VDAでTLS/DTLSを有効にする
以下のタスクを完了して、Citrix Workspace™ アプリとバーチャル デリバリー エージェント (VDA) 間のTLS接続を有効にします。
- VDAに証明書をインストールします。詳細については、「証明書を要求してインストールする」を参照してください。
- VDAがインストールされているマシンでTLSを構成します。(便宜上、VDAがインストールされているマシンは、以降「VDA」と呼びます。) TLS/DTLSの構成には、Citrixが提供するPowerShellスクリプトを使用することを強くお勧めします。詳細については、「PowerShellスクリプトを使用してVDAでTLSを構成する」を参照してください。ただし、TLS/DTLSを手動で構成する場合は、「VDAでTLSを手動で構成する」を参照してください。
- Studioで一連のPowerShellコマンドレットを実行して、VDAを含むデリバリーグループでTLSを構成します。詳細については、「デリバリーグループでTLSを構成する」を参照してください。
要件と考慮事項:
- コンポーネントのインストール、サイトの作成、マシンカタログの作成、およびデリバリーグループの作成後に、デリバリーグループとVDAでTLSを構成します。
- デリバリーグループでTLSを構成するには、コントローラーアクセスルールを変更する権限が必要です。この権限は、フル管理者によって付与されます。
- VDAでTLSを構成するには、VDAがインストールされているマシンでWindows管理者である必要があります。
- Machine Creation Services™またはProvisioning ServicesによってプロビジョニングされたプールされたVDAでは、再起動時にVDAマシンイメージがリセットされ、以前のTLS設定が失われます。VDAが再起動されるたびにPowerShellスクリプトを実行して、TLS設定を再構成してください。
デリバリーグループには、TLSが構成されているVDAとTLSが構成されていないVDAが混在することはできません。デリバリーグループのTLSを構成する前に、そのデリバリーグループ内のすべてのVDAに対してTLSがすでに構成されていることを確認してください。
VDAでTLSを構成すると、インストールされているTLS証明書の権限が変更され、ICA®サービスに証明書の秘密キーへの読み取りアクセス権が付与され、ICAサービスに次の情報が通知されます。
-
TLSに使用する証明書ストア内の証明書。
-
TLS接続に使用するTCPポート番号。
Windowsファイアウォール (有効な場合) は、このTCPポートでの受信接続を許可するように構成する必要があります。この構成は、PowerShellスクリプトを使用すると自動的に行われます。
-
許可するTLSプロトコルのバージョン。
重要:
Citrixでは、TLS 1.2以降を使用することをお勧めします。SSLおよびそれ以前のバージョンのTLSは非推奨です。
サポートされているTLSプロトコルバージョンは、階層(最低から最高)に従います: SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2、およびTLS 1.3。許可される最小バージョンを指定します。そのバージョンまたはそれ以降のバージョンを使用するすべてのプロトコル接続が許可されます。
たとえば、TLS 1.1を最小バージョンとして指定した場合、TLS 1.1、TLS 1.2、およびTLS 1.3プロトコル接続が許可されます。SSL 3.0を最小バージョンとして指定した場合、サポートされているすべてのバージョンの接続が許可されます。TLS 1.3を最小バージョンとして指定した場合、TLS 1.3接続のみが許可されます。
-
許可するTLS暗号スイート。
暗号スイートは、接続に使用される暗号化を選択します。クライアントとVDAは、異なる暗号スイートのセットをサポートできます。クライアント(Citrix Workspaceアプリ)が接続し、サポートされているTLS暗号スイートのリストを送信すると、VDAはクライアントの暗号スイートの1つを、自身の構成済み暗号スイートのリストにある暗号スイートの1つと照合し、接続を受け入れます。一致する暗号スイートがない場合、VDAは接続を拒否します。
VDAは、3つの暗号スイートセット(コンプライアンスモードとも呼ばれます)をサポートしています: GOV(政府)、COM(商用)、およびALL。許容される暗号スイートは、Windows FIPSモードにも依存します。Windows FIPSモードの詳細については、http://support.microsoft.com/kb/811833を参照してください。次の表に、各セットの暗号スイートを示します。
暗号スイート ALL COM GOV ALL COM GOV FIPS Mode オフ オフ オフ オン オン オン TLS_AES_256_GCM_SHA384 X X X X TLS_AES_128_GCM_SHA256 X X X TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 X X X X TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 X X X X TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA X X X X 注:
The VDA does not support DHE ciphersuites (for example, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, and TLS_DHE_RSA_WITH_AES_128_CBC_SHA.) If selected by Windows, the connection will fail.
