Citrix Virtual Apps and Desktops

セキュリティキーの管理

March 25, 2026

寄稿者:

C C

重要：

この機能は、StoreFront™ 1912 LTSR CU2以降と組み合わせて使用する必要があります

Secure XML機能は、Citrix ADCおよびCitrix Gatewayリリース12.1以降でのみサポートされています

注：

バージョン2511以降、Citrix Web Studio（Webベース）はCitrix Virtual Apps and Desktops™の唯一の管理コンソールです。Citrix Studio（MMCベース）はインストーラーから削除されました。この記事はWeb Studioにのみ適用されます。Citrix Studioについては、Citrix Virtual Apps and Desktops 7 2212以前の該当する記事を参照してください。

この機能を使用すると、承認されたStoreFrontおよびCitrix GatewayマシンのみがDelivery Controllerと通信できるようになります。この機能を有効にすると、キーを含まないすべての要求はブロックされます。この機能を使用して、内部ネットワークからの攻撃に対する保護を強化できます。

この機能を使用するための一般的なワークフローは次のとおりです。

Web Studioで機能設定を表示できるようにする
サイトの設定を構成する
StoreFrontの設定を構成する
Citrix ADCの設定を構成する

サイトの設定を構成する

Web StudioまたはPowerShellを使用して、サイトのセキュリティキー設定を構成できます。

Web Studioの使用

Web Studioにサインインし、左ペインで設定を選択します
セキュリティキーの管理タイルを見つけて編集をクリックします。セキュリティキーの管理ページが表示されます
更新アイコンをクリックしてキーを生成します
重要：
- 使用可能なキーは2つあります。XMLポートおよびSTAポートを介した通信には、同じキーまたは異なるキーを使用できます。一度に1つのキーのみを使用することをお勧めします。未使用のキーはキーのローテーションにのみ使用されます
- 使用中のキーを更新するために更新アイコンをクリックしないでください。クリックすると、サービスが中断されます
通信にキーが必要な場所を選択します
- XMLポートを介した通信にキーを要求する（StoreFrontのみ）。選択した場合、XMLポートを介した通信を認証するためにキーを要求します。StoreFrontはこのポートを介してCitrix Cloudと通信します。XMLポートの変更については、Knowledge Centerの記事CTX127945を参照してください
- STAポートを介した通信にキーを要求する。選択した場合、STAポートを介した通信を認証するためにキーを要求します。Citrix GatewayとStoreFrontはこのポートを介してCitrix Cloudと通信します。STAポートの変更については、Knowledge Centerの記事CTX101988を参照してください
保存をクリックして変更を適用し、ウィンドウを閉じます

PowerShellの使用

以下は、Web Studioの操作に相当するPowerShellの手順です。

Citrix Virtual Apps™ and Desktops Remote PowerShell SDKを実行します
コマンドウィンドウで、次のコマンドを実行します
- Add-PSSnapIn Citrix*
キーを生成し、Key1を設定するには、次のコマンドを実行します
- New-BrokerXmlServiceKey
- Set-BrokerSite -XmlServiceKey1 <the key you generated>
キーを生成し、Key2を設定するには、次のコマンドを実行します
- New-BrokerXmlServiceKey
- Set-BrokerSite -XmlServiceKey2 <the key you generated>
通信の認証でキーの使用を有効にするには、次のコマンドのいずれかまたは両方を実行します
- XMLポートを介した通信を認証するには
  - Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
- STAポートを介した通信を認証するには
  - Set-BrokerSite -RequireXmlServiceKeyForSta $true

ガイダンスと構文については、PowerShellコマンドヘルプを参照してください。

StoreFrontの設定を構成する

サイトの構成が完了したら、PowerShellを使用してStoreFrontの関連設定を構成する必要があります。

StoreFrontサーバーで、次のPowerShellコマンドを実行します。

XMLポートを介した通信のキーを構成するには、コマンド[Set-STFStoreFarm

https://developer-docs.citrix.com/en-us/storefront-powershell-sdk/current-release/Set-STFStoreFarm.html]を使用します。例：

$store = Get-STFStoreService -VirtualPath [Path to store]
$farm = Get-STFStoreFarm -StoreService $store -FarmName [Resource feed name]
Set-STFStoreFarm -Farm $farm -XMLValidationEnabled $true -XMLValidationSecret [secret]
<!--NeedCopy-->

