セキュリティキーの管理

重要:

• この機能は、StoreFront™ 1912 LTSR CU2以降と組み合わせて使用する必要があります。
• Secure XML機能は、Citrix ADCおよびCitrix Gatewayリリース12.1以降でのみサポートされています。

注:

バージョン2511以降、Citrix Web Studio（Webベース）はCitrix Virtual Apps and Desktops™の唯一の管理コンソールです。Citrix Studio（MMCベース）はインストーラーから削除されました。この記事はWeb Studioにのみ適用されます。Citrix Studioに関する情報については、Citrix Virtual Apps and Desktops 7 2212以前の同等の記事を参照してください。

この機能を使用すると、承認されたStoreFrontおよびCitrix GatewayマシンのみがDelivery Controllerと通信できるようになります。この機能を有効にすると、キーを含まないすべての要求はブロックされます。この機能を使用して、内部ネットワークからの攻撃から保護するための追加のセキュリティ層を追加します。

この機能を使用するための一般的なワークフローは次のとおりです。

1. Web Studioで機能設定を表示できるようにします。

2. サイトの設定を構成します。

3. StoreFrontの設定を構成します。

4. Citrix ADCの設定を構成します。

サイトの設定を構成する

Web StudioまたはPowerShellを使用して、サイトのセキュリティキー設定を構成できます。

ウェブスタジオを使用する

1. Web Studio にサインインし、左ペインで 設定 を選択します。

2. セキュリティキーの管理 タイルを見つけて 編集 をクリックします。セキュリティキーの管理 ページが表示されます。

   

3. 更新アイコンをクリックしてキーを生成します。

   重要:

   • 使用可能なキーは2つあります。XMLポートおよびSTAポートを介した通信には、同じキーまたは異なるキーを使用できます。一度に1つのキーのみを使用することをお勧めします。未使用のキーは、キーのローテーションにのみ使用されます。
   • 既に使用中のキーを更新するために更新アイコンをクリックしないでください。クリックすると、サービスが中断されます。

4. 通信にキーが必要な場所を選択します:

   • XMLポートを介した通信にキーを要求する (StoreFrontのみ)。選択した場合、XMLポートを介した通信を認証するためにキーを要求します。StoreFrontはこのポートを介してCitrix Cloudと通信します。XMLポートの変更については、Knowledge Centerの記事 CTX127945 を参照してください。

   • STAポートを介した通信にキーを要求する。選択した場合、STAポートを介した通信を認証するためにキーを要求します。Citrix GatewayとStoreFrontはこのポートを介してCitrix Cloudと通信します。STAポートの変更については、Knowledge Centerの記事 CTX101988 を参照してください。

5. 変更を適用してウィンドウを閉じるには、保存 をクリックします。

パワーシェルを使用する

以下は、Web Studioの操作に相当するPowerShellの手順です。

1. シトリックス バーチャルアプリ™ およびデスクトップ リモート PowerShell SDK を実行します。

2. コマンドウィンドウで、次のコマンドを実行します:
   • Add-PSSnapIn Citrix*
3. キーを生成し、Key1 を設定するには、次のコマンドを実行します。
   • New-BrokerXmlServiceKey
   • Set-BrokerSite -XmlServiceKey1 <the key you generated>
4. キーを生成し、Key2 を設定するには、次のコマンドを実行します。
   • New-BrokerXmlServiceKey
   • Set-BrokerSite -XmlServiceKey2 <the key you generated>
5. 通信の認証でキーの使用を有効にするには、次のコマンドのいずれか、または両方を実行します。
   • XMLポート経由で通信を認証するには:
     • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
   • STAポート経由で通信を認証するには:
     • Set-BrokerSite -RequireXmlServiceKeyForSta $true

ガイダンスと構文については、PowerShellコマンドヘルプを参照してください。

StoreFront の設定を構成する

サイトの構成が完了したら、PowerShell を使用して StoreFront の関連設定を構成する必要があります。

StoreFrontサーバーで、次のPowerShellコマンドを実行します。

$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

次のパラメーターに適切な値を入力します。

• Path to store
• Resource feed name
• secret

STAポート経由の通信用にキーを構成するには、New-STFSecureTicketAuthority および Set-STFRoamingGateway コマンドを使用します。例：