NetScaler Gateway を使用している場合は、バックエンド通信の暗号スイートサポートに関する情報について、NetScaler のドキュメントを参照してください。TLS 暗号スイートのサポートについては、「Citrix ADC アプライアンスで利用可能な暗号」を参照してください。DTLS 暗号スイートのサポートについては、「DTLS 暗号のサポート」を参照してください。
証明書のリクエストとインストール
TLS を使用するには、代替名に VDA の FQDN が含まれる証明書をインストールする必要があります。証明書は、VDA に直接接続するクライアント (Citrix Gateway 経由ではない) によって信頼されている必要があります。証明書を簡単に展開できない管理対象外のデバイスが VDA に接続できるようにするには、NetScaler® Gateway の展開を検討してください。
Microsoft 証明機関を使用して証明書を作成する
クライアントと VDA が信頼されたフォレストにあり、Microsoft 証明機関がある場合、証明書 MMC スナップインの証明書登録ウィザードから証明書を取得できます。
- VDA で、MMC コンソールを開き、証明書スナップインを追加します。プロンプトが表示されたら、コンピューターアカウントを選択します。
- 個人 > 証明書 を展開し、コンテキストメニューコマンド すべてのタスク > 新しい証明書を要求 を使用します。
- 開始するには 次へ をクリックし、Active Directory 登録から証明書を取得することを確認するために 次へ をクリックします。
-
サーバー認証証明書のテンプレートを選択します。デフォルトの Windows コンピューター または Web サーバー (エクスポート可能) の両方が許容されます。テンプレートがサブジェクトの値を自動的に提供するように設定されている場合は、詳細を提供せずに 登録 をクリックできます。
-
証明書テンプレートのさらに詳細な情報を提供するには、詳細 をクリックして、以下を構成します。
サブジェクト名 — 種類として 共通名 を選択し、VDA の FQDN を追加します。
代替名 — 種類をDNSに選択し、VDAのFQDNを追加します
証明書のプロパティ(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/tls-certificate-properties.png)
注:
Active Directory証明書サービス証明書自動登録を使用して、VDAへの証明書の発行と展開を自動化します。これは、証明書の自動登録を有効にするで説明されています。
ワイルドカード証明書を使用すると、1つの証明書で複数のVDAを保護できます。
サブジェクト名 — 種類を共通名に選択し、VDAの*.primary.domainを入力します
代替名 — 種類をDNSに選択し、VDAの*.primary.domainを追加します
証明書ワイルドカード要求ダイアログ(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/tls-request-certificates-wildcard.png)
SAN証明書を使用すると、1つの証明書で複数の特定のVDAを保護できます。
サブジェクト名 — 種類を共通名に選択し、証明書の使用状況を識別するのに役立つ文字列を入力します
代替名 — 種類をDNSに選択し、各VDAのFQDNのエントリを追加します。最適なTLSネゴシエーションを確保するために、代替名の数を最小限に抑えてください。
証明書要求ダイアログ(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/tls-request-certificates-san.png)
注:
ワイルドカード証明書とSAN証明書の両方で、秘密キーのタブで秘密キーをエクスポート可能にするを選択する必要があります。
証明書要求ダイアログ(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/tls-certificate-properties-private-key.png)
PowerShellスクリプトを使用してVDAでTLSを構成する
TLS証明書を証明書ストアの「ローカルコンピューター」>「個人」>「証明書」領域にインストールします。その場所に複数の証明書がある場合は、証明書のサムプリントをPowerShellスクリプトに指定します。
注:
XenAppおよびXenDesktop 7.15 LTSR以降、PowerShellスクリプトはVDAのFQDNに基づいて正しい証明書を検索します。VDAのFQDNに対して単一の証明書のみが存在する場合、サムプリントを指定する必要はありません。
Enable-VdaSSL.ps1スクリプトは、VDA上のTLSリスナーを有効または無効にします。このスクリプトは、インストールメディアの Support > Tools > SslSupport フォルダーにあります。
TLSを有効にすると、DHE暗号スイートは無効になります。ECDHE暗号スイートは影響を受けません。
TLSを有効にすると、スクリプトは指定されたTCPポートの既存のWindowsファイアウォール規則をすべて無効にします。その後、ICAサービスがTLS TCPおよびUDPポートでのみ着信接続を受け入れることを許可する新しい規則を追加します。また、以下のWindowsファイアウォール規則も無効にします。
- Citrix ICA (default: 1494)
- シトリックス CGP(デフォルト:2598)
- シトリックス WebSocket(デフォルト:8008)
その結果、ユーザーはTLSまたはDTLSを使用してのみ接続できます。TLSまたはDTLSなしでは、ICA/HDX、セッションの信頼性を備えたICA/HDX、またはWebSocket経由のHDXを使用できません。
