ユニバーサルプリントサーバーでTLSを有効にする
トランスポート層セキュリティ (TLS) プロトコルは、Virtual Delivery Agent (VDA) とユニバーサルプリントサーバー間のTCPベースの接続でサポートされています。
警告:
Windowsレジストリでの作業を含むタスクの場合、レジストリを誤って編集すると、オペレーティングシステムの再インストールが必要になる可能性のある深刻な問題が発生する可能性があります。Citrix®は、レジストリエディターの誤った使用によって生じる問題が解決されることを保証できません。レジストリエディターはご自身の責任において使用してください。編集する前に必ずレジストリをバックアップしてください。
VDAとユニバーサルプリントサーバー間の印刷接続の種類
クリアテキスト接続
以下の印刷関連の接続は、VDAから発信され、ユニバーサルプリントサーバー上のポートに接続します。これらの接続は、SSL enabled ポリシー設定が Disabled (デフォルト) に設定されている場合にのみ行われます。
- クリアテキスト印刷Webサービス接続 (TCPポート 8080)
- クリアテキスト印刷データストリーム (CGP) 接続 (TCPポート 7229)
Microsoft サポート記事 Windows のサービス概要とネットワークポート要件 は、Microsoft Windows Print Spooler サービスで使用されるポートについて説明しています。このドキュメントのSSL/TLS設定は、Windows Print Spoolerサービスによって行われるNetBIOSおよびRPC接続には適用されません。VDAは、Universal Print Server の有効化 ポリシー設定が Windows のネイティブなリモート印刷へのフォールバックを有効にする に設定されている場合、Windows Network Print Provider (win32spl.dll) をフォールバックとして使用します。
暗号化された接続
これらの印刷関連のSSL/TLS接続は、VDAから発信され、ユニバーサルプリントサーバー上のポートに接続します。これらの接続は、SSL enabled ポリシー設定が Enabled に設定されている場合にのみ行われます。
- 暗号化された印刷Webサービス接続 (TCPポート 8443)
- 暗号化された印刷データストリーム (CGP) 接続 (TCPポート 443)
SSL/TLSクライアント構成
VDAはSSL/TLSクライアントとして機能します。
暗号化された印刷Webサービス接続(TCPポート8443)のために、Microsoft Group Policyとレジストリを使用してMicrosoft SCHANNEL SSPを構成します。Microsoftサポート記事TLSレジストリ設定には、Microsoft SCHANNEL SSPのレジストリ設定が記載されています。
VDAでグループポリシーエディターを使用して、[コンピューターの構成]>[管理用テンプレート]>[ネットワーク]>[SSL構成設定]>[SSL暗号スイートの順序]に移動します。TLS 1.3が設定されている場合は、次の順序を選択します。
TLS_AES_256_GCM_SHA384 TLS_AES_128_GCM_SHA256
TLS 1.2が設定されている場合は、次の順序を選択します。
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
注:
このグループポリシー設定が構成されている場合、VDAは、暗号化された印刷Webサービス接続(デフォルトポート:8443)の暗号スイートを、接続が両方のSSL暗号スイートリストに表示されている場合にのみ選択します。
- グループポリシーSSL暗号スイート順序リスト
- 選択されたSSL暗号スイートポリシー設定(COM、GOV、またはALL)に対応するリスト
このグループポリシー構成は、VDA上の他のTLSアプリケーションおよびサービスにも影響します。アプリケーションが特定の暗号スイートを必要とする場合は、このグループポリシー暗号スイート順序リストに追加する必要がある場合があります。
重要:
TLS構成のグループポリシーの変更は、オペレーティングシステムの再起動後にのみ有効になります。
Citrixポリシーを使用して、暗号化された印刷データストリーム(CGP)接続(TCPポート443)のSSL/TLS設定を構成します。
SSL/TLSサーバーの構成
ユニバーサルプリントサーバーはSSL/TLSサーバーとして機能します。
Enable-UpsSsl.ps1 PowerShellスクリプトを使用して、SSL/TLS設定を構成します。
ユニバーサルプリントサーバーにTLS証明書をインストールする
HTTPSの場合、VDAによって信頼されているSSLサーバー証明書をUniversal Print Serverにインストールする必要があります。Microsoft Active Directory証明書サービスまたは別の認証局を使用して、Universal Print Serverの証明書を要求します。
Microsoft Active Directory証明書サービスを使用して証明書を登録/要求する際は、以下の考慮事項に留意してください。
- 証明書をローカルコンピューターの個人証明書ストアに配置します。
- 証明書のサブジェクト識別名(Subject DN)の共通名属性を、Universal Print Serverの完全修飾ドメイン名(FQDN)に設定します。これは証明書テンプレートで指定します。
- 証明書要求と秘密鍵の生成に使用される暗号化サービスプロバイダー(CSP)をMicrosoft Enhanced RSA and AES Cryptographic Provider (Encryption)に設定します。これは証明書テンプレートで指定します。
- キーサイズを2048ビット以上に設定します。これは証明書テンプレートで指定します。
証明書の作成とインストールに関する詳細については、「証明書の管理」を参照してください。
ユニバーサルプリントサーバーでのSSLの構成
Universal Print Server上のXTEサービスは、受信接続をリッスンします。SSLが有効な場合、SSLサーバーとして機能します。受信接続には、印刷コマンドを含む印刷Webサービス接続と、印刷ジョブを含む印刷データストリーム接続の2種類があります。これらの接続でSSLを有効にできます。SSLはこれらの接続の機密性と整合性を保護します。デフォルトでは、SSLは無効になっています。
SSLの構成に使用されるPowerShellスクリプトはインストールメディアにあり、ファイル名は次のとおりです: \Support\Tools\SslSupport\Enable-UpsSsl.ps1.
