証明書を管理する

TLSは、2つの当事者間の信頼を確立するために証明書を使用します。サービスを提供する各サーバーに適切な証明書をインストールし、そのサーバーに接続するマシンがその証明書を信頼することを確認する必要があります。証明書に署名するためのオプションは次のとおりです。

• 自己署名証明書。これらは推奨されません。この証明書を信頼する必要がある他のマシンに手動でコピーする必要があるため、管理が困難です。
• エンタープライズ認証局。既存のPKIが導入されている場合、これは通常、内部デバイス間で使用する証明書に署名する最も簡単なオプションです。
• 公開認証局。これには、ドメインの所有権を認証局に証明する必要があります。管理されていないクライアントデバイスは、主要な公開認証局からの証明書を信頼するように通常事前に構成されているという利点があります。

新しい証明書を作成する

証明書を作成するための組織のポリシーと手順に従ってください。

Microsoft証明機関を使用して証明書を作成する

Microsoft証明機関がActive DirectoryドメインまたはDelivery Controllerが参加している信頼されたフォレストに統合されている場合、証明書MMCスナップインの証明書登録ウィザードから証明書を取得できます。Microsoft証明機関は、Webサーバーでの使用に適した証明書テンプレートを公開している必要があります。

ルート証明書は、グループポリシーを使用してドメイン上の他のマシンに自動的に展開されます。したがって、ドメイン上の他のすべてのマシンは、Microsoft証明機関を使用して作成された証明書を信頼します。ドメイン上にないマシンがある場合は、ルート認証局証明書をエクスポートしてそれらのマシンにインポートする必要があります。

1. サーバーで、MMCコンソールを開き、証明書スナップインを追加します。プロンプトが表示されたら、コンピューターアカウントを選択します。

2. 個人 > 証明書を展開し、すべてのタスク > 新しい証明書の要求コンテキストメニューコマンドを使用します。

   MMC証明書スナップイン(/ja-jp/citrix-virtual-apps-desktops/2511/media/tls-mmc-certificates.png)

3. 次へをクリックして開始し、次へをクリックして、Active Directory登録から証明書を取得することを確認します。

4. Webサーバーエクスポート可能などの適切なテンプレートを選択します。テンプレートが件名の値を自動的に提供するように設定されている場合は、詳細を提供せずに登録をクリックできます。それ以外の場合は、この証明書を登録するには詳細情報が必要です。設定を構成するにはここをクリックしてください。をクリックします。

   「証明書要求ダイアログ」(/ja-jp/citrix-virtual-apps-desktops/2511/media/tls-request-certificates.png)

5. 証明書テンプレートの詳細を指定するには、詳細矢印ボタンをクリックして、以下を構成します。

   サブジェクト名: 共通名を選択し、サーバーのFQDNを追加します。

   代替名: DNSを選択し、サーバーのFQDNを追加します。

   「証明書のプロパティ」(/ja-jp/citrix-virtual-apps-desktops/2511/media/tls-certificate-properties.png)

6. OKを押します。

7. 登録を押して証明書を作成します。証明書の一覧に表示されます。

   「個人証明書のスクリーンショット」(/ja-jp/citrix-virtual-apps-desktops/2511/media/personal-certificates.png)

IISを使用して証明書要求を作成する

IISがサーバーにインストールされている場合は、次の手順を実行します。

1. インターネットインフォメーションサービス（IIS）マネージャーを開きます
2. 接続リストでサーバーノードを選択します。
3. サーバー証明書を開きます。 「「サーバー証明書」の場所を示すスクリーンショット」(/ja-jp/citrix-virtual-apps-desktops/2511/media/iis-server-certificates.png)
4. 操作ペインから、証明書の要求の作成…を選択します。 「「証明書の要求の作成」が強調表示された操作メニューのスクリーンショット」(/ja-jp/citrix-virtual-apps-desktops/2511/media/iis-create-certificate-request.png)
5. 識別名プロパティを入力します。 「識別名プロパティ画面のスクリーンショット」(/ja-jp/citrix-virtual-apps-desktops/2511/media/iis-request-certificate-properties.png)
6. 「暗号化サービスプロバイダーのプロパティ」画面で、「暗号化サービスプロバイダー」はデフォルトのままにします。キーサイズは2048以上に設定します。
7. ファイル名を選択し、完了をクリックしてください。
8. CSRを認証局にアップロードします。
9. 証明書を受け取ったら、操作ペインから証明書要求の完了…を選択します。
10. 証明書を選択し、「フレンドリ名」を入力し、「OK」を押します。

サブジェクト代替名を設定する方法はありません。そのため、証明書は共通名を使用して指定されたサーバーに限定されます。

証明書スナップインから証明書署名要求を作成する

証明書MMCスナップイン内から、証明書署名要求を作成できます。これにより、証明書を提供する認証局に送信できるファイルが生成されます。その後、証明書をインポートして、ローカルの秘密鍵と結合する必要があります。