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

次のパラメーターに適切な値を入力します。

• Gateway name
• STA URL
• Secret

ガイダンスと構文については、PowerShellコマンドのヘルプを参照してください。

Citrix ADC の設定を構成する

注：

Citrix ADC をゲートウェイとして使用しない限り、Citrix ADC のこの機能を構成する必要はありません。Citrix ADC を使用する場合は、次の手順に従います。

1. 以下の前提条件となる構成がすでに設定されていることを確認してください。

   • 以下のCitrix ADC関連のIPアドレスが構成されています。
     • Citrix ADCコンソールにアクセスするためのCitrix ADC管理IP (NSIP) アドレス。詳細については、「NSIPアドレスの構成」を参照してください。

     

     • Citrix ADCアプライアンスとバックエンドサーバー間の通信を可能にするためのサブネットIP (SNIP) アドレス。詳細については、「サブネットIPアドレスの構成」を参照してください。
     • セッション起動のためにADCアプライアンスにログインするためのCitrix Gateway仮想IPアドレスとロードバランサー仮想IPアドレス。詳細については、「仮想サーバーの作成」を参照してください。

     

   • Citrix ADCアプライアンスで必要なモードと機能が有効になっています。
     • To enable the modes, in the Citrix ADC GUI go to System > Settings > Configure Mode.
     • To enable the features, in the Citrix ADC GUI go to System > Settings > Configure Basic Features.
   • 証明書関連の構成が完了しています。
     • 証明書署名要求 (CSR) が作成されています。詳細については、「証明書の作成」を参照してください。

     

     • サーバー証明書、CA証明書、およびルート証明書がインストールされています。詳細については、「インストール、リンク、および更新」を参照してください。

     

     CA証明書をインストール(/ja-jp/citrix-virtual-apps-desktops/2511/media/adc-install-ca-certificate.png)

     • Citrix Virtual Desktops用にCitrix Gatewayが作成されました。仮想サーバーがオンラインであることを確認するには、Test STA Connectivityボタンをクリックして接続をテストします。詳細については、「Citrix Virtual Apps and Desktops向けCitrix ADCのセットアップ」を参照してください。

     仮想デスクトップ用Gateway(/ja-jp/citrix-virtual-apps-desktops/2511/media/xenapp-xendesktop-wizard.gif)

2. リライトアクションを追加します。詳細については、「リライトアクションの構成」を参照してください。

   1. Appエキスパート > リライト > アクション に移動します。
   2. 新しいリライトアクションを追加するには、Addをクリックします。アクションの名前を「set Type to INSERT_HTTP_HEADER」にすることができます。

   リライトアクションの追加(/ja-jp/citrix-virtual-apps-desktops/2511/media/adc-appexpert-rewrite-action.png)

   1. タイプで、インサート_HTTP_ヘッダーを選択します。
   2. Header Name の項目には、X-Citrix-XmlServiceKey という文字列を正確に入力してください。
   3. Expression に、引用符を付けて <XmlServiceKey1 value> を追加します。XmlServiceKey1 の値は、Desktop Delivery Controller™ の構成設定から取得して使用することが可能です。

   XMLサービスキーの値(/ja-jp/citrix-virtual-apps-desktops/2511/media/xml-service-key-values.png)

3. リライトポリシーを追加します。詳細については、「リライトポリシーの構成」を参照してください。

   1. 「AppExpert > 書き換え > ポリシー」に移動します。

   2. 新しいポリシーを追加するには、Addをクリックします。

   リライトポリシーの追加(/ja-jp/citrix-virtual-apps-desktops/2511/media/adc-appexpert-rewrite-policy.png)

   1. 「アクション」で、以前の手順で作成したアクションを選択します。
   2. 「式」の項目に、HTTP.REQ.IS_VALID を追加します。
   3. 「OK」をクリックします。

4. 負荷分散を設定します。STAサーバーごとに1つの負荷分散仮想サーバーを構成する必要があります。そうしないと、セッションの起動に失敗します。

   詳細については、基本的な負荷分散の設定を参照してください。

   1. 負荷分散仮想サーバーを作成します。
      • 「トラフィック管理 > 負荷分散 > サーバー」に移動します。
      • 「仮想サーバー」ページで、「追加」をクリックします。

