セキュリティで保護された通信
以下の一連の技術を使用して安全に通信することで、Citrix Workspaceアプリ接続を統合します:
- Citrix Gateway
- ファイアウォール:ネットワークファイアウォールは、送信先アドレスとポート番号に基づいてパケットを通過させたりブロックしたりできます。
- 信頼されたサーバー。
- Citrix Virtual Apps展開環境でのみ(XenDesktop 7には適用されません):SOCKSプロキシサーバーまたはセキュアプロキシサーバー。プロキシサーバーは、ネットワークとのアクセスを制限するのに役立ちます。また、Citrix Workspaceアプリとサーバー間の接続も処理します。Citrix Workspaceアプリは、SOCKSプロトコルとセキュアプロキシプロトコルをサポートしています。
- Citrix Virtual Apps環境でのみ:Transport Layer Security(TLS)プロトコルによるSSL Relayソリューション。
- Citrix Virtual Apps and Desktops 7.6の場合、ユーザーとVDA間で直接SSL接続を有効にできます
送信プロキシのサポート
SmartControlを使用すると、管理者は環境に影響を与えるポリシーを構成して適用できます。たとえば、ユーザーがドライブをリモートデスクトップにマップできないようにしたい場合があります。Citrix GatewayのSmartControl機能を使用して、このような詳細設定を実現できます。
Citrix WorkspaceアプリとCitrix Gatewayが別々のエンタープライズアカウントに属している場合、状況は異なります。このような場合は、クライアントドメインにGatewayが存在しないため、ドメインはSmartControl機能を適用できません。代わりに、送信ICAプロキシを利用できます。送信ICAプロキシ機能を使用すると、Citrix WorkspaceアプリとCitrix Gatewayが異なる組織に展開されている場合でも、スマートコントロール機能を使用できます。
Citrix Workspaceアプリは、NetScaler LANプロキシを使用したセッションの起動をサポートします。送信プロキシプラグインを使用して、単一の静的プロキシを構成するか、実行時にプロキシサーバーを選択します。
送信プロキシは、次の方法を使用して構成できます:
- 静的プロキシ:プロキシのホスト名とポート番号を指定してプロキシサーバーを構成します。
- 動的プロキシ:プロキシプラグインDLLを使用して、1つ以上のプロキシサーバーから1つのプロキシサーバーを選択できます。
グループポリシーオブジェクト管理用テンプレートまたはレジストリエディターを使用して、送信プロキシを構成できます。
送信プロキシについて詳しくは、Citrix Gatewayのドキュメントの「送信ICAプロキシのサポート」を参照してください。
送信プロキシのサポート - 構成
注:
静的プロキシと動的プロキシの両方が構成されている場合は、動的プロキシの構成が優先されます。
GPO管理用テンプレートを使用した送信プロキシの構成:
- gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
- [コンピューターの構成] ノードで、[管理用テンプレート]>[Citrix Workspace]>[ネットワークルーティング] の順に移動します。
- 次のいずれかのオプションを選択します:
- 静的プロキシの場合:[NetScaler LANプロキシを手動で構成する] ポリシーを選択します。[有効] を選択して、ホスト名とポート番号を入力します。
- 動的プロキシの場合:[NetScaler LANプロキシをDLLを使用して構成する] ポリシーを選択します。[有効] を選択して、DLLファイルのフルパスを入力します。たとえば、
C:\Workspace\Proxy\ProxyChooser.dll
などです。
- [適用]、[OK] の順にクリックします。
レジストリエディターを使用して、次のように送信プロキシを構成します:
-
静的プロキシの場合:
- レジストリエディターを起動して、
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler
に移動します。 -
DWORD値キーを次のように作成します:
"StaticProxyEnabled"=dword:00000001
"ProxyHost"="testproxy1.testdomain.com
"ProxyPort"=dword:000001bb
- レジストリエディターを起動して、
-
動的プロキシの場合:
- レジストリエディターを起動して、
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxy
に移動します。 - DWORD値キーを次のように作成します:
"DynamicProxyEnabled"=dword:00000001
"ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"
- レジストリエディターを起動して、
TLS
