VDA で TLS / DTLS を有効にする

以下の手順を実行して、Citrix Workspace™アプリとVirtual Delivery Agents (VDA) との間のTLS接続を有効にしてください。

• VDA に証明書をインストールします。詳細については、「証明書の要求とインストール」を参照してください。
• VDA がインストールされているマシンで TLS を構成します。(便宜上、VDA がインストールされているマシンは、以降「VDA」と呼びます。) TLS/DTLS の構成には、Citrix が提供する PowerShell スクリプトを使用することを強くお勧めします。詳細については、「PowerShell スクリプトを使用して VDA で TLS を構成する」を参照してください。ただし、TLS/DTLS を手動で構成する場合は、「VDA で TLS を手動で構成する」を参照してください。
• Studio で一連の PowerShell コマンドレットを実行して、VDA を含むデリバリーグループで TLS を構成します。詳細については、「デリバリーグループで TLS を構成する」を参照してください。

要件と考慮事項:

• コンポーネントのインストール、サイトの作成、マシンカタログの作成、およびデリバリーグループの作成を行った後で、デリバリーグループと VDA で TLS を構成します。
• デリバリーグループで TLS を構成するには、Controller アクセスルールを変更する権限が必要です。この権限は、フル管理者 (Full Administrator) が持っています。
• VDA で TLS を構成するには、VDA がインストールされているマシンで Windows 管理者である必要があります。
• Machine Creation Services™ または Provisioning Services によってプロビジョニングされたプールされた VDA では、再起動時に VDA マシンイメージがリセットされ、以前の TLS 設定が失われます。VDA が再起動されるたびに PowerShell スクリプトを実行して、TLS 設定を再構成してください。

デリバリーグループには、TLS が構成されている VDA と構成されていない VDA が混在することはできません。デリバリーグループの TLS を構成する前に、そのデリバリーグループ内のすべての VDA で TLS が構成されていることを確認してください。

VDA で TLS を構成すると、インストールされている TLS 証明書の権限が変更され、ICA® Service に証明書の秘密キーへの読み取りアクセス権が付与され、ICA Service に次の情報が通知されます。

• TLS に使用する証明書ストア内の証明書。

• TLS 接続に使用する TCP ポート番号。

  Windows ファイアウォール (有効な場合) は、この TCP ポートでの受信接続を許可するように構成する必要があります。この構成は、PowerShell スクリプトを使用すると自動的に行われます。

• 許可するTLSプロトコルのバージョン。

  重要:

  Citrixでは、TLS 1.2以降を使用することをお勧めします。SSLおよびそれ以前のバージョンのTLSは非推奨です。

  サポートされているTLSプロトコルバージョンは、階層（最低から最高）に従います: SSL 3.0、TLS 1.0、TLS 1.1、TLS 1.2、TLS 1.3。許可される最小バージョンを指定します。そのバージョンまたはそれ以降のバージョンを使用するすべてのプロトコル接続が許可されます。

  たとえば、TLS 1.1を最小バージョンとして指定した場合、TLS 1.1、TLS 1.2、TLS 1.3プロトコル接続が許可されます。SSL 3.0を最小バージョンとして指定した場合、サポートされているすべてのバージョンの接続が許可されます。TLS 1.3を最小バージョンとして指定した場合、TLS 1.3接続のみが許可されます。

• 許可するTLS暗号スイート。

  暗号スイートは、接続に使用される暗号化を選択します。クライアントとVDAは、異なる暗号スイートのセットをサポートできます。クライアント（Citrix Workspaceアプリ）が接続し、サポートされているTLS暗号スイートのリストを送信すると、VDAはクライアントの暗号スイートの1つを、VDA自身の構成済み暗号スイートのリストにある暗号スイートの1つと照合し、接続を受け入れます。一致する暗号スイートがない場合、VDAは接続を拒否します。

  VDAは、3つの暗号スイートセット（コンプライアンスモードとも呼ばれます）をサポートしています: GOV（政府）、COM（商用）、およびALL。許容される暗号スイートは、Windows FIPSモードにも依存します。Windows FIPSモードの詳細については、http://support.microsoft.com/kb/811833を参照してください。次の表に、各セットの暗号スイートを示します。

  暗号スイート	ALL	COM	GOV	ALL	COM	GOV
  FIPSモード設定	オフ	オフ	オフ	オン	オン	オン
  TLS_AES_256_GCM_SHA384	X		X	X		X
  TLS_AES_128_GCM_SHA256	X			X		X
  TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	X		X	X		X
  TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	X		X	X		X
  TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	X	X		X	X

  注記:

  The VDA does not support DHE ciphersuites (for example, TLS_DHE_RSA_WITH_AES_256_GCM_SHA384, TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, and TLS_DHE_RSA_WITH_AES_128_CBC_SHA.) If selected by Windows, the connection will fail.

