Citrix Workspaceアプリをインストールする前提条件

システム要件と互換性

システム要件については、以下の一覧を参照してください:

ハードウェアのシステム要件の画像 ライブラリのシステム要件の画像 コンポーネントのシステム要件の画像1 コンポーネントのシステム要件の画像2 コンポーネントのシステム要件の画像3

*1910リリース以降、オペレーティングシステムが次のGCCバージョン基準を満たしていない場合、Linux向けCitrix Workspaceアプリが正常に動作しないことがあります:

  • x64アーキテクチャ用のGCCバージョン:4.8以降
  • ARMHFアーキテクチャ用のGCCバージョン:4.9以降

互換性マトリックス

Linux向けCitrix Workspaceアプリは、シトリックス製品の現在サポートされているバージョンと互換性があります。シトリックス製品のライフサイクル、および製品のバージョンごとのサポートが停止される時期について詳しくは、シトリックス製品マトリックスを参照してください。

サーバーの要件

StoreFront

StoreFrontのWeb向けCitrix WorkspaceアプリやWeb Interfaceにより、Linux向けCitrix Workspaceアプリ1808以降を使用してブラウザーベースのアクセスを実行できます。これはCitrix Gatewayのプラグインがない場合でも可能です。

StoreFront:

  • StoreFront 3.x、2.6、2.5、2.1

    StoreFrontストアへの直接アクセスを提供します。

  • Web向けWorkspaceアプリが構成されたStoreFront

    StoreFrontストアへのWebブラウザーからのアクセスを提供します。この場合の制限事項については、「Citrix Receiver for Webサイト」の「重要な注意事項」を参照してください。

Web Interface

NetScaler VPNクライアントを使用する場合のWeb Interface:

  • Web Interface 5.4.x for WindowsのWebサイト

    デスクトップやアプリケーションへのWebブラウザーからのアクセスを提供します。

  • XenAppサービスまたはCitrix Virtual Desktopsサービスサイトを備えたWeb Interface 5.4 for Linux

接続と証明書

接続

Linux向けCitrix Workspaceアプリでは、以下の構成のいずれかを介して、HTTP、HTTPS、およびICA-over-TLS接続を確立できます。

  • LAN接続の場合:

    • StoreFrontサービスまたはWeb向けWorkspaceを使用するStoreFront。
    • Web InterfaceまたはXenAppサービスを使用するWeb Interface 5.4 for Windows。
  • セキュアなリモート接続またはローカル接続の場合:

    • Citrix Gateway 12.0
    • NetScalar Gateway 10.1以降
    • NetScaler Access Gateway Enterpriseエディション10
    • NetScaler Access Gateway Enterpriseエディション9.x
    • NetScalar Access Gateway VPX

    StoreFrontでサポートされるCitrix Gatewayのバージョンについては、StoreFrontドキュメントの「システム要件」を参照してください。

証明書

クライアントとサーバー間のトランザクションのセキュリティを保護するために、次の証明書を使用します:

プライベート(自己署名)証明書

リモートゲートウェイにプライベート証明書がインストールされている場合は、組織の証明機関のルート証明書をユーザーデバイスにインストールしないと、Citrix Workspaceアプリを使用してCitrixリソースにアクセスできません。

注:

接続時にリモートゲートウェイの証明書を検証できない場合(ローカルのキーストアにルート証明書が含まれていないため)、信頼されていない証明書の警告が表示されます。ユーザーが警告に対してそのまま続行することを選択した場合、アプリの一覧が表示されますが、アプリの起動に失敗することがあります。ルート証明書をクライアントの証明書ストアにインストールする必要があります。

ルート証明書

ドメイン参加マシンでは、グループポリシーオブジェクト管理用テンプレートを使用してCA証明書を配布および信頼できます。

ドメイン非参加マシンでは、カスタムインストールパッケージを作成して、CA証明書を配布およびインストールできます。詳しくは、システム管理者に問い合わせてください。

ユーザーデバイスへのルート証明書のインストール

TLSを使うには、サーバー証明書の証明機関の署名を確認するためのルート証明書がユーザーデバイスにインストールされている必要があります。Citrix Workspaceアプリでは、デフォルトで以下の証明書がサポートされます。

証明書 証明機関
Class4PCA_G2_v2.pem VeriSign Trust Network
Class3PCA_G2_v2.pem VeriSign Trust Network
BTCTRoot.pem Baltimore Cyber Trust Root
GTECTGlobalRoot.pem GTE Cyber Trust Global Root
Pcs3ss_v4.pem Class 3 Public Primary Certification Authority
GeoTrust_Global_CA.pem GeoTrust
DigiCertGlobalRootCA.pem DigiCert Global Root CA

