ウェブスタジオとディレクターでTLSを有効にする

Web StudioおよびDirectorへの接続を保護するために、HTTPSを有効にして常にTLSを使用することをお勧めします。この記事では、Web StudioおよびDirectorを信頼された証明書を使用するように構成し、HTTPS経由で安全なアクセスを確保する方法について説明します。

デフォルトの動作

Web Studioをインストールすると、インストーラーは自己署名証明書を作成し、現在のサーバーのポート443にバインドします。ローカルサーバー上のWebブラウザーからHTTPS経由でWeb StudioおよびDirectorにアクセスできます。

ただし、別のマシンからHTTPS経由でWeb StudioまたはDirectorにアクセスしようとすると、ブラウザーは証明書を信頼しないため、セキュリティエラーを表示します。

注：

Web StudioなしでDirectorをインストールした場合、インストーラーは自己署名証明書を作成しません。

HTTPS経由で安全なアクセスを有効にする

Web Studioサーバー以外のマシンからHTTPS経由でWeb StudioまたはDirectorへのアクセスを許可するには、次の手順に従います。

1. 信頼された証明書を作成またはインポートする。

2. IISで証明書をポート443にバインドする。

3. (オプション) HTTP ストリクト トランスポート セキュリティ (HSTS) を有効にする.

4. Web Studioがプロキシとして構成されていない場合（クライアントマシンがWeb StudioとDelivery Controllerの両方に接続する場合）、Delivery ControllerでTLSを有効にする。

注：

自己署名証明書の使用は、各マシンで手動構成が必要なため推奨されません。詳細については、自己署名証明書を使用するを参照してください。

信頼された証明書を作成またはインポートする

サーバーに接続するマシンによって信頼されている、エンタープライズまたはパブリック証明機関からの証明書を使用することをお勧めします。

詳細については、「新しい証明書の作成」および「既存の証明書のインポート」を参照してください。証明書の共通名またはサブジェクトの別名は、ユーザーがWeb StudioまたはDirectorに接続するために使用するFQDNと一致する必要があります。サーバーの前にロードバランサーが展開されている場合は、ロードバランサーのFQDNを使用します。

証明書をポート443にバインドする

信頼された証明書を作成またはインポートした後、IISでポート443にバインドします。これは、インストール前またはインストール後に行うことができます。ポート443に対して証明書のバインドがすでに構成されている場合、インストーラーは変更を行いません。

注：

デフォルトでは、Web StudioとDirectorはセキュアなHTTPSアクセスにポート443を使用します。必要に応じてポート番号を変更できます。詳細については、「デフォルトのポート番号の変更」を参照してください。

証明書をポート443にバインドするには、次の手順に従います。

1. 管理者としてサーバーにログオンします。

2. IISマネージャーを開き、サイト > 既定のWebサイト > バインドに移動します。

3. 種類がhttpsの既存のバインドがある場合は、それを選択して編集…をクリックします。httpsバインドがない場合は、追加をクリックします。

   サイトバインドの開き方を強調表示するスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/site-bindings.png)

4. サイトバインドを作成または編集します。

   1. 新しいバインドの場合は、種類をhttpsに、ポートを443に設定します。

   2. 適切なSSL証明書を選択します。

   3. Windows Server 2022以降では、ユーザーが最新のTLSバージョンのみを使用して接続できるように、オプションでレガシーTLSを無効にするを選択します。

   4. OKをクリックします。

   

または、PowerShellを使用して証明書を変更することもできます。たとえば、次のスクリプトは、指定された共通名を持つ証明書を検索し、それをすべてのIPアドレス、ポート443にバインドし、レガシーTLSバージョンを無効にします。

$certSName = 'CN=whpdevddc0.bvttree.local'  # The subject name of the certificate
$certificate = Get-ChildItem -Path Cert:\LocalMachine\My\ | ? {$_.Subject -eq $certSName}
netsh http add sslcert ipport=0.0.0.0:443 certhash=$($certificate.Thumbprint) certstorename=My appid="{91fe7386-e0c2-471b-a252-1e0a805febac}" disablelegacytls=enable
<!--NeedCopy-->

appidは、どのアプリケーションが証明書を追加したかを識別するために使用できる任意のGUIDであることに注意してください。

自己署名証明書を使用する

既存の自己署名証明書を使用できますが、サーバーにアクセスする各マシンを手動で構成する必要があるため、推奨されません。

Web Studioに接続する必要があるマシンに自己署名証明書をインストールするには：

1. Web StudioおよびDelivery Controllerサーバーから既存の自己署名証明書をエクスポートします。
2. サーバーにアクセスする必要があるマシンの信頼されたルート証明書ストアに証明書をインポートします。

HSTS を有効にする (オプション)

