セキュリティ

サーバーファームとiOS向けCitrix Workspaceアプリ間の通信を保護するには、Citrix Gatewayなど、以下の一連のセキュリティ技術を使用します。

注:

StoreFrontサーバーとユーザーデバイス間の通信を保護するには、Citrix Gatewayを使用することをお勧めします。

  • SOCKSプロキシサーバーまたはSecureプロキシサーバー(セキュリティプロキシサーバー、HTTPSプロキシサーバーとも呼ばれます)。プロキシサーバーでネットワークから外部へのアクセスや外部からネットワークへのアクセスを制限して、iOS向けCitrix Workspaceアプリとサーバー間の接続を制御できます。iOS向けCitrix Workspaceアプリは、SOCKSプロトコルとSecureプロキシプロトコルをサポートしています。
  • Secure Web Gateway。Secure Web GatewayをWeb Interfaceと一緒に使うと、社内ネットワーク上のサーバーにインターネットを介して接続できる、暗号化された安全な単一のアクセスポイントをユーザーに提供できます。
  • Transport Layer Security(TLS)プロトコルによるSSL Relayソリューション。
  • ファイアウォール。ネットワークファイアウォールは、送信先アドレスとポート番号に基づいてパケットを通過させたりブロックしたりできます。サーバーの内部IPアドレスを外部インターネットアドレスにマップするネットワークファイアウォール(つまりNAT(Network Address Translation:ネットワークアドレス変換))を介してiOS向けCitrix Workspaceアプリを使用する場合は、外部アドレスを構成します。

Citrix Gateway

リモートのユーザーがCitrix Gatewayを介してCitrix Endpoint Management環境に接続できるようにするには、StoreFrontと通信するように証明書を構成します。このアクセスを有効にする方法は、Citrix Endpoint Managementのエディションによって異なります。

ネットワークでCitrix Endpoint Managementを展開する場合、Citrix GatewayとStoreFrontを統合することでCitrix Gatewayを経由して内部ユーザーやリモートユーザーがStoreFrontに接続できます。ユーザーは、StoreFrontに接続してXenAppの公開アプリケーションやXenDesktopの仮想デスクトップにアクセスします。ユーザーは、iOS向けCitrix Workspaceアプリを使用して接続を行います。

Secure Web Gateway

このトピックの内容は、Web Interface環境にのみ適用されます。

Secure Web Gatewayを通常モードまたはリレーモードのどちらかで使用して、iOS向けCitrix Workspaceアプリとサーバーの間にセキュアな通信チャネルを提供できます。Secure Web Gatewayを通常モードで使用し、ユーザーがWeb Interface経由で接続する場合は、iOS向けCitrix Workspaceアプリ側での構成は不要です。

iOS向けCitrix WorkspaceアプリがSecure Web Gatewayサーバーに接続するときは、リモートのWeb Interfaceサーバーで構成されている設定が使用されます。

Secure Web Gateway Proxyがセキュリティで保護されたネットワーク内のサーバーにインストールされている場合は、Secure Web Gateway Proxyをリレーモードで使用できます。ただし、リレーモードで使用する場合、Secure Web Gatewayサーバーはプロキシサーバーとして機能するため、iOS向けCitrix Workspaceアプリで次の項目を構成する必要があります:

  • Secure Web Gatewayサーバーの完全修飾ドメイン名(FQDN)。
  • Secure Web Gatewayサーバーのポート番号。Secure Web Gateway Version 2.0では、リレーモードはサポートされていません。

完全修飾ドメイン名には、以下の3つの要素を順に指定する必要があります:

  • ホスト名
  • サブドメイン名
  • 最上位ドメイン名

例えば、my_computer.example.comは完全修飾ドメイン名です。ホスト名(my_computer)、サブドメイン名(example)、最上位ドメイン名(com)が順に指定されています。一般的には、サブドメイン名と最上位ドメイン名の組み合わせ(example.com)をドメイン名といいます。