  NetScaler Gatewayを使用している場合、バックエンド通信の暗号スイートサポートに関する情報については、NetScalerのドキュメントを参照してください。TLS暗号スイートのサポートに関する情報については、Citrix ADCアプライアンスで利用可能な暗号を参照してください。DTLS暗号スイートのサポートに関する情報については、DTLS暗号のサポートを参照してください。

証明書の要求とインストール

TLSを使用するには、代替名にVDAのFQDNが含まれる証明書をインストールする必要があります。証明書は、VDAに直接接続するクライアント（Citrix Gateway経由ではない）によって信頼されている必要があります。証明書を簡単に展開できない管理対象外のデバイスがVDAに接続できるようにするには、NetScaler® Gatewayの展開を検討してください。

Microsoft証明機関を使用して証明書を作成する

クライアントとVDAが信頼されたフォレストにあり、Microsoft証明機関がある場合、証明書MMCスナップインの証明書登録ウィザードから証明書を取得できます。

1. VDAで、MMCコンソールを開き、証明書スナップインを追加します。プロンプトが表示されたら、コンピューターアカウントを選択します。
2. 個人 > 証明書を展開し、コンテキストメニューコマンドのすべてのタスク > 新しい証明書の要求を使用します。
3. 開始するには次へをクリックし、Active Directory登録から証明書を取得することを確認するために次へをクリックします。

4. サーバー認証証明書のテンプレートを選択します。デフォルトのWindowsのコンピューターまたはWebサーバーのエクスポート可能のいずれも使用できます。テンプレートが件名の値を自動的に提供するように設定されている場合、詳細情報を提供せずに登録をクリックできます。

   

5. 証明書テンプレートのさらに詳細な情報を提供するには、詳細をクリックし、以下を構成します。

   サブジェクト名 — 種類として共通名を選択し、VDAのFQDNを追加します

   代替名 — タイプDNSを選択し、VDA の FQDN を追加します

   

   注:

   Active Directory 証明書サービス証明書自動登録を使用して、VDA への証明書の発行と展開を自動化します。これは、証明書の自動登録を有効にする)で説明されています。

   ワイルドカード証明書を使用すると、単一の証明書で複数の VDA を保護できます。

   サブジェクト名 — タイプ共通名を選択し、VDA の *.primary.domain を入力します

   代替名 — タイプDNSを選択し、VDA の *.primary.domain を追加します

   

   SAN 証明書を使用すると、単一の証明書で複数の特定の VDA を保護できます。

   サブジェクト名 — タイプ共通名を選択し、証明書の使用状況を識別するのに役立つ文字列を入力します

   代替名 — タイプDNSを選択し、各 VDA の FQDN のエントリを追加します。最適な TLS ネゴシエーションを確保するために、代替名の数を最小限に抑えてください。

   

   注:

   ワイルドカード証明書と SAN 証明書の両方で、プライベートキーのタブで秘密キーをエクスポート可能にするが選択されている必要があります。

   

PowerShellスクリプトを使用してVDAでTLSを構成する

証明書ストアのローカルコンピューター > 個人 > 証明書領域にTLS証明書をインストールします。その場所に複数の証明書がある場合は、PowerShellスクリプトに証明書のサムプリントを指定します。

注：

XenAppおよびXenDesktop 7.15 LTSR以降、PowerShellスクリプトはVDAのFQDNに基づいて正しい証明書を検索します。VDAのFQDNに対して単一の証明書のみが存在する場合、サムプリントを指定する必要はありません。

Enable-VdaSSL.ps1スクリプトは、VDA上のTLSリスナーを有効または無効にします。このスクリプトは、インストールメディアのSupport > Tools > SslSupportフォルダーにあります。

TLSを有効にすると、DHE暗号スイートは無効になります。ECDHE暗号スイートは影響を受けません。

TLSを有効にすると、スクリプトは指定されたTCPポートの既存のWindowsファイアウォールルールをすべて無効にします。その後、ICAサービスがTLS TCPおよびUDPポートでのみ受信接続を受け入れることを許可する新しいルールを追加します。また、以下のWindowsファイアウォールルールも無効にします。

