を持つように、Windowsの暗号スイート設定を変更します。
重要:
以下に概説するグループポリシーの変更は、システムが再起動された後にのみ有効になります。
MCSまたはPVSでプロビジョニングされた非永続セッションホストを使用している場合は、これらの設定をマスターイメージに適用する必要があります。
オプション1:
グループポリシーエディターを使用して、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL構成設定] > [SSL暗号スイートの順序] に移動します。以下の暗号スイートがリストの最上位にあることを確認してください。
TLS_AES_256_GCM_SHA384_P384
TLS_AES_256_GCM_SHA384_P256
TLS_AES_128_GCM_SHA256_P384
TLS_AES_128_GCM_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
<!--NeedCopy-->
注:
TLS_AES_256_GCM_SHA384 および TLS_AES_128_GCM_SHA256 は、Windows 11 および Windows Server 2022 以降にのみ適用されます。古いオペレーティングシステムを使用している場合は、これらの暗号スイートをリストに含めないでください。
リストされている暗号スイートは、楕円曲線P384またはP256も指定しており、「curve25519」が選択されないようにします。FIPSモードは「curve25519」の使用を妨げません。
リストから暗号スイートを削除する必要はありません。これらの設定はシステム全体に適用されるため、暗号スイートを削除する場合は、セッションホストで実行されているアプリケーションやサービスによってそれらが必要とされないことを確認する必要があります。
オプション2:
グループポリシーエディターを使用して、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL構成設定] > [SSL暗号スイートの順序] に移動します。以下の暗号スイートがリストの最上位にあることを確認してください。
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
<!--NeedCopy-->
注:
TLS_AES_256_GCM_SHA384 および TLS_AES_128_GCM_SHA256 は、Windows 11 および Windows Server 2022 以降にのみ適用されます。古いオペレーティングシステムを使用している場合は、これらの暗号スイートをリストに含めないでください。
リストから暗号スイートを削除する必要はありません。これらの設定はシステム全体に適用されるため、暗号スイートを削除する場合は、セッションホストで実行されているアプリケーションやサービスによってそれらが必要とされないことを確認する必要があります。
グループポリシーエディターを使用して、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL構成設定] > [ECC曲線順序] に移動します。設定を有効にし、以下の曲線をリストに含めます。
NistP384
NistP256
<!--NeedCopy-->
注:
これにより、「curve25519」が選択されないようにします。FIPSモードは「curve25519」の使用を妨げません。
VDAは、グループポリシーリストと、選択されたコンプライアンスモード(COM、GOV、またはALL)のリストの両方に表示される場合にのみ、暗号スイートを選択します。暗号スイートは、クライアント(Citrix Workspaceアプリ)から送信されるリストにも表示されている必要があります。
デリバリーグループでのTLSの構成
TLS接続用に構成したVDAを含む各デリバリーグループに対して、この手順を完了してください。
- StudioからPowerShellコンソールを開きます。
- Run Get-BrokerAccessPolicyRule -DesktopGroupName ‘<delivery-group-name>’ | Set-BrokerAccessPolicyRule -HdxSslEnabled $true.
- Run Set-BrokerSite -DnsResolutionEnabled $true.
自動登録を使用したプールされたVDAのSSLの有効化
プールされたVDAを使用する場合、マスターイメージに証明書を追加すると、すべてのVDAが同じイメージを共有します。ワイルドカード証明書を使用することもできますが、欠点は、いずれかのVDAが侵害された場合、この強力な証明書により、すべてのVDAに属するHDX™接続が危険にさらされる可能性があることです。
代わりに、より安全な方法は、Microsoft Active Directory証明書サービスを活用して、グループポリシーを使用して証明書を自動的にプロビジョニングすることです。VDA上のスタートアップスクリプトを使用して、新しい証明書を動的にプロビジョニングし、VDAへのSSLを有効にすることができます。
このアプローチは、シングルセッションのデスクトップVDAにのみ機能することに注意してください。マルチセッションVDAの場合、ICAリスナーは起動プロセス中に早すぎる段階で起動され、証明書が自動的にプロビジョニングされる前になります。
Active Directory証明書サービスは内部のエンタープライズ証明機関を使用するため、すべてのWindowsインストールによって自動的に信頼されるわけではありません。クライアントが企業によって管理され、ドメインフォレストの一部である場合、信頼されたCA証明書はグループポリシーを使用して自動的に配布できます。BYODやその他のドメインに参加していないデバイスの場合、信頼されたCA証明書を別のメカニズム(ダウンロードリンクの提供など)でユーザーに配布するか、NetScaler Gatewayを使用する必要があります。
証明書の自動登録を有効にする
まず、VDAドメインフォレスト内のサーバーにActive Directory証明書サービスロールがインストールされており、エンタープライズCAが提供されていることを確認してください。そうでない場合、自動登録は不可能です。
VDAは起動ごとに証明書要求を送信するため、これによりエンタープライズCAに通常よりもかなり高い負荷がかかる可能性があることに注意してください。負荷に対応できるよう、CAサーバーに十分なCPUとメモリを割り当て、常に本番環境に移行する前にラボ環境で展開のスケーラビリティをテストしてください。
グループポリシー管理エディターで、SSLが有効なプールされたVDAを含む組織単位に適用される新しいポリシーを次のように作成します。
- コンピューターの構成 -> ポリシー -> Windows の設定 -> セキュリティの設定 -> 公開キーのポリシー を展開します。
- 「証明書サービス クライアント – 自動登録ポリシー」オブジェクトのプロパティを編集します。
- 下のスクリーンショットに示すように構成します。
- 自動証明書要求コンテナーを右クリックし、新規 -> 自動証明書要求… を選択します。
- 自動証明書要求セットアップウィザードで、「次へ」をクリックします。