プロキシサーバー

プロキシサーバーは、ネットワークから外部へのアクセスや外部からネットワークへのアクセスを制限して、iOS向けCitrix Workspaceアプリとサーバー間の接続を制御するために使います。iOS向けCitrix Workspaceアプリは、SOCKSプロトコルとSecureプロキシプロトコルをサポートしています。

iOS向けCitrix WorkspaceアプリでCitrix Virtual Apps and Desktopsサーバーと通信する場合、Web Interfaceサーバー上でリモートで構成されているプロキシサーバー設定が使用されます。

iOS向けCitrix WorkspaceアプリでWebサーバーと通信する場合は、ユーザーデバイス上の既定のWebブラウザーで構成されているプロキシサーバー設定が使用されます。各ユーザーデバイス上の既定のWebブラウザーで、プロキシサーバー設定を構成する必要があります。

ファイアウォール

ネットワークファイアウォールは、送信先アドレスとポート番号に基づいてパケットを通過させたりブロックしたりできます。ファイアウォールが使用されている環境では、iOS向けCitrix WorkspaceアプリとWebサーバーおよびシトリックス製品のサーバーとの通信がファイアウォールでブロックされないように設定する必要があります。このためには、ユーザーデバイスとWebサーバー間のHTTPトラフィック(一般に標準HTTPポート80、またはセキュアなWebサーバーを使用している場合はポート443での通信)がファイアウォールを通過できるように設定します。また、シトリックス製品サーバー通信では、ポート1494とポート2598の受信ICAトラフィックがファイアウォールを通過できるように設定します。

ファイアウォールによるネットワークアドレス変換(NAT:Network Address Translation)を使用している場合は、Web Interfaceを使って内部アドレスから外部アドレスおよびポートへのマッピングを定義できます。たとえば、Citrix Virtual Apps and Desktopsサーバーに代替アドレスが設定されていない場合は、Web InterfaceからiOS向けCitrix Workspaceアプリに代替アドレスが提供されるように設定できます。これにより、iOS向けCitrix Workspaceアプリでのサーバー接続で、外部アドレスおよびポート番号が使用されるようになります。

TLS

iOS向けCitrix WorkspaceアプリはXenApp/XenDesktopとのTLS接続に、以下の暗号の組み合わせを使用したTLS 1.0、1.1、1.2をサポートします:

  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

注:

iOS 9上で実行されているiOS向けCitrix Workspaceアプリは、以下の暗号化の組み合わせをサポートしません:

  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

Transport Layer Security(TLS)は、SSLプロトコルの最新の標準化バージョンです。IETF(Internet Engineering TaskForce)が、TLSの公開標準規格の開発をNetscape Communications社から引き継いだ時に、SSLという名前をTLSに変更しました。

TLSは、サーバーの認証、データの暗号化、メッセージの整合性の確認を行って、データ通信をセキュアに保護します。米国政府機関をはじめとする組織の中には、データ通信を保護するためにTLSの使用を義務付けているところもあります。このような組織では、さらにFIPS 140(Federal Information Processing Standard)などのテスト済み暗号化基準の使用を義務付けられる場合があります。FIPS 140は、暗号化の情報処理規格です。

iOS向けCitrix Workspaceアプリは、ビット長1024、2048および、3072のRSAキーをサポートします。さらに、ビット長4096のRSAキーを持つルート証明書がサポートされます。

注:

iOS向けCitrix Workspaceアプリは、プラットフォーム(iOS)の暗号化機能をiOS向けCitrix WorkspaceアプリとStoreFrontの接続に使用します。

TLSの構成および有効化

TLSのセットアップは、以下の2つの手順で行います:

  1. Citrix Virtual Apps and DesktopsサーバーおよびWeb Interfaceサーバー上でSSL Relayをセットアップし、必要なサーバー証明書を入手してインストールします。
  2. ユーザーデバイス上で、ルート証明書をインストールします。

ユーザーデバイスへのルート証明書のインストール

TLS機能が有効になっているiOS向けCitrix WorkspaceアプリとCitrix Virtual Apps and Desktops間の通信をTLSで保護するには、サーバー証明書の証明機関の署名を認証するためのルート証明書がユーザーデバイスにインストールされている必要があります。

iOSには約100の商用ルート証明書が付属していますが、ほかの証明書を使用する場合は、証明機関から証明書を入手して、それを各ユーザーデバイスにインストールします。

企業の方針によっては、ルート証明書のインストールはエンドユーザーではなく管理者が行う場合があります。ルート証明書を簡単および確実にインストールするには、iOSのキーチェーンにその証明書を追加します。