• シトリックス ICA（デフォルト：1494）
• シトリックス CGP（デフォルト：2598）
• Citrix ウェブソケット（デフォルト：8008）

その結果、ユーザーはTLSまたはDTLSを使用してのみ接続できます。TLSまたはDTLSなしでは、ICA/HDX、セッションの信頼性を備えたICA/HDX、またはWebSocket経由のHDXを使用することはできません。

注：

DTLSは、UDPリアルタイムトランスポート経由のICA/HDXオーディオ、またはICA/HDX Framehawkではサポートされていません。

ネットワークポートを参照してください。

スクリプトには、以下の構文の説明と追加の例が含まれています。この情報はNotepad++などのツールを使用して確認できます。

重要:

EnableまたはDisableパラメーターと、CertificateThumbPrintパラメーターを指定します。その他のパラメーターはオプションです。

構文

Enable-VdaSSL {-Enable | -Disable} -CertificateThumbPrint "<thumbprint>" [-SSLPort <port>] [-SSLMinVersion "<min-ssl-version>"] [-SSLCipherSuite"\<suite>"]

使用例

次のスクリプトは、TLSプロトコルバージョン値をインストールして有効にします。サムプリント（この例では「12345678987654321」として表される）は、使用する証明書を選択するために使用されます。

Enable-VdaSSL -Enable -CertificateThumbPrint "12345678987654321"

次のスクリプトは、TLSリスナーをインストールして有効にし、TLSポート400、GOV暗号スイート、および最小TLS 1.2プロトコル値を指定します。サムプリント（この例では「12345678987654321」として表される）は、使用する証明書を選択するために使用されます。

Enable-VdaSSL -Enable
-CertificateThumbPrint "12345678987654321"
-SSLPort 400 -SSLMinVersion "TLS_1.2"
-SSLCipherSuite "All"

次のスクリプトは、VDA上のTLSリスナーを無効にします。

Enable-VdaSSL -Disable

VDAでTLSを手動で構成する

VDAでTLSを手動で構成する場合、各VDA上の適切なサービスに対して、TLS証明書の秘密キーへの一般的な読み取りアクセス権を付与します。WindowsシングルセッションOS用VDAの場合はNT SERVICE\PorticaService、WindowsマルチセッションOS用VDAの場合はNT SERVICE\TermService。VDAがインストールされているマシンで:

ステップ1。Microsoft管理コンソール（MMC）を起動します: [スタート] > [ファイル名を指定して実行] > [mmc.exe]。

ステップ2。MMCに証明書スナップインを追加します:

1. [ファイル] > [スナップインの追加と削除] を選択します。
2. [証明書] を選択し、[追加] をクリックします。
3. 「このスナップインは常に次の証明書を管理します:」というプロンプトが表示されたら、「コンピューターアカウント」を選択し、[次へ] をクリックします。
4. 「このスナップインで管理するコンピューターを選択してください」というプロンプトが表示されたら、「ローカルコンピューター」を選択し、[完了] をクリックします。

STEP 3. 「証明書 (ローカルコンピューター) > 個人 > 証明書」で、証明書を右クリックし、「すべてのタスク > プライベートキーの管理」を選択します。

STEP 4. アクセス制御リストエディターに「(FriendlyName) のプライベートキーのアクセス許可」が表示されます。(FriendlyName) は TLS 証明書の名前です。次のいずれかのサービスを追加し、読み取りアクセス権を付与します。

• ウィンドウズ シングルセッション OS 用 VDA の場合、「PORTICASERVICE」
• For a VDA for Windows Multi-session OS, “TERMSERVICE”

STEP 5. インストールされている TLS 証明書をダブルクリックします。証明書のダイアログで、「詳細」タブを選択し、一番下までスクロールします。「拇印」をクリックします。

STEP 6. Run regedit and go to HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\icawd.