Universal Print Serverでリスニングポート番号を構成する
これらはXTEサービス用のデフォルトポートです。
- クリアテキスト印刷Webサービス (HTTP) TCPポート: 8080
- クリアテキスト印刷データストリーム (CGP) TCPポート: 7229
- 暗号化された印刷Webサービス (HTTPS) TCPポート: 8443
- 暗号化された印刷データストリーム (CGP) TCPポート: 443
Universal Print ServerでXTEサービスが使用するポートを変更するには、管理者としてPowerShellで次のコマンドを実行します(Enable-UpsSsl.ps1 PowerShellスクリプトの使用に関する注意については、後のセクションを参照してください)。
Stop-Service CitrixXTEServer, UpSvc-
Enable-UpsSsl.ps1 -Enable -HTTPSPort <port> -CGPSSLPort <port>またはEnable-UpsSsl.ps1 -Disable -HTTPPort <port> -CGPPort <port> Start-Service CitrixXTEServer
ユニバーサル プリント サーバーでのTLS設定
負荷分散構成で複数のUniversal Print Serverを使用している場合は、すべてのUniversal Print ServerでTLS設定が一貫して構成されていることを確認してください。
Universal Print ServerでTLSを構成すると、インストールされているTLS証明書のアクセス許可が変更され、Universal Printing Serviceに証明書の秘密キーへの読み取りアクセス権が付与され、Universal Printing Serviceに次の情報が通知されます。
- TLSに使用する証明書ストア内の証明書。
- TLS接続に使用するTCPポート番号。
Windows ファイアウォール (有効な場合) は、これらの TCP ポートでの受信接続を許可するように構成する必要があります。この構成は、Enable-UpsSsl.ps1 PowerShell スクリプトを使用すると自動的に行われます。
- 許可する TLS プロトコルのバージョン。
Universal Print Server は、TLS プロトコルバージョン 1.3 および 1.2 をサポートしています。許可される最小バージョンを指定してください。
デフォルトの TLS プロトコルバージョンは 1.2 です。
注:
Citrix Virtual Apps and Desktops バージョン 2311 以降、TLS 1.1 および 1.0 はサポートされなくなりました。
- 許可する TLS 暗号スイート。
暗号スイートは、接続に使用される暗号化アルゴリズムを選択します。VDA と Universal Print Server は、異なる暗号スイートのセットをサポートできます。VDA が接続し、サポートされている TLS 暗号スイートのリストを送信すると、Universal Print Server はクライアントの暗号スイートのいずれかを、自身の構成済み暗号スイートのリストにある暗号スイートのいずれかと照合し、接続を受け入れます。一致する暗号スイートがない場合、Universal Print Server は接続を拒否します。
Universal Print Server は、OPEN、FIPS、および SP800-52 ネイティブ Crypto Kit モードに対して、GOV (政府)、COM (商用)、および ALL という名前の以下の暗号スイートセットをサポートしています。許容される暗号スイートは、SSL FIPS Mode ポリシー設定と Windows FIPS モードにも依存します。Windows FIPS モードの詳細については、このMicrosoft サポート記事を参照してください。
| 暗号スイート (優先順位降順) | すべて公開 | 商用公開 | 政府公開 | FIPS(すべて) | FIPS コマーシャル | FIPS ガバメント | SP800-52 全て | SP800-52 商用 | SP800-52 政府 |
|---|---|---|---|---|---|---|---|---|---|
| TLS_ECDHE_RSA_ AES256_GCM_SHA384 | X | X | X | X | X | X | |||
| TLS_ECDHE_RSA_ AES256_CBC_SHA384 | X | X | X | X | X | X | |||
| TLS_ECDHE_RSA_ AES256_CBC_SHA | X | X | X | X | X | X |
PowerShellスクリプトを使用してユニバーサルプリントサーバーでTLSを構成する
TLS証明書を証明書ストアのローカルコンピューター > 個人 > 証明書領域にインストールします。その場所に複数の証明書がある場合は、Enable-UpsSsl.ps1 PowerShellスクリプトに証明書のサムプリントを指定します。