注:
DTLSは、UDPリアルタイムトランスポート経由のICA/HDXオーディオ、またはICA/HDX Framehawkではサポートされていません。
「ネットワークポート」(/ja-jp/tech-zone/build/tech-papers/citrix-communication-ports.html#citrix-virtual-apps-and-desktops)を参照してください。
このスクリプトには、以下の構文の説明と追加の例が含まれています。この情報はNotepad++などのツールを使用して確認できます。
重要:
EnableまたはDisableパラメーター、およびCertificateThumbPrintパラメーターのいずれかを指定します。その他のパラメーターはオプションです。
構文
Enable-VdaSSL {-Enable | -Disable} -CertificateThumbPrint "<thumbprint>" [-SSLPort <port>] [-SSLMinVersion "<min-ssl-version>"] [-SSLCipherSuite"\<suite>"]
| パラメーター | 説明 |
|---|---|
| 有効化 | VDAにTLSリスナーをインストールして有効にします。このパラメーターまたはDisableパラメーターのいずれかが必要です。 |
| 無効化 | VDA上のTLSリスナーを無効にします。このパラメーターまたはEnableパラメーターのいずれかが必要です。このパラメーターを指定した場合、他のパラメーターは無効です。 |
| サーティフィケートサムプリント “ |
証明書ストア内のTLS証明書のサムプリント。引用符で囲みます。スクリプトは、指定されたサムプリントを使用して、使用する証明書を選択します。このパラメーターを省略すると、誤った証明書が選択されます。 |
| エスエスエルポート |
TLSポート。デフォルト: 443 |
| SSL最小バージョン “<バージョン>"バージョン> | 引用符で囲まれた最小TLSプロトコルバージョン。有効な値: SSL_3.0、TLS_1.0 (デフォルト)、TLS_1.1、TLS_1.2、およびTLS_1.3。TLS_1.3にはWindows 11またはWindows Server 2022以降が必要です。 |
| SSL暗号スイート “<スイート>"スイート> | 引用符で囲まれたTLS暗号スイート。有効な値: “GOV”、”COM”、および”ALL” (デフォルト)。 |
使用例
次のスクリプトは、TLSプロトコルバージョン値をインストールして有効にします。サムプリント(この例では「12345678987654321」として表されます)は、使用する証明書を選択するために使用されます。
Enable-VdaSSL -Enable -CertificateThumbPrint "12345678987654321"
次のスクリプトは、TLSリスナーをインストールして有効にし、TLSポート400、GOV暗号スイート、および最小TLS 1.2プロトコル値を指定します。サムプリント(この例では「12345678987654321」として表されます)は、使用する証明書を選択するために使用されます。
Enable-VdaSSL -Enable
-CertificateThumbPrint "12345678987654321"
-SSLPort 400 -SSLMinVersion "TLS_1.2"
-SSLCipherSuite "All"
次のスクリプトは、VDA上のTLSリスナーを無効にします。
Enable-VdaSSL -Disable
VDAでTLSを手動で構成する
VDAでTLSを手動で構成する場合、各VDA上の適切なサービスに対して、TLS証明書の秘密キーへの一般的な読み取りアクセス権を付与します。WindowsシングルセッションOS用VDAの場合はNT SERVICE\PorticaService、WindowsマルチセッションOS用VDAの場合はNT SERVICE\TermService。VDAがインストールされているマシンで:
手順1。Microsoft管理コンソール (MMC) を起動します: [スタート] > [ファイル名を指定して実行] > mmc.exe。
手順2。MMCに証明書スナップインを追加します:
- ファイル > スナップインの追加と削除 を選択します。
- 証明書を選択し、追加をクリックします。
- 「このスナップインは常に次の証明書を管理します:」と表示されたら、「コンピューターアカウント」を選択し、次へをクリックします。
- 「このスナップインで管理するコンピューターを選択してください」と表示されたら、「ローカルコンピューター」を選択し、完了をクリックします。
ステップ3. 「証明書 (ローカルコンピューター) > 個人 > 証明書」で、証明書を右クリックし、「すべてのタスク > プライベートキーの管理」を選択します。
ステップ4. アクセス制御リストエディターに「(FriendlyName) プライベートキーのアクセス許可」と表示されます。(FriendlyName) はTLS証明書の名前です。次のいずれかのサービスを追加し、読み取りアクセス権を付与します。
- ウィンドウズシングルセッションOS用VDAの場合、「PORTICASERVICE」
- ウィンドウズマルチセッションOS用VDAの場合、「TERMSERVICE」
ステップ5. インストールされているTLS証明書をダブルクリックします。証明書ダイアログで、「詳細」タブを選択し、一番下までスクロールします。「拇印」をクリックします。
STEP 6. Run regedit and go to HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.