1. SSL Thumbprint キーを編集し、TLS 証明書の拇印の値をこのバイナリ値にコピーします。「バイナリ値の編集」ダイアログボックスの不明な項目（「0000」や特殊文字など）は無視しても問題ありません。
2. SSLEnabled キーを編集し、DWORD 値を 1 に変更します。(後で SSL を無効にするには、DWORD 値を 0 に変更します。)

3. デフォルト設定を変更する場合（オプション）は、同じレジストリパスで以下を使用します。

   SSLPort DWORD – SSL ポート番号。既定値は443に設定されています。

   SSLMinVersion DWORD – 1はSSL 3.0を示します、2はTLS 1.0を示します、3はTLS 1.1を示します、4はTLS 1.2を示します、5はTLS 1.3を示します。既定値は2 (TLS 1.0) に設定されています。

   SSLCipherSuite DWORD – 1 = GOV, 2 = COM, 3 = ALL. Default: 3 (ALL).

STEP 7. TLS の TCP および UDP ポートがデフォルトの 443 ではない場合、Windows ファイアウォールで開いていることを確認します。(Windows ファイアウォールで受信規則を作成する際は、そのプロパティで「接続を許可する」と「有効」のエントリが選択されていることを確認してください。)

STEP 8. 他のアプリケーションやサービス（IIS など）が TLS TCP ポートを使用していないことを確認します。

STEP 9. マルチセッション VDA の場合、変更を有効にするにはマシンを再起動します。(シングルセッション VDA マシンを再起動する必要はありません。)

ステップ 10. 接続の問題を回避するために、VDAでサポートされている暗号スイートが最も高い優先順位を持つように、Windowsの暗号スイートの優先順位を変更します。

重要:

以下に概説するグループポリシーの変更は、システムが再起動された後にのみ有効になります。

MCSまたはPVSでプロビジョニングされた非永続的なセッションホストを使用している場合は、これらの設定をマスターイメージに適用する必要があります。

オプション 1:

グループポリシーエディターを使用して、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL 構成設定] > [SSL 暗号スイートの順序] に移動します。以下の暗号スイートがリストの先頭にあることを確認してください。

TLS_AES_256_GCM_SHA384_P384
TLS_AES_256_GCM_SHA384_P256
TLS_AES_128_GCM_SHA256_P384
TLS_AES_128_GCM_SHA256_P256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256
<!--NeedCopy-->

注:

TLS_AES_256_GCM_SHA384 および TLS_AES_128_GCM_SHA256 は、Windows 11 および Windows Server 2022 以降にのみ適用されます。古いオペレーティングシステムを使用している場合は、これらの暗号スイートをリストに含めないでください。

リストされている暗号スイートは、楕円曲線P384またはP256も指定しており、「curve25519」が選択されないようにします。FIPSモードは「curve25519」の使用を妨げません。

リストから暗号スイートを削除する必要はありません。これらの設定はシステム全体に適用されるため、暗号スイートを削除する場合は、セッションホストで実行されているアプリケーションやサービスによってそれらが必要とされていないことを確認する必要があります。

オプション 2:

グループポリシーエディターを使用して、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL 構成設定] > [SSL 暗号スイートの順序] に移動します。以下の暗号スイートがリストの先頭にあることを確認してください。

TLS_AES_256_GCM_SHA384
TLS_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
<!--NeedCopy-->

注:

TLS_AES_256_GCM_SHA384 および TLS_AES_128_GCM_SHA256 は、Windows 11 および Windows Server 2022 以降にのみ適用されます。古いオペレーティングシステムを使用している場合は、これらの暗号スイートをリストに含めないでください。

リストから暗号スイートを削除する必要はありません。これらの設定はシステム全体に適用されるため、暗号スイートを削除する場合は、セッションホストで実行されているアプリケーションやサービスによってそれらが必要とされていないことを確認する必要があります。

グループポリシーエディターを使用して、[コンピューターの構成] > [ポリシー] > [管理用テンプレート] > [ネットワーク] > [SSL構成設定] > [ECC曲線順序] に移動します。設定を有効にし、リストに次の曲線を指定します。

NistP384
NistP256
<!--NeedCopy-->

注：

これにより、「curve25519」が選択されないようにします。FIPSモードは「curve25519」の使用を妨げません。

VDAは、グループポリシーリストと、選択されたコンプライアンスモード（COM、GOV、またはALL）のリストの両方に表示される場合にのみ、暗号スイートを選択します。暗号スイートは、クライアント（Citrix Workspaceアプリ）から送信されるリストにも表示されている必要があります。

デリバリーグループでのTLSの構成

TLS接続用に構成したVDAを含む各デリバリーグループに対して、この手順を完了します。

1. StudioからPowerShellコンソールを開きます。
2. Run Get-BrokerAccessPolicyRule -DesktopGroupName ‘<delivery-group-name>’ | Set-BrokerAccessPolicyRule -HdxSslEnabled $true.
3. Run Set-BrokerSite -DnsResolutionEnabled $true.