Transport Layer Security(TLS)は、SSLプロトコルの最新の標準化バージョンです。IETF(Internet Engineering TaskForce)が、TLSの公開標準規格の開発をNetscape Communications社から引き継いだ時に、SSLという名前をTLSに変更しました。
TLSは、サーバーの認証、データの暗号化、メッセージの整合性の確認を行って、データ通信をセキュアに保護します。米国政府機関をはじめとする組織の中には、データ通信を保護するためにTLSの使用を義務付けているところもあります。このような組織では、さらにFIPS 140(Federal Information Processing Standard)などのテスト済み暗号化基準の使用を義務付けられる場合があります。FIPS 140は、暗号化の情報処理規格です。
TLS暗号化を通信メディアとして使用するには、ユーザーデバイスとCitrix Workspaceアプリを構成する必要があります。StoreFront通信の保護については、StoreFrontドキュメントの「セキュリティ」セクションを参照してください。
前提条件:
詳しくは、「システム要件」セクションを参照してください。
このオプションで、以下が可能になります:
- TLSの使用を適用する:インターネットを含めて、信頼されていないネットワークを介する接続で、TLSの使用をお勧めします。
- FIPS(Federal Information Processing Standards)準拠の暗号化の使用を適用し、NIST SP 800-52の推奨セキュリティを遵守します。デフォルトでは、これらのオプションは無効になっています。
- 特定のTLSバージョンおよび特定のTLS暗号の組み合わせの使用を適用する:TLS 1.0、TLS 1.1、TLS 1.2プロトコルがCitrixではサポートされます。
- 特定のサーバーのみに接続する。
- サーバー証明書の失効を確認する。
- 特定のサーバー証明書発行ポリシーを確認する。
- 特定のクライアント証明書を選択する(サーバーが要求するよう構成されている場合)。
次の暗号の組み合わせは、セキュリティを強化するために廃止されました:
- 接頭辞が「TLS_RSA_*」の暗号の組み合わせ
- 暗号の組み合わせRC4および3DES
- TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
- TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
- TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)
- TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
- TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)
- TLS_RSA_WITH_RC4_128_SHA (0x0005)
- TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)
Citrix Workspaceアプリは以下の暗号の組み合わせのみをサポートします:
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384(0xc030)
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384(0xc028)
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(0xc013)
DTLS 1.0ユーザーの場合、Citrix Workspaceアプリは以下の暗号の組み合わせのみをサポートします:
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(0xc013)
TLSのサポート
- gpedit.mscを実行して、Citrix WorkspaceアプリのGPO管理用テンプレートを開きます。
-
[コンピューターの構成] ノードで、[管理用テンプレート]>[Citrix Workspace]>[ネットワークルーティング] の順に移動して、[TLSおよびコンプライアンスモードの構成] ポリシーを選択します。
-
[有効] を選択してセキュリティで保護された接続を有効にし、サーバー上の通信を暗号化します。次のオプションを設定します。
注:
セキュリティで保護された接続で、TLSを使用することをCitrixではお勧めします。
-
[すべての接続でTLSが必要] を選択することによって、公開アプリケーションおよびデスクトップに対するCitrix Workspaceアプリの通信で強制的にTLSを使用させることができます。
-
[セキュリティコンプライアンスモード] メニューから、適切なオプションを選択します:
- なし - コンプライアンスモードが適用されません。
- SP800-52 - SP800-52を選択してNIST SP800-52に準拠します。このオプションは、サーバーまたはゲートウェイをNIST SP 800-52推奨セキュリティに準拠させる場合にのみ選択してください。