- SSL Thumbprintキーを編集し、TLS証明書の拇印の値をこのバイナリ値にコピーします。バイナリ値の編集ダイアログボックスの不明な項目(「0000」や特殊文字など)は無視しても問題ありません。
- SSLEnabledキーを編集し、DWORD値を1に変更します。(後でSSLを無効にするには、DWORD値を0に変更します。)
-
デフォルト設定を変更する場合(オプション)は、同じレジストリパスで以下を使用します。
SSLPort DWORD – SSLポート番号。デフォルト値は443です。
SSLMinVersion DWORD – 各値は以下のバージョンに対応します: 1 = SSL 3.0, 2 = TLS 1.0, 3 = TLS 1.1, 4 = TLS 1.2, 5 = TLS 1.3。デフォルト値は 2 (TLS 1.0) です。
SSLCipherSuite DWORD – 1 は政府機関向け、2 は商用向け、3 はすべて。既定値は 3 (すべて) です。
ステップ7. TLS TCPおよびUDPポートがデフォルトの443でない場合、Windowsファイアウォールで開いていることを確認します。(Windowsファイアウォールで受信規則を作成する際は、そのプロパティで「接続を許可する」と「有効」が選択されていることを確認してください。)
ステップ8. 他のアプリケーションやサービス(IISなど)がTLS TCPポートを使用していないことを確認します。
ステップ9. マルチセッションVDAの場合、変更を有効にするためにマシンを再起動します。(シングルセッションVDAマシンを再起動する必要はありません。)
ステップ 10. Windowsの暗号スイートの優先順位を変更し、VDAでサポートされている暗号スイートが最も高い優先順位を持つようにして、接続の問題を回避します。
重要:
以下に概説するグループポリシーの変更は、システムを再起動した後にのみ有効になります。
MCSまたはPVSでプロビジョニングされた非永続的なセッションホストを使用している場合は、これらの設定をマスターイメージに適用する必要があります。
オプション 1:
グループポリシーエディターを使用して、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL構成設定] > [SSL暗号スイートの順序] に移動します。次の暗号スイートがリストの最上位にあることを確認してください。
TLS_AES_256_GCM_SHA384_P384
TLS_AES_256_GCM_SHA384_P256
TLS_AES_128_GCM_SHA256_P384
TLS_AES_128_GCM_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
<!--NeedCopy-->
注:
TLS_AES_256_GCM_SHA384およびTLS_AES_128_GCM_SHA256は、Windows 11およびWindows Server 2022以降にのみ適用されます。古いオペレーティングシステムを使用している場合は、これらの暗号スイートをリストに含めないでください。
リストされている暗号スイートは、楕円曲線P384またはP256も指定しており、「curve25519」が選択されないようにしています。FIPSモードは「curve25519」の使用を妨げません。
リストから暗号スイートを削除する必要はありません。これらの設定はシステム全体に適用されるため、暗号スイートを削除する場合は、セッションホストで実行されているアプリケーションやサービスによってそれらが必要とされないことを確認する必要があります。
オプション 2:
グループポリシーエディターを使用して、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL構成設定] > [SSL暗号スイートの順序] に移動します。次の暗号スイートがリストの最上位にあることを確認してください。
TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
<!--NeedCopy-->
注:
TLS_AES_256_GCM_SHA384およびTLS_AES_128_GCM_SHA256は、Windows 11およびWindows Server 2022以降にのみ適用されます。古いオペレーティングシステムを使用している場合は、これらの暗号スイートをリストに含めないでください。
リストから暗号スイートを削除する必要はありません。これらの設定はシステム全体に適用されるため、暗号スイートを削除する場合は、セッションホストで実行されているアプリケーションやサービスによってそれらが必要とされないことを確認する必要があります。
グループポリシーエディターを使用して、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL構成設定] > [ECC曲線順序] に移動します。この設定を有効にし、リストに次の曲線を指定します。
NistP384
NistP256
<!--NeedCopy-->
注:
これにより、「curve25519」が選択されないようにします。FIPSモードは「curve25519」の使用を妨げません。
VDAは、グループポリシーリストと、選択されたコンプライアンスモード(COM、GOV、またはALL)のリストの両方に表示される場合にのみ、暗号スイートを選択します。暗号スイートは、クライアント(Citrix Workspaceアプリ)から送信されたリストにも表示されている必要があります。
デリバリーグループでのTLSの構成
TLS接続用に構成したVDAを含む各デリバリーグループに対して、この手順を完了します。
- StudioからPowerShellコンソールを開きます。
- Run Get-BrokerAccessPolicyRule -DesktopGroupName ‘<delivery-group-name>’ | Set-BrokerAccessPolicyRule -HdxSslEnabled $true.