自動登録を使用したプールされたVDAのSSLの有効化

プールされたVDAを使用する場合、マスターイメージに証明書を追加すると、すべてのVDAが同じイメージを共有します。ワイルドカード証明書を使用できますが、欠点として、いずれかのVDAが侵害された場合、この強力な証明書はすべてのVDAに属するHDX™接続が危険にさらされることを意味します。

代わりに、Microsoft Active Directory証明書サービスを活用して、グループポリシーを使用して証明書を自動的にプロビジョニングする安全な代替手段があります。VDA上でスタートアップスクリプトを使用して、新しい証明書を動的にプロビジョニングし、VDAへのSSLを有効にすることができます。

このアプローチは、シングルセッションデスクトップVDAでのみ機能することに注意してください。マルチセッションVDAの場合、ICAリスナーは起動プロセス中に早すぎる段階で起動され、証明書が自動的にプロビジョニングされる前です。

Active Directory証明書サービスは内部のエンタープライズ証明機関を使用するため、すべてのWindowsインストールによって自動的に信頼されるわけではありません。クライアントが企業によって管理され、ドメインフォレストの一部である場合、信頼されたCA証明書はグループポリシーを使用して自動的に配布できます。BYODやその他のドメインに参加していないデバイスの場合、信頼されたCA証明書を何らかのメカニズム（ダウンロードリンクの提供など）でユーザーに配布するか、NetScaler Gatewayを使用する必要があります。

証明書の自動登録を有効にする

まず、VDA ドメインフォレスト内のサーバーに Active Directory 証明書サービス ロールがインストールされており、エンタープライズ CA が提供されていることを確認してください。そうでない場合、自動登録はできません。

VDA は起動ごとに証明書要求を送信するため、これによりエンタープライズ CA に通常よりもかなり高い負荷がかかる可能性があることに注意してください。負荷に対応できるよう、CA サーバーに十分な CPU とメモリを割り当て、これまでと同様に、本番環境に移行する前にラボ環境で展開のスケーラビリティをテストしてください。

グループポリシー管理エディターで、SSL が有効になっているプールされた VDA を含む組織単位に適用される新しいポリシーを次のように作成します。

1. コンピューターの構成 -> ポリシー -> Windows の設定 -> セキュリティの設定 -> 公開キーのポリシー を展開します。
2. 「証明書サービス クライアント – 自動登録ポリシー」オブジェクトのプロパティを編集します。
3. 下のスクリーンショットに示すように構成します。
4. 自動証明書要求コンテナーを右クリックし、新規 -> 自動証明書要求… を選択します。
5. 自動証明書要求セットアップウィザードで、「次へ」をクリックします。
6. コンピューター証明書テンプレートが選択されていることを確認し、「次へ」をクリックします。
7. 「完了」をクリックします。

登録ポリシーのスクリーンショット (/ja-jp/citrix-virtual-apps-desktops/2511/media/ssltask-autoenrollment-policy.png)

Windows マスターイメージの準備

Enable-VdaSsl.ps1 スクリプトを、製品インストールメディアの Support\Tools\SslSupport フォルダーから VDA マスターイメージにコピーします。マスターイメージには、HDX SSL 接続に使用する証明書を含めないでください。証明書は、MCS または PVS マシンカタログが作成されるときにプロビジョニングされます。次に、次のように新しいスケジュールされたタスクを作成します（このスケジュールされたタスクは今すぐ実行しないでください）。

1. タスクスケジューラを開きます。

2. 操作ペインで、タスクの作成… を押します。

3. 「全般」タブで：

   • Enable VDA SSL のような名前を入力します

   • ユーザーまたはグループの変更… をクリックし、「ユーザーまたはグループの選択」ダイアログボックスに SYSTEM と入力して OK をクリックします

   タスク作成の「操作」タブのスクリーンショット (/ja-jp/citrix-virtual-apps-desktops/2511/media/ssltask-general.png)

