TLSの構成および有効化

このトピックは、Citrix Virtual Apps and Desktopsのバージョン7.6以降に適用されます。

サーバーのすべてのCitrix Workspaceアプリ通信をTLSで暗号化するには、ユーザーデバイス、Citrix Workspaceアプリ、およびWeb Interfaceサーバー(使用している場合)を構成します。StoreFront通信の保護については、StoreFrontのドキュメントのセキュリティに関するセクションを参照してください。Web Interfaceの保護については、Web Interfaceのドキュメントのセキュリティに関するセクションを参照してください。

前提条件

ユーザーデバイスは、[「システム要件」] で指定された要件を満たす必要があります。(/ja-jp-/citrix-workspace-app-for-windows/system-requirements.html)

このポリシーを使用してTLSオプションを構成します。このオプションにより、Citrix Workspaceアプリで接続先のサーバーを安全に識別して、サーバーとのすべての通信を暗号化できます。

このオプションで、以下が可能になります。

  • TLSの使用を適用する:インターネットを含めて、信頼されていないネットワークを介するすべての接続で、TLSの使用をお勧めします。
  • FIPS(Federal Information Processing Standards)準拠の暗号化の使用を適用し、NIST SP 800-52の推奨セキュリティへの準拠を可能にする。デフォルトでは、これらのオプションは無効になっています。
  • TLSの特定のバージョンおよび特定のTLS暗号の組み合わせの使用を適用する:Windows向けCitrix WorkspaceアプリとCitrix Virtual Apps and Desktops間でTLS 1.0、TLS 1.1、TLS 1.2プロトコルがサポートされます。
  • 特定のサーバーのみに接続する。
  • サーバー証明書の失効を確認する。
  • 特定のサーバー証明書発行ポリシーを確認する。
  • 特定のクライアント証明書を選択する(サーバーが要求するよう構成されている場合)。

グループポリシーオブジェクト管理用テンプレートを使用してTLSサポートを構成する

  1. gpedit.mscを管理者として実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。

    • 1台のコンピューターでポリシーを適用するには、[スタート]メニューからCitrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを起動します。
    • ドメインでポリシーを適用するには、グループポリシー管理コンソールを使用して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを起動します。
  2. [コンピューターの構成]ノードで、[管理用テンプレート][Citrix Workspace][ネットワークルーティング] の順に移動して、[TLSおよびコンプライアンスモードの構成] ポリシーを選択します。

    ローカライズされた画像

  3. [有効] を選択して保護された接続を有効にし、サーバー上の通信を暗号化します。次のオプションを設定します。

    メモ

    保護された接続で、TLSを使用することをお勧めします。

  4. [すべての接続でTLSが必要] を選択することによって、公開アプリケーションおよびデスクトップに対するCitrix Workspaceアプリのすべての通信で強制的にTLSを使用させることができます。

  5. [セキュリティコンプライアンスモード] ドロップダウンリストから、適切なオプションを選択します:

    1. なし – コンプライアンスモードが適用されません。
    2. SP800-52 – SP800-52を選択してNIST SP800-52に準拠します。このオプションは、サーバーまたはゲートウェイをNIST SP 800-52推奨セキュリティに準拠させる場合にのみ選択してください。

      メモ

      [SP800-52]を選択すると、[FIPSを有効にします] が選択されていない場合でも、自動的にFIPS準拠の暗号化が使用されます。Windowsセキュリティオプションの [システム暗号化:暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う] も有効にする必要があります。有効にしない場合、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できないことがあります。

      [SP800-52]を選択した場合、[証明書失効チェックのポリシー][完全なアクセス権のチェック] または [完全なアクセス権のチェックとCRLが必要です] のいずれかも選択する必要があります。

      [SP800-52]を選択すると、Citrix Workspaceアプリはサーバー証明書がNIST SP 800-52の推奨セキュリティに準拠しているかを検証します。サーバー証明書が準拠していない場合、Citrix Workspaceアプリが接続できないことがあります。

    3. FIPSを有効にします - FIPS準拠の暗号化の使用を適用するには、このオプションを選択します。オペレーティングシステムのグループポリシーからWindowsセキュリティオプションの [システム暗号化:暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う] も有効にする必要があります。有効にしない場合、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できないことがあります。
  6. [許可されたTLSサーバー] ドロップダウンリストから、ポート番号を選択します。Citrix Workspaceアプリがコンマ区切りの一覧で指定されたサーバーにのみ接続できるようにします。ワイルド―カードおよびポート番号を指定できます。たとえば、「*.citrix.com:4433」により、共通名が「.citrix.com」で終わるどのサーバーともポート4433での接続が許可されます。セキュリティ証明書の情報の正確さは、証明書の発行者によって異なります。Citrix Workspaceが証明書の発行者を認識して信頼しないと、接続は拒否されます。