- Run Set-BrokerSite -DnsResolutionEnabled $true.
自動登録を使用したプールされたVDAのSSLの有効化
プールされたVDAを使用する場合、マスターイメージに証明書を追加すると、すべてのVDAが同じイメージを共有します。ワイルドカード証明書を使用できますが、欠点は、いずれかのVDAが侵害された場合、この強力な証明書により、すべてのVDAに属するHDX™接続が危険にさらされる可能性があることです。
代わりに、グループポリシーを使用してMicrosoft Active Directory証明書サービスを活用し、証明書を自動的にプロビジョニングする安全な方法があります。VDAでスタートアップスクリプトを使用して、新しい証明書を動的にプロビジョニングし、VDAでSSLを有効にすることができます。
このアプローチは、シングルセッションのデスクトップVDAでのみ機能することに注意してください。マルチセッションVDAの場合、ICAリスナーは起動プロセス中に、証明書が自動的にプロビジョニングされる前に早すぎる段階で起動されます。
Active Directory証明書サービスは内部のエンタープライズ証明機関を使用するため、すべてのWindowsインストールで自動的に信頼されるわけではありません。クライアントが企業によって管理され、ドメインフォレストの一部である場合、信頼されたCA証明書はグループポリシーを使用して自動的に配布できます。BYODやその他のドメインに参加していないデバイスの場合、信頼されたCA証明書を別のメカニズム(ダウンロードリンクの提供など)でユーザーに配布するか、NetScaler Gatewayを使用する必要があります。
証明書の自動登録を有効にする
まず、VDAドメインフォレスト内のサーバーにActive Directory証明書サービス役割がインストールされており、エンタープライズCAを提供していることを確認してください。そうでない場合、自動登録は不可能です。
VDAは起動するたびに証明書要求を送信するため、これによりエンタープライズCAに通常よりもかなり高い負荷がかかる可能性があることに注意してください。CAサーバーには、その負荷に対応できる十分なCPUとメモリを割り当て、本番環境に移行する前に、ラボ環境で展開のスケーラビリティをテストしてください。
グループポリシー管理エディターで、SSLが有効になっているプールされたVDAを含む組織単位に適用される新しいポリシーを次のように作成します。
- コンピューターの構成 -> ポリシー -> Windows の設定 -> セキュリティの設定 -> 公開キーのポリシー を展開します
- 「証明書サービス クライアント – 自動登録ポリシー」オブジェクトのプロパティを編集します
- 以下のスクリーンショットに示すように構成します。
- 自動証明書要求コンテナーを右クリックし、「新規 -> 自動証明書要求…」を選択します
- 自動証明書要求セットアップウィザードで、「次へ」をクリックします
- Computer 証明書テンプレートが選択されていることを確認し、「次へ」をクリックします。
- 「完了」をクリックします。
Windowsマスターイメージの準備
製品インストールメディアの Support\Tools\SslSupport フォルダーから Enable-VdaSsl.ps1 スクリプトをVDAマスターイメージにコピーします。マスターイメージには、HDX SSL接続に使用される証明書が含まれていないことに注意してください。証明書は、MCSまたはPVSマシンカタログが作成されるときにプロビジョニングされます。次に、次のように新しいスケジュールされたタスクを作成します(この時点ではスケジュールされたタスクを実行しないでください)。
-
タスクスケジューラを開きます。
-
アクション ペインで、タスクの作成… を押します
-
「全般」タブで:
-
Enable VDA SSLのような名前を入力します -
ユーザーまたはグループの変更… をクリックし、[ユーザーまたはグループの選択] ダイアログボックスで
SYSTEMを入力して OK をクリックします
タスク作成の [操作] タブのスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/ssltask-general.png)
-
-
[トリガー] タブを選択します
-
新規… をクリックします。[新しいトリガー] ダイアログで:
-
タスクの開始をイベント時に設定します
-
Set Log to Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational
-
Set Source to Microsoft-Windows-CertificateServicesClient-Lifecycle-System
-
イベントIDを
1006に設定します -
OK をクリックしてトリガーを保存します