ルート証明書をキーチェーンに追加するには

  1. 証明書ファイルをメール添付で自分に送信します。
  2. 証明書ファイルをデバイスで開きます。これにより、キーチェーンアクセスが起動します。
  3. プロンプトに従って証明書を追加します。
  4. iOS 10を起動して[iOS設定]>[情報]>[証明書信頼設定]から証明書が信頼されていることを確認します。[証明書信頼設定]で、[ルート証明書の完全な信頼を有効にする]のセクションを参照します。証明書が完全に信頼されていることを確認して下さい。

ルート証明書がインストールされ、TLSが有効なクライアントおよびTLSを使用するすべてのアプリケーションで使用可能になります。

XenApp Servicesサイト

XenApp Servicesサイトを構成するには:

重要:

  • iOS向けCitrix WorkspaceアプリでXenApp Servicesサイトを使用する場合、Citrix Secure Gateway 3.xがサポートされます。
  • iOS向けCitrix WorkspaceアプリでCitrix Virtual Apps Webサイトを使用する場合、Citrix Secure Gateway 3.xがサポートされます。
  • XenApp Servicesサイトでは1要素認証のみがサポートされ、Citrix Virtual Apps Webサイトでは1要素認証および2要素認証がサポートされます。
  • デバイスに組み込まれているすべてのWebブラウザーでサポートされている、Web Interface 5.4を使用する必要があります。

この設定を実行する前に、Citrix GatewayをインストールしてWeb Interfaceと連動するように設定します。これらの手順は運用環境に合わせて適宜変更できます。

Citrix Secure Gateway接続を使用する環境では、iOS向けCitrix Workspaceアプリ上のCitrix Gatewayオプションを設定しないでください。

iOS向けCitrix Workspaceアプリでは、そのユーザーがアクセスできるアプリケーションの情報をXenApp Servicesサイトから取得して、デバイス上で実行中のiOS向けCitrix Workspaceアプリに表示します。これは、Web Interfaceを使用して、従来のSSLベースのCitrix Virtual Apps接続のためにCitrix Gatewayを設定する方法に似ています。Web Interface 5.x上で動作するXenApp Servicesサイトには、この構成機能が組み込まれています。

Citrix Secure Gatewayからの接続をサポートするようにXenApp Servicesサイトを設定します:

  1. XenApp Servicesサイトで[Manage secure client access]>[Edit secure client access]の順に選択します。
  2. [Access Method]を[Gateway Direct]に変更します。
  3. Secure Web Gatewayの完全修飾ドメイン名(FQDN)を入力します。
  4. Secure Ticket Authority(STA)の情報を入力します。

注:

Citrix Secure Gatewayの場合、このサイトに対してCitrix定義のデフォルトのパス(//XenAppServerName/Citrix/PNAgent)を使用することをお勧めします。既定のパスを使用すると、ユーザーはXenApp Servicesサイト内のconfig.xmlファイルのフルパス(//XenAppServerName/CustomPath/config.xmlなど)の代わりに、接続するSecure Web GatewayのFQDNを指定できるようになります。

Citrix Secure Gatewayを構成するには

  1. Citrix Secure Gatewayで、Citrix Secure Gateway構成ウィザードを使ってXenApp Serviceサイトをホストするセキュアなネットワーク内のサーバーと連動するようにCitrix Secure Gatewayを設定します。間接オプションを選択した後、Secure Web GatewayサーバーのFQDNパスを入力し、ウィザードを進めます。
  2. ユーザーデバイスからの接続をテストして、Secure Web Gatewayのネットワークと証明書の割り当てが正しく設定されていることを確認します。

モバイルデバイスを構成するには

  1. Citrix Secure Gatewayアカウントを追加する場合、[アドレス] フィールドに一致するCitrix Secure GatewayサーバーのFQDNを入力します:
    • 既定のパス(/Citrix/PNAgent)を使ってXenApp Servicesサイトを作成した場合は、Secure Web GatewayのFQDNを「FQDNofSecureGateway.companyName.com」のように入力します。
    • 既定のパスを使わずXenApp Servicesサイトのパスをカスタマイズした場合は、config.xmlファイルへのパスを「FQDNofSecureGateway.companyName.com/CustomPath/config.xml」のように入力します。
  2. アカウントを手動で構成する場合は、Citrix Gatewayオプションの [新規アカウント] ダイアログをオフにします。