注:
[SP800-52] を選択すると、[FIPSを有効にします] が選択されていない場合でも、自動的にFIPS準拠の暗号化が使用されます。Windowsセキュリティオプションの [システム暗号化:暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う] も有効にする必要があります。有効にしない場合、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できないことがあります。
[SP800-52] を選択した場合、[証明書失効チェックのポリシー] で [完全なアクセス権のチェック] または [完全なアクセス権のチェックとCRLが必要です] のいずれかも選択する必要があります。
[SP800-52] を選択すると、Citrix Workspaceアプリはサーバー証明書がNIST SP 800-52の推奨セキュリティに準拠しているかを検証します。サーバー証明書が準拠していない場合、Citrix Workspaceアプリが接続できないことがあります。
- FIPSを有効にします - FIPS準拠の暗号化の使用を適用するには、このオプションを選択します。オペレーティングシステムのグループポリシーからWindowsセキュリティオプションの [システム暗号化:暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う] も有効にする必要があります。有効にしない場合、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できないことがあります。
-
[許可されたTLSサーバー] ドロップダウンメニューから、ポート番号を選択します。コンマ区切りの一覧を使用して、Workspaceアプリが指定されたサーバーにのみ接続できるようにします。ワイルドカードおよびポート番号を指定できます。たとえば、「*.citrix.com: 4433」により、共通名が「.citrix.com」で終わるどのサーバーともポート4433での接続が許可されます。セキュリティ証明書の情報の正確さは、証明書の発行者によって異なります。Citrix Workspaceが証明書の発行者を認識しない、または信頼しないと、接続は拒否されます。
-
[TLSバージョン] メニューから、次のいずれかのオプションを選択します:
-
TLS 1.0、TLS 1.1、またはTLS 1.2 - これはデフォルトの設定です。このオプションは、業務上TLS 1.0との互換性が必要な場合のみお勧めします。
-
TLS 1.1またはTLS 1.2 - このオプションで接続がTLS 1.1またはTLS 1.2を使用するようにします。
-
TLS 1.2 - このオプションは、業務上TLS 1.2が必要な場合のみお勧めします。
- TLS暗号セット - 特定のTLS暗号セットの使用を適用するには、GOV(行政機関)、COM(営利企業)、ALL(すべて)の中から選択します。一部のCitrix Gateway構成では、COMの選択が必要になることがあります。Citrix Workspaceアプリは、ビット長1024、2048および、3072のRSAキーをサポートします。さらに、ビット長4096のRSAキーを持つルート証明書がサポートされます。
注:
ビット長1024のRSAキーの使用はCitrixではお勧めしません。
-
任意:「任意」が設定されると、ポリシーは構成されず次のいずれかの暗号の組み合わせが許可されます:
- TLS_RSA_WITH_RC4_128_MD5
- TLS_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
-
商用:「商用」が設定されると、次の暗号の組み合わせのみが許可されます:
- TLS_RSA_WITH_RC4_128_MD5
- TLS_RSA_WITH_RC4_128_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
-
自治体:「自治体」が設定されると、暗号の組み合わせのみが許可されます:
- TLS_RSA_WITH_AES_256_CBC_SHA
- TLS_RSA_WITH_3DES_EDE_CBC_SHA
- TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_GCM_SHA384
- [証明書失効チェックのポリシー] メニューから、次の任意のオプションを選択します:
-
ネットワークアクセスなしでチェックします - 証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアのみが使用されます。すべての配布ポイントが無視されます。証明書失効一覧の検索は、対象のSSL Relay/Citrix Secure Web Gatewayサーバーによって提示されるサーバー証明書の検証に必須ではありません。
-
完全なアクセス権のチェック - 証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアおよびすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。証明書失効一覧の検索は、対象サーバーによって提示されるサーバー証明書の検証において重大な意味を持ちません。