1. サーバーでMMCコンソールを開き、証明書スナップインを追加します。プロンプトが表示されたら「コンピューターアカウント」を選択します。

2. 「個人」>「証明書」を展開します。
3. 「すべてのタスク」>「高度な操作」>「カスタム要求の作成」を選択します。
4. 「開始する前に」で、「次へ」を選択します。
5. 「証明書登録ポリシーの選択」画面で、適切な既存のポリシーを選択するか、「登録ポリシーなしで続行」を選択します。
6. 「カスタム要求」画面で、登録ポリシーを使用している場合は、利用可能な場合は「Webサーバー (エクスポート可能)」などの適切なテンプレートを選択します。
7. 「証明書情報」画面で、「詳細」を展開し、「プロパティ」を選択します。
8. 「証明書のプロパティ」ウィンドウの「全般」タブで、適切なフレンドリ名を入力します。

9. 「サブジェクト」タブで:

   1. 「サブジェクト名」の下で、「共通名」を選択し、サーバーのFQDNを入力します。ワイルドカードを入力することもできます。「追加」を選択します。
   2. 「サブジェクト名」の下で、組織、組織単位、地域、都道府県、国に適切な値を追加します。
   3. 「代替名」の下で、「DNS」を選択します。サーバーのFQDNを追加します。複数のサーバーFQDNまたはワイルドカードFQDNを追加できます。

10. 「拡張機能」タブで:

    • 「キー使用法」の下で、「デジタル署名」と「キーの暗号化」を追加します。
    • 「拡張キー使用法 (アプリケーションポリシー)」の下で、「サーバー認証」と「クライアント認証」を追加します。

11. 「秘密キー」タブで。

    • 「暗号化サービスプロバイダー (CSP) の選択」の下で、適切なプロバイダーを選択します。
    • 「キーオプション」の下で、適切なキーサイズを選択します。RSAプロバイダーの場合、最小で2048のキーサイズを使用します。セキュリティを強化するために4096を選択することもできますが、パフォーマンスにわずかな影響があります。
    • 「キーオプション」の下で、「秘密キーをエクスポート可能にする」を選択します。
12. 「OK」を選択します。
13. 「次へ」を選択します。
14. 「参照」を選択し、要求を保存します。
15. 「完了」を選択します。
16. CSR を証明機関にアップロードします。
17. 証明書を受け取ったら、秘密キーにリンクされるように、同じサーバーで(#import-existing-certificate)インポートします。

新しい自己署名証明書を作成する

自己署名証明書は、デリバリーコントローラー™とWeb Studioのインストール中に作成されます。新しい自己署名証明書を生成し、既存の証明書を置き換えるために使用できます。

IISマネージャーの使用

IISがサーバーにインストールされている場合、次の手順を実行できます。

1. 管理者としてサーバーにログオンします。

2. IISマネージャーを開きます
3. 「サーバー証明書」を開きます

4. 操作ペインで、「自己署名証明書の作成」を選択します。

   

5. 「自己署名証明書の作成」で、証明書の名前を入力し、OKをクリックします。自己署名証明書が作成されます。

   

パワーシェルの使用

PowerShell を使用して自己署名証明書を作成できます。

$certSubject = "CN=myddc.example.com" # The FQDN of the server.
$friendlyName = "Self-Signed-3"
$expireYears = 5

## Create new self-signed certificate under LocalMachine\My
$certificate = New-SelfSignedCertificate -Subject $certSubject -CertStoreLocation "Cert:\LocalMachine\My\" -KeyExportPolicy Exportable -KeySpec Signature -KeyLength 2048 -KeyAlgorithm RSA -HashAlgorithm SHA256 -FriendlyName $friendlyName -NotAfter $([System.DateTime]::Now.AddYears($expireYears))

# Add to trusted root certificates
$rootCertStore = Get-Item "Cert:\LocalMachine\Root\"
$rootCertStore.Open([System.Security.Cryptography.X509Certificates.OpenFlags]::ReadWrite)
$rootCertStore.Add($certificate)
<!--NeedCopy-->

既存の証明書をインポートする

以下のいずれかの方法を使用して、既存の証明書をサーバーにインポートできます。

証明書のインポートウィザード

1. PFX ファイルをダブルクリックするか、ファイルを右クリックして [PFX のインストール] を選択します。これにより、[証明書のインポートウィザード] が開きます。

2. [ストアの場所] で、[ローカルコンピューター] を選択します。

   証明書のインポートウィザードのスクリーンショット (/ja-jp/citrix-virtual-apps-desktops/2511/media/certificate-import-wizard.png)

3. 必要に応じてパスワードを入力します。

   証明書のインポートウィザード、秘密キーの保護手順のスクリーンショット (/ja-jp/citrix-virtual-apps-desktops/2511/media/key-protection.png)

4. [証明書ストア] を選択します。サーバー証明書の場合は、[個人] を選択します。これがこのマシンから信頼したいルート証明書または自己署名証明書である場合は、[信頼されたルート証明機関] を選択します。

   証明書のインポートウィザード、証明書ストアの手順のスクリーンショット (/ja-jp/citrix-virtual-apps-desktops/2511/media/certificate-store.png)