次のパラメーターに適切な値を入力します。

Path to store
Resource feed name
secret

STAポートを介した通信のキーを構成するには、New-STFSecureTicketAuthorityコマンドとSet-STFRoamingGatewayコマンドを使用します。例：

$gateway = Get-STFRoamingGateway -Name [Gateway name]
$sta1 = New-STFSecureTicketAuthority -StaUrl [STA1 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
$sta2 = New-STFSecureTicketAuthority -StaUrl [STA2 URL] -StaValidationEnabled $true -StaValidationSecret [secret]
Set-STFRoamingGateway -Gateway $gateway -SecureTicketAuthorityObjs $sta1,$sta2
<!--NeedCopy-->

次のパラメーターに適切な値を入力します。

Gateway name
STA URL
Secret

ガイダンスと構文については、PowerShellコマンドヘルプを参照してください。

Citrix ADCの設定を構成する

注：

Citrix ADCをゲートウェイとして使用しない限り、Citrix ADCでこの機能を構成する必要はありません。Citrix ADCを使用する場合は、次の手順に従います。

次の前提条件構成がすでに設定されていることを確認します
- 次のCitrix ADC関連IPアドレスが構成されていること
  - Citrix ADCコンソールにアクセスするためのCitrix ADC管理IP（NSIP）アドレス。詳細については、「NSIPアドレスの構成」を参照してください

サブネットIP (SNIP) アドレスは、Citrix ADCアプライアンスとバックエンドサーバー間の通信を可能にします。詳細は、サブネットIPアドレスの構成を参照してください。
セッション起動のためにADCアプライアンスにログインするためのCitrix Gateway仮想IPアドレスおよびロードバランサー仮想IPアドレス。詳細は、仮想サーバーの作成を参照してください。

サブネットIPアドレス

Citrix ADCアプライアンスで必要なモードと機能が有効になっています。
- モードを有効にするには、Citrix ADC GUIで System > Settings > Configure Mode に移動します。
- 機能を有効にするには、Citrix ADC GUIで System > Settings > Configure Basic Features に移動します。
証明書関連の構成が完了しています。
- 証明書署名要求 (CSR) が作成されます。詳細は、証明書の作成を参照してください。

CSR証明書の作成

-  サーバー証明書、CA証明書、およびルート証明書がインストールされます。詳細は、[インストール、リンク、および更新](/ja-jp/citrix-adc/current-release/ssl/ssl-certificates/add-group-certs.html)を参照してください。

サーバー証明書のインストール

CA証明書のインストール

-  Citrix Virtual Desktops用にCitrix Gatewayが作成されています。**Test STA Connectivity** ボタンをクリックして接続をテストし、仮想サーバーがオンラインであることを確認します。詳細は、[Citrix Virtual Apps and Desktops向けCitrix ADCのセットアップ](/ja-jp/citrix-adc/current-release/solutions/deploy-xa-xd.html)を参照してください。

仮想デスクトップ用Gateway

リライトアクションを追加します。詳細は、リライトアクションの構成を参照してください。
1. AppExpert > Rewrite > Actions に移動します。
2. Add をクリックして新しいリライトアクションを追加します。アクションの名前を「set Type to INSERT_HTTP_HEADER」にすることができます。
1. Type で INSERT_HTTP_HEADER を選択します。
2. Header Name に「X-Citrix-XmlServiceKey」と入力します。
3. Expression に引用符付きで <XmlServiceKey1 value> を追加します。XmlServiceKey1の値は、Desktop Delivery Controller™ の構成からコピーできます。
リライトポリシーを追加します。詳細は、リライトポリシーの構成を参照してください。
1. AppExpert > Rewrite > Policies に移動します。
2. Add をクリックして新しいポリシーを追加します。
1. Action で、前の手順で作成したアクションを選択します。
2. Expression に「HTTP.REQ.IS_VALID」を追加します。
3. OK をクリックします。
ロードバランシングを設定します。STAサーバーごとに1つのロードバランシング仮想サーバーを構成する必要があります。そうしないと、セッションの起動に失敗します。