-
完全なアクセス権とCRLのチェックが必要です - ルート証明機関を除いて証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアおよびすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。すべての必要な証明書失効一覧の検索が、検証において重大な意味を持ちます。
-
すべてに完全なアクセス権とCRLのチェックが必要です - ルートCAを含めた証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアおよびすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。すべての必要な証明書失効一覧の検索が、検証において重大な意味を持ちます。
-
チェックなし - 証明書失効一覧チェックは実行されません。
-
[ポリシーの拡張OID] を使用して、Citrix Workspaceアプリが特定の証明書の発行ポリシーがあるサーバーにのみ接続するように制限できます。[ポリシーの拡張OID] を選択すると、Citrix Workspaceアプリはポリシーの拡張OIDがあるサーバー証明書のみを受け入れます。
-
[クライアント認証] メニューから、以下の任意のオプションを選択します:
-
無効 - クライアント認証が無効になります。
-
証明書セレクタを表示します - 常にユーザーが証明書を選択するよう求めます。
-
可能な場合、自動的に選択します - 特定する証明書に選択肢がある場合のみ、ユーザーに表示します。
-
未構成 - クライアント認証が構成されていないことを意味します。
-
指定された証明書を使用します - [クライアント証明書]オプションの設定で指定された「クライアント証明書」を使用します。
-
[Client Certificate] 設定を使用して、識別証明書の拇印を指定します。これにより、ユーザーに不要なプロンプトを表示しないようにすることができます。
-
[適用] および [OK] をクリックしてポリシーを保存します。
-
次のマトリックスは、内部および外部ネットワーク接続の詳細を提供します:
ファイアウォール
ネットワークファイアウォールは、送信先アドレスとポート番号に基づいてパケットを通過させたりブロックしたりできます。ファイアウォールが使用されている場合、Windows向けCitrix WorkspaceアプリとWebサーバーおよびCitrix製品のサーバーとの通信がファイアウォールでブロックされないように設定する必要があります。
共通のCitrix通信ポート
接続元 | 種類 | ポート | 詳細 |
---|---|---|---|
Citrix Workspaceアプリ | TCP | 80/443 | StoreFrontとの通信 |
ICAまたはHDX | TCP | 1494 | アプリケーションおよび仮想デスクトップへのアクセス |
ICAまたはHDX(セッション画面の保持機能) | TCP | 2598 | アプリケーションおよび仮想デスクトップへのアクセス |
ICAまたはHDX(SSL経由) | TCP | 443 | アプリケーションおよび仮想デスクトップへのアクセス |
ポートについて詳しくは、Knowledge CenterのCTX101810を参照してください。
プロキシサーバー
プロキシサーバーは、ネットワークから外部へのアクセスや外部からネットワークへのアクセスを制限して、Windows向けCitrix Workspaceアプリとサーバー間の接続を制御するために使います。Citrix Workspaceアプリは、SOCKSプロトコルとセキュアプロキシプロトコルをサポートしています。
Citrix Workspaceアプリでサーバーと通信する場合、Web向けWorkspaceを実行するサーバー上でリモートで構成されているプロキシサーバー設定が使用されます。
また、Citrix WorkspaceアプリがWebサーバーと通信するときは、ユーザーデバイス上でデフォルトのWebブラウザーのインターネット設定で構成したプロキシサーバー設定が使用されます。各ユーザーデバイス上のデフォルトのWebブラウザーで、インターネット設定を構成する必要があります。
接続中にCitrix Workspaceアプリがプロキシサーバーを優先するか無視するかについて、レジストリエディターでプロキシ設定を構成します。
警告
レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、シトリックスでは一切責任を負いません。
-
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\AuthManager
にアクセスします。 -
ProxyEnabled(REG_SZ)を設定します。
- True – Citrix Workspaceアプリは接続でプロキシサーバーを優先します。
- False – Citrix Workspaceアプリは接続でプロキシサーバーを無視します。
- Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。
信頼されたサーバー
信頼済みサーバー構成を使用して、Citrix Workspaceアプリの接続で信頼関係を識別し適用できます。
信頼済みサーバーを有効にすることで、Citrix Workspaceアプリは要件を指定し、サーバーへの接続が信頼済みかどうかを判断できます。たとえば、特定のアドレス(https://\*.citrix.com
など)に特定の接続の種類(TLSなど)を使用して接続するCitrix Workspaceアプリは、サーバーの信頼済みゾーンに接続されます。
この機能を有効にすると、接続されたサーバーはWindowsの信頼済みサイトゾーンに配置されます。Windowsの信頼済みサイトゾーンにサーバーを追加する手順について詳しくは、Internet Explorerのオンラインヘルプを参照してください。
グループポリシーオブジェクト管理用テンプレートを使用して信頼済みサーバーの構成を有効にするには
前提要件:
コネクションセンターなどのCitrix Workspaceアプリコンポーネントを終了します。
- gpedit.mscを実行して、Citrix WorkspaceアプリのGPO管理用テンプレートを開きます。
- [コンピューターの構成] ノードで、[管理用テンプレート]>[従来の管理用テンプレート(ADM)]>[Citrixコンポーネント]>[Citrix Workspace]>[ネットワークルーティング]>[信頼済みサーバーの構成を構成します] の順に選択します。
- [有効] を選択して、Citrix Workspaceアプリに領域の識別を適用します。
- [信頼済みサーバーの構成を適用します] を選択します。これによって、クライアントに信頼済みサーバーを使用した識別を適用します。
- [Windowsインターネットゾーン] ドロップダウンメニューから、クライアントのサーバーアドレスを選択します。この設定はWindowsの信頼済みサイトにのみ適用できます。
- [アドレス] フィールドで、Windows以外の信頼済みサイトゾーンのクライアントのサーバーアドレスを設定します。コンマ区切り一覧を使用できます。
- [OK] および [適用] をクリックします。
ICAファイルの署名
ICAファイル署名機能は、認証していないアプリケーションやデスクトップの起動を回避するために役立ちます。Citrix Workspaceアプリは、信頼できるソースからアプリケーションまたはデスクトップが起動されることを管理ポリシーに基づいて検証し、信頼されていないサーバーからの起動を防ぎます。グループポリシーオブジェクトの管理用テンプレートまたはStoreFrontを使用して、ICAファイルの署名を構成できます。ICAファイル署名はデフォルトで無効になっています。
StoreFrontに対するICAファイル署名については、StoreFrontのドキュメントの「ICAファイル署名の有効化」を参照してください。
ICAファイルの署名の構成
注:
CitrixBase.admx\admlがローカルGPOに追加されないと、[ICAファイルの署名を有効にします] ポリシーが表示されないことがあります。
- gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
- [コンピューターの構成] ノードで、[管理用テンプレート]>[Citrixコンポーネント] に移動します。
-
[ICAファイルの署名を有効にします] を選択し、必要に応じて次のいずれかのオプションを選択します。
- 有効 - 署名証明書の拇印を信頼された機関からの証明書の拇印のホワイトリストに追加できます。
- 信頼証明書 - [表示] をクリックして、ホワイトリストから既存の署名証明書の拇印を削除します。署名証明書のサムプリントは署名証明書のプロパティからコピーして貼り付けることができます。
- セキュリティポリシー - メニューから次のいずれかのオプションを選択します。
- 署名による起動のみを許可します(安全性が高い):信頼できるサーバーからの署名されたアプリケーションまたはデスクトップの起動のみを許可します。無効な署名があると、セキュリティ警告が表示されます。認証されていないため、セッションを開始できません。
- 署名されていない起動(安全性が低い)でユーザーにプロンプトを表示します:署名されていないセッション、または署名が無効なセッションが開始されると、メッセージが表示されます。起動を続行するか、起動をキャンセルするか(デフォルト)を選択できます。
- [適用] および [OK] をクリックしてポリシーを保存します。
- Citrix Workspaceアプリのセッションを再起動して、この変更を適用します。
デジタル署名証明書を選択して配布するには:
デジタル署名証明書を選択するときは、次の一覧の上位のオプションから順にお勧めします:
- 周知の証明機関からコード署名証明書またはSSL署名証明書を購入する。
- 社内に証明機関がある場合はその証明機関を使用して、コード署名証明書またはSSL署名証明書を作成する。
- 既存のSSL証明書を使用する。
- ルート証明書を作成して、GPOまたは手動インストールによりユーザーデバイスに配布する。