      

      • 「プロトコル」で、「HTTP」を選択します。
      • 負荷分散仮想IPアドレスを追加し、「ポート」で「80」を選択します。
      • 「OK」をクリックします。
   2. 負荷分散サービスを作成します。
      • 「トラフィック管理 > 負荷分散 > サービス」に移動します。

      

      • 「既存サーバー」で、前の手順で作成した仮想サーバーを選択します。
      • 「プロトコル」で「HTTP」を選択し、「ポート」で「80」を選択します。
      • 「OK」をクリックし、次に「完了」をクリックします。
   3. サービスを仮想サーバーにバインドします。
      • 以前に作成した仮想サーバーを選択し、「編集」をクリックします。
      • 「サービスとサービスグループ」で、「ロードバランシング仮想サーバーサービスバインディングなし」をクリックします。

      

      • 「サービスバインディング」で、以前に作成したサービスを選択します。
      • 「バインド」をクリックします。
   4. 以前に作成した書き換えポリシーを仮想サーバーにバインドします。
      • 以前に作成した仮想サーバーを選択し、「編集」をクリックします。
      • 「詳細設定」で「ポリシー」をクリックし、次に「ポリシー」セクションで「+」をクリックします。

      

      • 「ポリシーの選択」で「書き換え」を選択し、「タイプの選択」で「要求」を選択します。
      • 「続行」をクリックします。
      • 「ポリシーの選択」で、以前に作成した書き換えポリシーを選択します。
      • 「バインド」をクリックします。
      • 「完了」をクリックします。
   5. 必要に応じて、仮想サーバーの永続性を設定します。
      • 以前に作成した仮想サーバーを選択し、「編集」をクリックします。
      • 「詳細設定」で、「永続性」をクリックします。

      永続性の設定(/ja-jp/citrix-virtual-apps-desktops/2511/media/adc-lb-vserver-persistence.png)

      • 永続性の種類として「その他」を選択します。
      • 仮想サーバーによって選択されたサービスのIPアドレス (宛先IPアドレス) に基づいて永続セッションを作成するには、「DESTIP」を選択します。
      • 「IPv4ネットマスク」で、DDCと同じネットワークマスクを追加します。
      • 「OK」をクリックします。
   6. 他の仮想サーバーについても、これらの手順を繰り返します。

Citrix ADCアプライアンスがCitrix Virtual Desktops™で既に構成されている場合の構成変更

Citrix ADCアプライアンスをCitrix Virtual Desktopsで既に構成している場合、Secure XML機能を使用するには、次の構成変更を行う必要があります。

• セッション起動前に、ゲートウェイの「セキュリティチケット機関のURL」を変更して、負荷分散仮想サーバーのFQDNを使用するようにします。
• TrustRequestsSentToTheXmlServicePortパラメータがFalseに設定されていることを確認します。デフォルトでは、TrustRequestsSentToTheXmlServicePortパラメータはFalseに設定されています。ただし、顧客がCitrix ADCをCitrix Virtual Desktops用にすでに構成している場合、TrustRequestsSentToTheXmlServicePortはTrueに設定されます。

1. Citrix ADCの管理画面で、構成 > Citrix製品との統合 に移動し、XenApp and XenDesktop® をクリックします。

2. ゲートウェイインスタンスを選択し、編集アイコンをクリックします。

   既存のゲートウェイ構成を編集(/ja-jp/citrix-virtual-apps-desktops/2511/media/edit-gateway-instance.png)

3. StoreFrontペインで、編集アイコンをクリックします。

   ストアフロントの詳細を編集(/ja-jp/citrix-virtual-apps-desktops/2511/media/edit-storefront-details.png)

4. セキュアチケットオーソリティURL を追加します。
   • Secure XML機能が有効になっている場合、STA URLは負荷分散サービスのURLである必要があります。
   • Secure XML機能が無効になっている場合、STA URLはSTAのURL（DDCのアドレス）である必要があり、DDC上のTrustRequestsSentToTheXmlServicePortパラメータはTrueに設定されている必要があります。

   STAのURLを追加します。(/ja-jp/citrix-virtual-apps-desktops/2511/media/add-sta-urls.png)