詳細は、基本的なロードバランシングのセットアップを参照してください。
1. ロードバランシング仮想サーバーを作成します。
  - Traffic Management > Load Balancing > Servers に移動します。
  - Virtual Servers ページで、Add をクリックします。
  - Protocol で HTTP を選択します。
  - ロードバランシング仮想IPアドレスを追加し、Port で 80 を選択します。
  - OK をクリックします。
2. ロードバランシングサービスを作成します。
  - Traffic Management > Load Balancing > Services に移動します。
  - Existing Server で、前の手順で作成した仮想サーバーを選択します。
  - Protocol で HTTP を選択し、Port で 80 を選択します。
  - OK をクリックし、次に Done をクリックします。
3. サービスを仮想サーバーにバインドします。
  - 以前に作成した仮想サーバーを選択し、Edit をクリックします。
  - Services and Service Groups で、No Load Balancing Virtual Server Service Binding をクリックします。
  - Service Binding で、以前に作成したサービスを選択します。
  - Bind をクリックします。
4. 以前に作成したリライトポリシーを仮想サーバーにバインドします。
  - 以前に作成した仮想サーバーを選択し、Edit をクリックします。
  - Advanced Settings で Policies をクリックし、次に Policies セクションで + をクリックします。
  - Choose Policy で Rewrite を選択し、Choose Type で Request を選択します。
  - Continue をクリックします。
  - Select Policy で、以前に作成したリライトポリシーを選択します。
  - Bind をクリックします。
  - Done をクリックします。
5. 必要に応じて、仮想サーバーの永続性を設定します。
  - 以前に作成した仮想サーバーを選択し、Edit をクリックします。
  - Advanced Settings で Persistence をクリックします。
  - 永続性タイプとして Others を選択します。
  - 仮想サーバーによって選択されたサービスのIPアドレス（宛先IPアドレス）に基づいて永続性セッションを作成するには、DESTIP を選択します。
  - IPv4 Netmask に、DDCと同じネットワークマスクを追加します。
  - OK をクリックします。
6. 他の仮想サーバーについてもこれらの手順を繰り返します。

Citrix Virtual Desktops™ でCitrix ADCアプライアンスがすでに構成されている場合の構成変更

Citrix ADCアプライアンスをCitrix Virtual Desktopsで既に構成している場合、Secure XML機能を使用するには、以下の構成変更を行う必要があります。

セッション起動前に、ゲートウェイの Security Ticket Authority URL をロードバランシング仮想サーバーのFQDNを使用するように変更します。
TrustRequestsSentToTheXmlServicePort パラメーターがFalseに設定されていることを確認します。デフォルトでは、TrustRequestsSentToTheXmlServicePort パラメーターはFalseに設定されています。ただし、顧客がCitrix Virtual Desktops用にCitrix ADCを既に構成している場合、TrustRequestsSentToTheXmlServicePort はTrueに設定されます。

Citrix ADC GUIで、Configuration > Integrate with Citrix Products に移動し、XenApp and XenDesktop® をクリックします。
ゲートウェイインスタンスを選択し、編集アイコンをクリックします。
StoreFrontペインで、編集アイコンをクリックします。
Secure Ticket Authority URL を追加します。
- Secure XML機能が有効になっている場合、STA URLはロードバランシングサービスのURLである必要があります。

Secure XML 機能が無効になっている場合、STA URL は STA の URL (DDC のアドレス) である必要があり、DDC 上の TrustRequestsSentToTheXmlServicePort パラメーターは True に設定する必要があります。

このコンテンツの正式なバージョンは英語で提供されています。Cloud Software Groupドキュメントのコンテンツの一部は、お客様の利便性のみを目的として機械翻訳されています。Cloud Software Groupは機械翻訳されたコンテンツを管理していないため、誤り、不正確な情報、不適切な用語が含まれる場合があります。英語の原文から他言語への翻訳について、精度、信頼性、適合性、正確性、またはお使いのCloud Software Group製品またはサービスと機械翻訳されたコンテンツとの整合性に関する保証、該当するライセンス契約書またはサービス利用規約、あるいはCloud Software Groupとのその他すべての契約に基づき提供される保証、および製品またはサービスのドキュメントとの一致に関する保証は、明示的か黙示的かを問わず、かかるドキュメントの機械翻訳された範囲には適用されないものとします。機械翻訳されたコンテンツの使用に起因する損害または問題について、Cloud Software Groupは責任を負わないものとします。

この情報は役に立ちましたか?

セキュリティキーの管理

March 25, 2026

寄稿者:

C C

March 25, 2026

寄稿者:

C C

この情報は役に立ちましたか?