- コンピューター証明書テンプレートが選択されていることを確認し、「次へ」をクリックします。
- 「完了」をクリックします。
登録ポリシーのスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2503/media/ssltask-autoenrollment-policy.png)
Windowsマスターイメージの準備
Support\Tools\SslSupportフォルダーにある製品インストールメディアからEnable-VdaSsl.ps1スクリプトをVDAマスターイメージにコピーします。マスターイメージには、HDX SSL接続に使用する証明書を含めないでください。証明書は、MCSまたはPVSマシンカタログが作成されるときにプロビジョニングされます。次に、次のように新しいスケジュールされたタスクを作成します(このタスクは今すぐ実行しないでください)。
-
タスクスケジューラを開きます。
-
操作ペインで、タスクの作成… を押します。
-
「全般」タブで:
-
「名前」を入力します。例:
Enable VDA SSL -
「ユーザーまたはグループの変更…」をクリックし、「ユーザーまたはグループの選択」ダイアログボックスで
SYSTEMを入力して「OK」をクリックします。
-
-
「トリガー」タブを選択します。
-
「新規…」をクリックします。「新しいトリガー」ダイアログで:
-
「タスクの開始」を「イベント時」に設定します。
-
Set Log to Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational
-
Set Source to Microsoft-Windows-CertificateServicesClient-Lifecycle-System
-
「イベントID」を
1006に設定します。 -
「OK」をクリックしてトリガーを保存します。
-
-
「操作」タブを選択します。
-
「新規…」をクリックします。
-
「新しい操作」ダイアログで:
-
アクションを「プログラムの開始」に設定します
-
「プログラム/スクリプト」フィールドに、
powershell.exeと入力します -
「引数の追加」フィールドに、PowerShellスクリプトへのパスを含めて
-ExecutionPolicy RemoteSigned Enable-VdaSsl.ps1 -Enable -Confirm:$Falseと入力します。 -
アクションを保存するには、OKを押します
「新規アクション」ウィンドウのスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2503/media/ssltask-action.png)
-
-
タスクを保存するには、OKを押します
トラブルシューティング
接続エラーが発生した場合は、VDAのシステムイベントログを確認してください。
Windows向けCitrix Workspaceアプリを使用しているときに、TLSエラーを示す接続エラーが表示された場合は、Desktop Viewerを無効にしてから、もう一度接続を試してください。接続が引き続き失敗する場合でも、基になるTLSの問題に関する説明が提供されることがあります。(たとえば、証明機関に証明書を要求したときに、誤ったテンプレートを指定したなど。)
HDX Adaptive Transportを使用するほとんどの構成は、Citrix Workspaceアプリ、Citrix Gateway、およびVDAの最新バージョンを使用するものを含め、DTLSで正常に動作します。Citrix WorkspaceアプリとCitrix Gatewayの間でDTLSを使用し、Citrix GatewayとVDAの間でDTLSを使用する一部の構成では、追加のアクションが必要です。
次の場合、追加のアクションが必要です。
- the Citrix Receiver version supports HDX Adaptive Transport and DTLS: Receiver for Windows (4.7, 4.8, 4.9), Receiver for Mac (12.5, 12.6, 12.7), Receiver for iOS (7.2, 7.3.x) or Receiver for Linux (13.7)
かつ、以下のいずれかが当てはまる場合:
-
Citrix GatewayのバージョンがVDAへのDTLSをサポートしているが、VDAのバージョンがDTLSをサポートしていない場合(バージョン7.15以前)、
-
VDAのバージョンがDTLSをサポートしているが(バージョン7.16以降)、Citrix GatewayのバージョンがVDAへのDTLSをサポートしていない場合。
Citrix Receiver™からの接続が失敗するのを避けるには、次のいずれかを実行します。
- Citrix Receiver を、Windows 版 Receiver のバージョン 4.10 以降のもの、Mac 版 Receiver のバージョン 12.8 以降のもの、または iOS 版 Receiver のバージョン 7.5 以降のものにアップデートしてください。または、
- Citrix Gatewayを、VDAへのDTLSをサポートするバージョンに更新する。
- VDAをバージョン7.16以降に更新する。
- VDAでDTLSを無効にする。
- HDX Adaptive Transport を無効に設定するようにしてください。
注:
Receiver for Linuxの適切なアップデートはまだ利用できません。Receiver for Android(バージョン3.12.3)は、Citrix Gateway経由のHDX Adaptive TransportおよびDTLSをサポートしていないため、影響を受けません。
VDAでDTLSを無効にするには、VDAファイアウォール構成を変更してUDPポート443を無効にします。(/ja-jp/tech-zone/build/tech-papers/citrix-communication-ports.html#citrix-virtual-apps-and-desktops)を参照してください。
TLSとHTML5ビデオリダイレクト、およびブラウザーコンテンツリダイレクト
HTML5ビデオリダイレクトとブラウザーコンテンツリダイレクトを使用して、HTTPS Webサイトをリダイレクトできます。これらのWebサイトに挿入されるJavaScriptは、VDAで実行されているCitrix HDX HTML5 Video Redirection ServiceへのTLS接続を確立する必要があります。これを実現するために、HTML5 Video Redirection ServiceはVDAの証明書ストアに2つのカスタム証明書を生成します。サービスを停止すると、証明書は削除されます。
HTML5ビデオリダイレクトポリシーは、デフォルトで無効になっています。
ブラウザーコンテンツリダイレクトは、デフォルトで有効になっています。
HTML5ビデオリダイレクトの詳細については、(/ja-jp/citrix-virtual-apps-desktops/2503/policies/reference/ica-policy-settings/multimedia-policy-settings.html#html5-video-redirection)を参照してください。