Citrix Virtual Apps and Desktops

セキュリティキーの管理

注:

この機能は、StoreFront 1912 LTSR CU2以降とともに使用する必要があります。

この機能を使用すると、承認されたStoreFrontマシンおよびCitrix GatewayマシンのみがDelivery Controllerと通信できるようになります。この機能を有効にすると、キーが含まれていないすべての要求がブロックされます。この機能を使用して、内部ネットワークの攻撃から保護するセキュリティ層を追加します。

この機能を使用するための一般的なワークフローは次のとおりです:

  1. PowerShell SDKを使用して、Studioでこの機能を有効にします。

  2. Studioで設定を構成します(StudioコンソールまたはPowerShellを使用します)。

  3. StoreFrontで設定を構成します(PowerShellを使用します)。

セキュリティキー機能の有効化

デフォルトでは、この機能は無効になっています。有効にするには、次の手順を実行します:

  1. Citrix Studioコンソールが実行されているマシンで、PowerShellウィンドウを開きます。

  2. 次のコマンドを実行します:

    • asnp Citrix*
    • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

Studioでの設定の構成

StudioコンソールまたはPowerShellを使用して、Studioで設定を構成できます。

Studioコンソールの使用

この機能を有効にした後、[Studio]>[構成]>[セキュリティキーの管理] に移動します。[セキュリティキーの管理] オプションを表示するには、[更新] のクリックが必要な場合があります。

[セキュリティキーの管理] をクリックすると、[セキュリティキーの管理] ウィンドウが表示されます。

[セキュリティキーの管理]ウィザード

重要:

  • 2つのキーを使用できます。XMLポートとSTAポートを介した通信に、同じキーまたは異なるキーを使用できます。一度に1つのキーのみを使用することをお勧めします。未使用のキーは、キーの交換にのみ使用されます。
  • 既に使用中のキーを更新するために[更新]アイコンをクリックしないでください。クリックした場合、サービスが中断されます。

更新アイコンをクリックしてキーを生成します。

XMLポート経由の通信にキーが必須とする(StoreFrontのみ)。選択されている場合、XMLポート経由での通信を認証するためにキーを必要とするかを示します。StoreFrontは、このポートを使用してDelivery Controllerと通信します。XMLポートの変更について詳しくは、Knowledge CenterのCTX127945を参照してください。

STAポート経由の通信にキーが必須とする。選択されている場合、STAポート経由での通信を認証するためにキーを必要とするかを示します。Citrix GatewayおよびStoreFrontは、このポートを使用してDelivery Controllerと通信します。STAポートの変更について詳しくは、Knowledge CenterのCTX101988を参照してください。

変更を適用後、[閉じる] をクリックして [セキュリティキーの管理] ウィンドウを終了します。

PowerShellの使用

以下は、Studioの操作に相当するPowerShellの手順です。

  1. Citrix Studioコンソールが実行されているマシンで、PowerShellウィンドウを開きます。

  2. コマンドウィンドウで、次のコマンドを実行します:
    • asnp Citrix*
  3. 次のコマンドを実行してキーを生成し、Key1を設定します:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey1 <the key you generated>
  4. 次のコマンドを実行してキーを生成し、Key2を設定します:
    • New-BrokerXmlServiceKey
    • Set-BrokerSite -XmlServiceKey2 <the key you generated>
  5. 次のコマンドのいずれかまたは両方を実行して、通信の認証でキーを使用できるようにします:
    • XMLポート経由での通信を認証するには、次を実行します:
      • Set-BrokerSite -RequireXmlServiceKeyForNFuse $true
    • STAポート経由での通信を認証するには、次を実行します:
      • Set-BrokerSite -RequireXmlServiceKeyForSta $true

ガイダンスと構文について詳しくは、PowerShellコマンドのヘルプを参照してください。

StoreFrontでの設定の構成

Studioでの構成が完了したら、PowerShellを使ってStoreFrontで関連する設定を構成する必要があります。

StoreFrontサーバーで、次のPowerShellコマンドを実行します:

  • XMLポート経由での通信のキーを構成するには、Get-STFStoreServieおよび Set-STFStoreServiceコマンドを使用します。例:
    • PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers <domain name1, domain name2> -XMLValidationEnabled $true -XMLValidationSecret <the key you generated in Studio>
  • STAポート経由での通信のキーを設定するには、New-STFSecureTicketAuthorityコマンドを使用します。例:
    • PS C:\> $sta = New-STFSecureTicketAuthority –StaUrl <STA URL> -StaValidationEnabled $true -StavalidationSecret <the key you generated in Studio>

ガイダンスと構文について詳しくは、PowerShellコマンドのヘルプを参照してください。

セキュリティキーの管理