注:
PowerShellスクリプトは、Universal Print ServerのFQDNに基づいて正しい証明書を見つけます。Universal Print ServerのFQDNに対して単一の証明書のみが存在する場合、証明書のサムプリントを指定する必要はありません。
Enable-UpsSsl.ps1 スクリプトは、VDAからUniversal Print ServerへのTLS接続を有効または無効にします。このスクリプトは、インストールメディアのSupport > Tools > SslSupportフォルダーにあります。
TLSを有効にすると、スクリプトはUniversal Print ServerのTCPポートに対する既存のWindowsファイアウォールルールをすべて無効にします。その後、XTEサービスがTLS TCPおよびUDPポートでのみ受信接続を受け入れることを許可する新しいルールを追加します。また、以下のWindowsファイアウォールルールも無効にします。
- クリアテキスト印刷Webサービス接続 (デフォルト: 8080)
- クリアテキスト印刷データストリーム (CGP) 接続 (デフォルト: 7229)
その結果、VDAはTLSを使用している場合にのみこれらの接続を行うことができます。
注:
TLSを有効にしても、VDAからユニバーサルプリントサーバーへのWindowsプリントスプーラーRPC/SMB接続には影響しません。
重要:
最初のパラメーターとしてEnableまたはDisableのいずれかを指定します。ローカルコンピューターの個人証明書ストアにUniversal Print ServerのFQDNを持つ証明書が1つしかない場合、CertificateThumbprintパラメーターはオプションです。その他のパラメーターはオプションです。
構文
Enable-UpsSSL.ps1 -Enable [-HTTPPort <port>] [-CGPPort <port>] [–HTTPSPort <port>] [-CGPSSLPort <port>] [-SSLMinVersion <version>] [-SSLCipherSuite <name>] [-CertificateThumbprint <thumbprint>] [-FIPSMode <Boolean>] [-ComplianceMode <mode>]
Enable-UpsSSL.ps1 -Disable [-HTTPPort <portnum>] [-CGPPort <portnum>]
| パラメーター | 説明文 |
|---|---|
| 有効にする | XTEサーバーでSSL/TLSを有効にします。このパラメーターまたはDisableパラメーターのいずれかが必要です。 |
| 無効にする | XTEサーバーでSSL/TLSを無効にします。このパラメーターまたはEnableパラメーターのいずれかが必要です。 |
証明書サムプリント "<thumbprint>"
|
ローカルコンピューターの個人証明書ストアにあるTLS証明書のサムプリント。引用符で囲みます。スクリプトは、指定されたサムプリントを使用して、使用する証明書を選択します。 |
エイチティーティーピーポート <port>
|
クリアテキスト印刷Webサービス (HTTP/SOAP) ポート。デフォルト: 8080 |
CGPポート番号 <port>
|
クリアテキスト印刷データストリーム (CGP) ポート。デフォルト: 7229 |
HTTPSポート番号 <port>
|
暗号化された印刷Webサービス (HTTPS/SOAP) ポート。デフォルト: 8443 |
シージーピーエスエスエルポート <port>
|
暗号化された印刷データストリーム (CGP) ポート。デフォルト: 443 |
SSL最小バージョン "<version>"
|
最小TLSプロトコルバージョン。引用符で囲みます。有効な値: 「TLS_1.2」および「TLS_1.3」。デフォルト: TLS_1.2。 |
SSL暗号スイート "<name>"
|
TLS暗号スイートパッケージの名前。引用符で囲みます。有効な値: 「GOV」、「COM」、および「ALL」(デフォルト)。 |
フィップスモード <Boolean>
|
XTEサーバーでFIPS 140モードを有効または無効にします。有効な値: FIPS 140モードを有効にする場合は$true、FIPS 140モードを無効にする場合は$false。 |
使用例
次のスクリプトはTLSを有効にします。サムプリント(この例では「12345678987654321」として表されています)は、使用する証明書を選択するために使用されます。
Enable-UpsSsl.ps1 –Enable -CertificateThumbprint "12345678987654321"
次のスクリプトはTLSを無効にします。
Enable-UpsSsl.ps1 –Disable
FIPSモードの構成
米国連邦情報処理標準(FIPS)モードを有効にすると、Universal Print Serverの暗号化された接続にはFIPS 140準拠の暗号化のみが使用されるようになります。