4. 「トリガー」タブを選択します

5. 新規… をクリックします。「新しいトリガー」ダイアログで：

   1. タスクの開始をイベント時に設定します

   2. Set Log to Microsoft-Windows-CertificateServicesClient-Lifecycle-System/Operational

   3. Set Source to Microsoft-Windows-CertificateServicesClient-Lifecycle-System

   4. イベント ID を 1006 に設定します

   5. OK をクリックしてトリガーを保存します

   「新しいトリガー」ウィンドウのスクリーンショット (/ja-jp/citrix-virtual-apps-desktops/2511/media/ssltask-trigger.png)

6. 「操作」タブを選択します

7. 新規… をクリックします

8. 「新しい操作」ダイアログで：

   1. 「操作」を「プログラムの開始」に設定します。

   2. プログラム/スクリプトフィールドにpowershell.exeと入力します。

   3. 引数の追加フィールドに、PowerShellスクリプトへのパスを含めて-ExecutionPolicy RemoteSigned Enable-VdaSsl.ps1 -Enable -Confirm:$Falseと入力します。

   4. OKを押して操作を保存します。

   

9. OKを押してタスクを保存します。

トラブルシューティング

接続エラーが発生した場合は、VDAのシステムイベントログを確認してください。

Windows向けCitrix Workspaceアプリを使用している場合、TLSエラーを示す接続エラーが発生した場合は、Desktop Viewerを無効にしてから、もう一度接続を試してください。接続は引き続き失敗しますが、基になるTLSの問題に関する説明が提供される場合があります。（たとえば、証明機関から証明書を要求するときに、誤ったテンプレートを指定したなどです。）

HDX Adaptive Transportを使用するほとんどの構成は、DTLSで正常に動作します。これには、Citrix Workspaceアプリ、Citrix Gateway、およびVDAの最新バージョンを使用する構成が含まれます。Citrix WorkspaceアプリとCitrix Gatewayの間、およびCitrix GatewayとVDAの間でDTLSを使用する一部の構成では、追加のアクションが必要です。

次の場合、追加のアクションが必要です:

• シトリックスレシーバーのバージョンがHDXアダプティブトランスポートおよびDTLSをサポートしていること: Windows向けレシーバー (4.7, 4.8, 4.9)、Mac向けレシーバー (12.5, 12.6, 12.7)、iOS向けレシーバー (7.2, 7.3.x) またはLinux向けレシーバー (13.7)

かつ、以下のいずれかが当てはまる場合:

• Citrix GatewayのバージョンがVDAへのDTLSをサポートしているが、VDAのバージョンがDTLSをサポートしていない場合（バージョン7.15以前）、

• VDAのバージョンがDTLSをサポートしているが（バージョン7.16以降）、Citrix GatewayのバージョンがVDAへのDTLSをサポートしていない場合。

Citrix Receiver™からの接続が失敗するのを避けるには、次のいずれかを実行します。

• Citrix Receiverを、Windows版はバージョン4.10以降、Mac版は12.8以降、iOS版はバージョン7.5以降に更新する。または、
• Citrix Gatewayを、VDAへのDTLSをサポートするバージョンに更新する。または、
• VDAをバージョン7.16以降に更新する。または、
• VDAでDTLSを無効にする。または、
• HDX アダプティブトランスポートを無効にする。

注:

Receiver for Linux の適切な更新はまだ利用できません。Receiver for Android（バージョン3.12.3）は、シトリックス ゲートウェイ 経由の HDX アダプティブトランスポートおよび DTLS をサポートしていないため、影響を受けません。

VDAでDTLSを無効にするには、VDAファイアウォール構成を変更してUDPポート443を無効にします。 ネットワークポートを参照してください。

TLSとHTML5ビデオリダイレクト、およびブラウザコンテンツリダイレクト

HTML5ビデオリダイレクトとブラウザコンテンツリダイレクトを使用して、HTTPS Webサイトをリダイレクトできます。これらのWebサイトに挿入されたJavaScriptは、VDAで実行されているCitrix HDX HTML5ビデオリダイレクトサービスへのTLS接続を確立する必要があります。これを実現するために、HTML5ビデオリダイレクトサービスは、VDA上の証明書ストアに2つのカスタム証明書を生成します。サービスを停止すると、証明書は削除されます。

HTML5ビデオリダイレクトポリシーはデフォルトで無効になっています。

ブラウザコンテンツリダイレクトはデフォルトで有効になっています。

HTML5ビデオリダイレクトの詳細については、マルチメディアポリシー設定を参照してください。