コンピューター証明書の管理コンソールを使用する

1. コンピューター証明書の管理コンソールを開き、適切な証明書ストアに移動します。サーバー証明書の場合、通常は [個人] > [証明書] です。ルート証明書または自己署名証明書を信頼するには、[信頼されたルート証明機関] > [証明書] を選択します。

2. 証明書を右クリックし、[すべてのタスク] > [インポート…] を選択します。

   コンピューター証明書の管理コンソール (/ja-jp/citrix-virtual-apps-desktops/2511/media/manage-computer-certificates-console.png)

3. 「参照…」を選択し、ファイルを選択します。

4. 必要に応じてパスワードを入力します。

パワーシェルを使用する

証明書をインポートするには、PowerShell コマンドレット Import-PfxCertificate を使用します。たとえば、パスワード 123456 を使用して証明書 certificate.pfx を個人証明書ストアにインポートするには、次のコマンドを実行します。

Import-PfxCertificate -Password $(ConvertTo-SecureString -String "123456" -AsPlainText -Force) -CertStoreLocation Cert:\LocalMachine\My\ -FilePath .\Desktop\certificate.pfx
<!--NeedCopy-->

信頼されたルート証明書をインポートするには、CertStoreLocation を Cert:\LocalMachine\Root\ に設定します。

秘密キーなしで証明書をエクスポートする

証明書を他のデバイスにインポートして信頼できるように証明書をエクスポートするには、秘密キーを除外する必要があります。

1. コンピューター証明書の管理を開きます。個人 > 証明書 に移動し、エクスポートする証明書を選択します。

2. 操作 メニューから、すべてのタスク、次に エクスポート を選択します。

   

3. 「いいえ、秘密キーをエクスポートしません」を選択し、次へ を押します。

   

4. 形式「DER encoded binary X.509 (.CER)」(既定) を選択し、次へ を押します。

5. ファイル名を入力し、次へ を押します。

   

6. 完了」を選択します。

   証明書エクスポートウィザード、エクスポート成功のスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2511/media/certificate-export-complete.png)

秘密キー付きで証明書をエクスポートする

他のサーバーで使用できるように証明書をエクスポートするには、秘密キーを含める必要があります。

1. コンピューター証明書の管理を開きます。個人 > 証明書に移動し、エクスポートする証明書を選択します。

2. 操作メニューから、すべてのタスク、次にエクスポートを選択します。

   エクスポートメニューを含む証明書管理のスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2511/media/certificate-export.png)

3. 「はい、秘密キーをエクスポートします」を選択し、次へを選択します。

   証明書のエクスポート(/ja-jp/citrix-virtual-apps-desktops/2511/media/certificate-export-private-key.png)

4. セキュリティタブで、パスワードを入力し、次へを選択します。

   証明書エクスポートウィザード、セキュリティ手順のスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2511/media/certificate-export-password.png)

5. ファイル名を入力し、次へを選択します。

   証明書エクスポートウィザード、ファイル名のスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2511/media/certificate-export-file.png)

6. 完了」を選択します。

   証明書エクスポートウィザード、エクスポート成功のスクリーンショット(/ja-jp/citrix-virtual-apps-desktops/2511/media/certificate-export-complete.png)

証明書をPEM形式に変換する

デフォルトでは、Windowsは秘密鍵を含む証明書をPKCS#12形式の.pfxファイルとしてエクスポートします。NetScaler® Gatewayまたはライセンスサーバーで証明書を使用するには、証明書と秘密鍵をPEM形式で個別のファイルに抽出する必要があります。これはopensslを使用して実行できます。

証明書をPEM形式でエクスポートするには、以下を実行します。

openssl pkcs12 -in name.pfx -clcerts -nokeys -out name.cer
<!--NeedCopy-->

既存のパスワードと新しいパスフレーズの入力を求められます

キーをPEM形式でエクスポートするには、以下を実行します。

openssl pkcs12 -in name.pfx -nocerts -out name.key
<!--NeedCopy-->

証明書の信頼

• 公開認証局からの証明書を使用する場合、デバイスには通常、ルート証明書が事前に構成されています。
• エンタープライズ認証局を使用する場合、その証明書を信頼する必要があるすべてのデバイスにルート証明書を展開する必要があります。Active Directory証明書サービスを使用している場合、ルート証明書はグループポリシーを使用してドメイン上のすべてのマシンにも展開されます。NetScaler Gatewayや他のドメイン上のマシンなど、ドメインに参加していないマシンには、ルート証明書を手動でインポートする必要があります。
• 自己署名証明書を使用している場合、その証明書を信頼する必要があるすべてのマシンに手動でインストールする必要があります。

Windowsから自己署名証明書または信頼されたルート証明書をエクスポートするには、「秘密鍵なしで証明書をエクスポートする」を参照してください。

Windowsが証明書を信頼するには、信頼されたルート証明機関ストアに証明書をインポートする必要があります。PowerShellを使用する場合は、ストアCert:\LocalMachine\Root\に入力します。

NetScalerが証明書を信頼するには、まず証明書をPEM形式に変換し、次にルート証明書をインストールします。