クライアントでFIPSモードを構成する前に、サーバーでFIPSモードを構成してください。
Windows FIPSモードの有効化/無効化については、Microsoftのドキュメントサイトを参照してください。
クライアントでのFIPSモードの有効化
Delivery Controller™上でWeb Studioを起動してください。そして、CitrixポリシーのUPS FIPS Modeという設定項目をEnabledに設定します。その後、Citrixポリシーを有効化してください。
各VDAで以下を実行します。
- Windows FIPSモードを有効にします。
- VDAを再起動します。
サーバーでFIPSモードを有効にする
各ユニバーサルプリントサーバーで、以下を実行します。
- Windows FIPSモードを有効にします。
- 管理者として次のPowerShellコマンドを実行します:
stop-service CitrixXTEServer, UpSvc -
-Enable -FIPSMode $trueパラメーターを指定して、Enable-UpsSsl.ps1スクリプトを実行します。 - ユニバーサルプリントサーバーを再起動します。
クライアントでFIPSモードを無効にする
Web Studioで、UPS FIPSモードのCitrixポリシー設定を無効に設定します。Citrixポリシーを有効にします。UPS FIPSモードのCitrixポリシー設定を削除することもできます。
各VDAで以下を実行します。
- Windows FIPSモードを無効にします。
- VDAを再起動します。
サーバーでFIPSモードを無効にする
各ユニバーサルプリントサーバーで以下を実行します。
- Windows FIPSモードを無効にします。
- 管理者として次のPowerShellコマンドを実行します:
stop-service CitrixXTEServer, UpSvc -
Enable-UpsSsl.ps1スクリプトを-Enable -FIPSMode $falseパラメーターで実行します。 - ユニバーサルプリントサーバーを再起動します。
注:
SSLプロトコルバージョンがTLS 1.3に設定されている場合、FIPSモードはサポートされません。
SSL/TLSプロトコルバージョンの構成
デフォルトのSSL/TLSプロトコルバージョンはTLS 1.2です。TLS 1.2とTLS 1.3は、本番環境での使用が推奨されるSSL/TLSプロトコルバージョンです。トラブルシューティングのために、非本番環境で一時的にSSL/TLSプロトコルバージョンを変更する必要がある場合があります。
SSL 2.0 および SSL 3.0 は、ユニバーサルプリントサーバーではサポートされていません。
サーバーでのSSL/TLSプロトコルバージョンの設定
各ユニバーサルプリントサーバーで、これを実行します。
- 管理者としてこのPowerShellコマンドを実行します:
stop-service CitrixXTEServer, UpSvc -
Enable-UpsSsl.ps1スクリプトを-Enable -SSLMinVersionバージョンパラメーターで実行します。テストが完了したら、これをTLS 1.2またはTLS 1.3に戻すことを忘れないでください。 - ユニバーサルプリントサーバーを再起動します。
クライアントでのSSL/TLSプロトコルバージョンの設定
Studioで、SSLプロトコルバージョンポリシー設定を目的のプロトコルバージョンに設定し、ポリシーを有効にします。
VDAのオペレーティングシステムが選択したTLSバージョンをサポートしていることを確認してください。WindowsでサポートされているTLSバージョンについては、Microsoft Learn - TLS protocol version supportを参照してください。デフォルトを上書きするようにレジストリを構成するには、Microsoft Learn - TLS, DTLS, and SSL protocol version settingsを参照してください。
トラブルシューティング
接続エラーが発生した場合は、ユニバーサルプリントサーバー上の C:\Program Files (x86)\Citrix\XTE\logs\error.log ファイルを確認してください。
SSL/TLS ハンドシェイクが失敗した場合、このログファイルにエラーメッセージ SSL handshake from client failed が表示されます。このような失敗は、VDA と Universal Print Server の SSL/TLS プロトコルバージョンが一致しない場合に発生する可能性があります。
ユニバーサルプリントサーバーのホスト名を含む以下のポリシー設定で、ユニバーサルプリントサーバーのFQDNを使用してください。
- セッションプリンター
- プリンターの割り当て
- 負荷分散のためのユニバーサルプリントサーバー
Universal Print Server と VDA のシステムクロック(日付、時刻、タイムゾーン)が正しいことを確認してください。