  7. [TLSバージョン] ドロップダウンリストから、次のいずれかのオプションを選択します:

    • TLS 1.0、TLS 1.1、またはTLS 1.2 - これはデフォルトの設定です。このオプションは、業務上TLS 1.0との互換性が必要な場合のみお勧めします。

    • TLS 1.1またはTLS 1.2 - このオプションでICA接続がTLS 1.1またはTLS 1.2を使用するようにします。

    • TLS 1.2 - このオプションは、業務上TLS 1.2が必要な場合のみお勧めします。

  8. TLS暗号セット - 特定のTLS暗号セットの使用を適用するには、GOV(行政機関)、COM(営利企業)、ALL(すべて)の中から選択します。一部のCitrix Gateway構成では、COMの選択が必要になることがあります。Citrix Workspaceアプリは、ビット長1024、2048および、3072のRSAキーをサポートします。さらに、ビット長4096のRSAキーを持つルート証明書がサポートされます。

    メモ

    ビット長1024のRSAキーの使用はお勧めしません。

    • 任意:「任意」が設定されると、ポリシーは構成されず次のいずれかの暗号の組み合わせが許可されます:

      1. TLS_RSA_WITH_RC4_128_MD5
      2. TLS_RSA_WITH_RC4_128_SHA
      3. TLS_RSA_WITH_3DES_EDE_CBC_SHA
      4. TLS_RSA_WITH_AES_128_CBC_SHA
      5. TLS_RSA_WITH_AES_256_CBC_SHA
      6. TLS_RSA_WITH_AES_128_GCM_SHA256
      7. TLS_RSA_WITH_AES_256_GCM_SHA384
    • 商用:「商用」が設定されると、次の暗号の組み合わせのみが許可されます:

      1. TLS_RSA_WITH_RC4_128_MD5
      2. TLS_RSA_WITH_RC4_128_SHA
      3. TLS_RSA_WITH_AES_128_CBC_SHA
      4. TLS_RSA_WITH_AES_128_GCM_SHA256
    • 自治体:「自治体」が設定されると、暗号の組み合わせのみが許可されます:

      1. TLS_RSA_WITH_AES_256_CBC_SHA
      2. TLS_RSA_WITH_3DES_EDE_CBC_SHA
      3. TLS_RSA_WITH_AES_128_GCM_SHA256
      4. TLS_RSA_WITH_AES_256_GCM_SHA384
  9. [証明書失効チェックのポリシー] ドロップダウンリストから、次の任意のオプションを選択します。

    • ネットワークアクセスなしでチェックします - 証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアのみが使用されます。すべての配布ポイントが無視されます。証明書失効一覧の検索は、対象のSSL Relay/Citrix Secure Web Gatewayサーバーによって提示されるサーバー証明書の検証に必須ではありません。

    • 完全なアクセス権のチェック - 証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアおよびすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。証明書失効一覧の検出は、ターゲットサーバーで提示されるサーバー証明書の検証に必要ではありません。

    • 完全なアクセス権とCRLのチェックが必要です - ルートCAを除いて証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアおよびすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。すべての必要な証明書失効一覧の検索が、検証において重大な意味を持ちます。

    • すべてに完全なアクセス権とCRLのチェックが必要です - ルートCAを含めた証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアおよびすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。すべての必要な証明書失効一覧の検索が、検証において重大な意味を持ちます。

    • チェックなし - 証明書失効一覧チェックは実行されません。

  10. [ポリシーの拡張OID] を使用して、Citrix Workspaceアプリが特定の証明書の発行ポリシーがあるサーバーにのみ接続するように制限できます。[ポリシーの拡張OID] を選択すると、Citrix Workspaceアプリはポリシーの拡張OIDがあるサーバー証明書のみを受け入れます。

  11. [クライアント認証] ドロップダウンリストから、以下の任意のオプションを選択します:

    • 無効 - クライアント認証が無効になります。

    • 証明書セレクタを表示します - 常にユーザーが証明書を選択するよう求めます。

    • 可能な場合、自動的に選択します - 特定する証明書に選択肢がある場合のみ、ユーザーに表示します。

    • 未構成 - クライアント認証が構成されていないことを意味します。

    • 指定された証明書を使用します - [クライアント証明書]オプションの設定で指定された「クライアント証明書」を使用します。

  12. [Client Certificate] 設定を使用して、識別証明書の拇印を指定します。これにより、ユーザーに不要なプロンプトを表示しないようにすることができます。

  13. [適用] および [OK] をクリックしてポリシーを保存します。

次の表は、各セットの暗号の組み合わせを示しています。

ローカライズされた画像