これらの証明書を使用する場合は、ルート証明書をユーザーデバイスにインストールする必要はありません。ただし、上記の証明機関以外の証明書を使用する場合は、該当する証明機関からルート証明書を取得して、各ユーザーデバイスにインストールする必要があります。

Linux向けCitrix Workspaceアプリは、ビット長1024、2048および、3072のRSAキーをサポートします。さらに、ビット長4096のRSAキーを持つルート証明書がサポートされます。

注:

Linux向けCitrix Workspaceアプリ1808以降は、次の手順で説明されているctx_rehashツールを使用します。

証明機関により発行され、ユーザーデバイスに信頼されていないサーバー証明書を認証するには、StoreFrontストアを追加する前に以下の手順を行ってください:

  1. PEM形式のルート証明書を入手します。 ヒント:PEM形式の証明書が見つからない場合は、opensslユーティリティを使用してCRT形式の証明書をPEMファイルに変換できます。
  2. パッケージをインストールしたユーザー(通常はルート)が、以下の手順を実行します。
    1. ルート証明書を$ICAROOT/keystore/cacertsにコピーします。

    2. 次のコマンドを実行します。

      $ICAROOT/util/ctx_rehash

ワイルドカード証明書

ワイルドカード証明書は、同一ドメイン内の任意のサーバーで個別のサーバー証明書の代わりに使用します。Linux向けCitrix Workspaceアプリはワイルドカード証明書をサポートしますが、組織のセキュリティポリシーに従って使用する必要があります。実際には、サブジェクトの別名(SAN)拡張内のサーバー名の一覧に含まれている証明書などのワイルドカード証明書に代わるものを考慮が必要なことがあります。こういった証明書は、私的証明機関および公的証明機関の両方が発行できます。

中間証明書とCitrix Gateway

証明書チェーンに中間証明書が含まれる場合は、中間証明書をCitrix Gatewayのサーバー証明書に追加する必要があります。詳しくは、Citrix Gatewayのドキュメントで「Configuring Intermediate Certificates」を参照してください。

お使いのStoreFrontサーバーが使用している証明書と一致する中間証明書を提供できない場合、または中間証明書をインストールしてスマートカードユーザーをサポートする場合、StoreFrontストアを追加する前に次の手順を実行します:

  1. 1つまたは複数のPEM形式の中間証明書を別途入手します。

    ヒント:

    PEM形式の証明書が見つからない場合は、opensslユーティリティを使用してCRT形式の証明書をPEMファイルに変換できます。

  2. ユーザー(通常はルート)がパッケージのインストール時に、以下の手順を実行します。

    1. 1つまたは複数のファイルを$ICAROOT/keystore/intcertsにコピーします。

    2. パッケージをインストールしたユーザーとして次のコマンドを実行します。

      $ICAROOT/util/ctx_rehash

サーバー証明書検証ポリシー

Linux向けCitrix Workspaceアプリには、サーバー証明書に関する厳格な検証ポリシーがあります。

重要:

このバージョンのLinux向けCitrix Workspaceアプリをインストールする前に、サーバーまたはゲートウェイの証明書が、ここで説明されているように正しく構成されていることを確認してください。以下の場合、接続できないことがあります:

  • サーバーまたはゲートウェイの構成に間違ったルート証明書が含まれている
  • サーバーまたはゲートウェイ構成にすべての中間証明書が含まれていない
  • サーバーまたはゲートウェイ構成に期限切れまたは無効な中間証明書が含まれている
  • サーバーまたはゲートウェイ構成にクロスルート用中間証明書が含まれていない

Linux向けCitrix Workspaceアプリは、サーバー証明書を検証する時にサーバー(またはゲートウェイ)が提供するすべての証明書を使用するようになりました。以前のリリースのLinux向けCitrix Workspaceアプリ同様、証明書が信頼済みかについても確認します。すべての証明書が信頼済みでない場合、接続に失敗します。

このポリシーは、Webブラウザーの証明書ポリシーより厳格です。多くのWebブラウザーには、多数の信頼済みのルート証明書セットが含まれます。

サーバー(またはゲートウェイ)は、正しい証明書セットで構成する必要があります。不正な証明書のセットを使用すると、Linux向けCitrix Workspaceアプリの接続に失敗することがあります。

以下は、ゲートウェイがこのような有効な証明書で構成されていることを前提としています。この構成は、Linux向けCitrix Workspaceアプリで使用されるルート証明書を正確に確認するために、より厳格な検証が必要なユーザーにお勧めします:

  • 「サーバー証明書サンプル」

  • 「中間証明書サンプル」

  • 「ルート証明書サンプル」

次に、Linux向けCitrix Workspaceアプリはこれらすべての証明書が有効であることを確認します。Linux向けCitrix Workspaceアプリが「ルート証明書サンプル」を信頼済みであることも確認します。Linux向けCitrix Workspaceアプリが「ルート証明書サンプル」を信頼していない場合、接続に失敗します。

重要:

  • 証明機関によっては、複数のルート証明書があります。このような、より厳格な検証が必要であれば、構成で適切なルート証明書が使用されていることを確認してください。例えば、現在同じサーバー証明書を検証できる2つの証明書(「DigiCert」/「GTE CyberTrust Global Root」および「DigiCert Baltimore Root」/「Baltimore CyberTrust Root」)があるとします。ユーザーデバイスによっては、両方のルート証明書が使用できます。その他のデバイスでは、1つの証明書のみを使用できます(「DigiCert Baltimore Root」/「Baltimore CyberTrust Root」)。ゲートウェイで「GTE CyberTrust Global Root」を構成すると、これらのユーザーデバイスでLinux向けCitrix Workspaceアプリの接続に失敗します。どのルート証明書を使用すべきかについては、証明機関のドキュメントを参照してください。また、ルート証明書の有効期限についても注意してください。
  • サーバーやゲートウェイによっては、ルート証明書が構成されていても、送信しないことがあります。この場合、より厳格な検証は機能しません。

以下は、ゲートウェイがこのような有効な証明書で構成されていることを前提としています。通常は、このルート証明書を省略した構成が推奨されます:

  • 「サーバー証明書サンプル」

  • 「中間証明書サンプル」

Linux向けCitrix Workspaceアプリはこれら2つの証明書を使用します。次に、ユーザーデバイスでルート証明書を検索します。正しく検証される証明書が見つかり、信頼済みである場合(「ルート証明書サンプル」など)、接続は成功します。信頼済みの証明書が見つからない場合は、失敗します。この構成では、Linux向けCitrix Workspaceアプリが必要とする中間証明書が提供されますが、Linux向けCitrix Workspaceアプリは任意の有効な、信頼済みのルート証明書を選択できます。

以下は、ゲートウェイがこのような証明書で構成されていることを前提としています:

  • 「サーバー証明書サンプル」

  • 「中間証明書サンプル」

  • 「間違ったルート証明書」

Webブラウザーは、不正なルート証明書を無視することがありますが、Linux向けCitrix Workspaceアプリは不正なルート証明書を無視しないため、接続は失敗します。

証明機関によっては、複数の中間証明書を使用します。この場合、ゲートウェイは通常、以下のようにすべて中間証明書(ルート証明書ではない)で構成されます:

  • 「サーバー証明書サンプル」

  • 「中間証明書サンプル1」

  • 「中間証明書サンプル2」

重要:

  • 証明機関によっては、クロスルート用中間証明書を使用します。これは、複数のルート証明書があり、以前のルート証明書が最新のルート証明書と同時に使用中の状況を想定しています。この場合、少なくとも2つの中間証明書が存在します。たとえば、以前のルート証明書「Class 3 Public Primary Certification Authority」には、関連するクロスルート用中間証明書「VeriSign Class 3 Public Primary Certification Authority - G5」があります。ただし、最新のルート証明書「VeriSign Class 3 Public Primary Certification Authority - G5」も利用可能であり、「Class 3 Public Primary Certification Authority」に置き換わります。このルート証明書はクロスルート用中間証明書を使用しません。
  • クロスルート用中間証明書とルート証明書は、同じサブジェクト名(発行先)です。ただし、クロスルート用中間証明書は、発行者名(発行元)が異なります。これによって、クロスルート用中間証明書と通常の中間証明書(「中間証明書サンプル2」など)を区別できます。

通常は、このルート証明書およびクロスルート用中間証明書を省略した構成が推奨されます:

  • 「サーバー証明書サンプル」

  • 「中間証明書サンプル」

クロスルート用中間証明書をゲートウェイで構成しないでください。これは、ゲートウェイで以前のルート証明書が選択されるようになるのを避けるためです:

  • 「サーバー証明書サンプル」

  • 「中間証明書サンプル」

  • 「クロスルート用中間証明書サンプル」(非推奨)

ゲートウェイでサーバー証明書のみを構成しないでください:

  • 「サーバー証明書サンプル」

この場合、Linux向けCitrix Workspaceアプリはすべての中間証明書を検出できないため、接続に失敗します。

Citrix Workspaceアプリをインストールする前提条件