[新しいトリガー] ウィンドウのスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/ssltask-trigger.png)
-
-
操作タブを選択します
-
新規… をクリックします
-
[新しい操作] ダイアログで:
-
「操作」を「プログラムの開始」に設定します。
-
「プログラム/スクリプト」フィールドに、
powershell.exeと入力します。 -
「引数の追加」フィールドに、PowerShellスクリプトへのパスを含めて
-ExecutionPolicy RemoteSigned Enable-VdaSsl.ps1 -Enable -Confirm:$Falseと入力します。 -
「OK」を押して操作を保存します。
新しい操作ウィンドウのスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2507-ltsr/media/ssltask-action.png)
-
-
「OK」を押してタスクを保存します。
トラブルシューティング
接続エラーが発生した場合は、VDAのシステムイベントログを確認してください。
Windows向けCitrix Workspaceアプリを使用しているときに、TLSエラーを示す接続エラーが発生した場合は、Desktop Viewerを無効にしてから、もう一度接続を試してください。接続が引き続き失敗する場合でも、基になるTLS問題の説明が提供されることがあります。(たとえば、証明機関から証明書を要求する際に誤ったテンプレートを指定したなど。)
HDX Adaptive Transportを使用するほとんどの構成は、Citrix Workspaceアプリ、Citrix Gateway、およびVDAの最新バージョンを使用するものを含め、DTLSで正常に動作します。Citrix WorkspaceアプリとCitrix Gatewayの間、およびCitrix GatewayとVDAの間でDTLSを使用する一部の構成では、追加の操作が必要です。
次の場合、追加の操作が必要です。
- シトリックス レシーバーのバージョンがHDXアダプティブトランスポートとDTLSをサポートしていること:Windows向けReceiver (4.7, 4.8, 4.9)、Mac向けReceiver (12.5, 12.6, 12.7)、iOS向けReceiver (7.2, 7.3.x) または Linux向けReceiver (13.7)
かつ、以下のいずれかが該当する場合:
-
Citrix GatewayのバージョンがVDAへのDTLSをサポートしているが、VDAのバージョンがDTLSをサポートしていない場合(バージョン7.15以前)、
-
VDAのバージョンがDTLSをサポートしているが(バージョン7.16以降)、Citrix GatewayのバージョンがVDAへのDTLSをサポートしていない場合。
Citrix Receiver™からの接続の失敗を避けるには、次のいずれかを実行します。
- シトリックス レシーバーを、Windows向けレシーバー バージョン4.10以降、Mac向けレシーバー 12.8以降、またはiOS向けレシーバー バージョン7.5以降に更新します。または、
- Citrix Gatewayを、VDAへのDTLSをサポートするバージョンに更新します。または、
- VDAをバージョン7.16以降に更新します。または、
- VDAでDTLSを無効にします。または、
- HDX アダプティブ トランスポートを無効にします。
注:
Receiver for Linuxの適切なアップデートはまだ利用できません。Receiver for Android(バージョン3.12.3)は、HDX Adaptive TransportおよびCitrix Gateway経由のDTLSをサポートしていないため、影響を受けません。
VDAでDTLSを無効にするには、VDAファイアウォール構成を変更してUDPポート443を無効にします。「ネットワークポート」を参照してください。
TLSとHTML5ビデオリダイレクト、およびブラウザコンテンツリダイレクト
HTML5ビデオリダイレクトとブラウザコンテンツリダイレクトを使用して、HTTPS Webサイトをリダイレクトできます。これらのWebサイトに挿入されるJavaScriptは、VDAで実行されているCitrix HDX HTML5ビデオリダイレクトサービスへのTLS接続を確立する必要があります。これを実現するために、HTML5ビデオリダイレクトサービスは、VDA上の証明書ストアに2つのカスタム証明書を生成します。サービスを停止すると、証明書は削除されます。
HTML5ビデオリダイレクトポリシーは、デフォルトで無効になっています。
ブラウザコンテンツリダイレクトは、デフォルトで有効になっています。
HTML5ビデオリダイレクトの詳細については、「マルチメディアポリシー設定」を参照してください。