HTTP Strict Transport Security (HSTS)は、サイトにアクセスする際にHTTPSのみを使用するようWebブラウザに指示します。ユーザーがHTTPを使用してURLにアクセスしようとすると、ブラウザは自動的にHTTPSに切り替わります。この設定により、クライアント側とサーバー側の両方で安全な接続検証が保証されます。ブラウザは、構成された期間、この検証を維持します。

Windows Server 2019 以降のバージョンでは、IIS で HSTS を構成することが可能です。

1. インターネットインフォメーションサービス (IIS) マネージャーを開きます。
2. Default Web Site (または適切なWebサイト) を選択します。
3. 右側のアクションペインで、HSTS…を選択します。
4. 有効にするを選択し、最大有効期間（例: 1年間の場合31536000）を入力します。
5. HTTPをHTTPSにリダイレクトを選択します。

   注:

   Web Studioは、Studio Webサイトへのアクセス時にHTTPをHTTPSにリダイレクトするURL書き換えルールを自動的に構成します。ただし、このオプションはDirectorおよびIISサイト上の他のすべてのアプリケーションにも適用されます。

6. OKをクリックします。

   HSTS設定のスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/iis-hsts.png)

(オプション) デフォルトのポート番号を変更する

デフォルトでは、Web StudioとDirectorはセキュアなHTTPSアクセスにポート443を使用します。このポート番号を変更するには、Default Web Siteで目的のポートのサイトバインディングを作成するために、以下の手順に従ってください。

手順:

1. Web Studioをホストしているサーバーで、インターネット インフォメーション サービス (IIS) マネージャーを開きます。

2. 接続ペインで、サーバーノードを展開し、サイトの下にある既定のWebサイトを選択します。

3. 右側のアクションペインで、バインディングをクリックします。

   新しいポートを設定(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/web-studio-new-port.png)

4. サイトバインディングウィンドウで、追加をクリックします。

5. 「サイトバインディングの追加」ウィンドウで、新しいバインディングに対して以下を設定します。

   1. 種類: https を選択します。
   2. IPアドレス: 適切なIPアドレスを選択するか、該当する場合は「未割り当てのすべて」のままにします。
   3. ポート: 目的のポート番号を入力します（例: 444）。
   4. SSL証明書: セキュアな通信のために適切なSSL証明書を選択します。

   注:

   Delivery Controller™とWeb Studioが別々のマシンにインストールされており、サーバーに他のサービスやWebサイトが展開されていない場合は、ポート443を削除できます。それ以外の場合は、オーケストレーションサービスや他のFMAサービスとの通信問題を避けるために、このポートを維持してください。

6. OK をクリックしてバインディングを保存し、サイトバインディング ウィンドウを閉じます。

7. IISマネージャーで、サーバーノードをクリックし、操作ペインで再起動をクリックして新しいバインディングを適用します。

（オプション）HTTPSリダイレクトを無効にする

Web Studioをインストールすると、デフォルトで、すべてのHTTPアクセスはHTTPSに自動的にリダイレクトされます。このリダイレクトを無効にしてHTTPアクセスを許可することも可能です。この方法は、HTTPアクセスをブロックするための他の対策を講じている場合にのみ推奨されます。Web Studioの前にTLS終端ロードバランサーがある場合でも、ロードバランサーとWeb Studioの間でHTTPSを使用することが推奨されます。

1. Web Studioサーバーにログオンします。
2. インターネットインフォメーションサービス (IIS) マネージャーを開き、Server_name > サイト > 既定のWebサイト > URL書き換えに移動します。

3. 次のスクリーンショットに示すように、httpsへのリダイレクトの受信規則を無効にします。

   HTTPSリダイレクトを無効にする(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/studio-disable-https-redirect.png)

IISでHSTSを有効にしている場合は、HTTPからHTTPSへのリダイレクトもクリアする必要があります。