セキュアな通信

• Citrix Virtual Apps and DesktopsサーバーとCitrix Workspaceアプリ間の通信を保護するために、Citrix Workspaceアプリ接続を次のようなさまざまなセキュアなテクノロジーを使用して統合できます。

• Citrix Gateway: 詳細については、このセクションのトピック、Citrix Gateway、およびStoreFrontのドキュメントを参照してください。
• ファイアウォール: ネットワークファイアウォールは、宛先アドレスとポートに基づいてパケットを許可またはブロックできます。
• Transport Layer Security (TLS) バージョン1.2および1.3がサポートされています。
• Citrix Workspaceアプリ接続で信頼関係を確立するための信頼済みサーバー。
• ICA®ファイル署名
• ローカルセキュリティ機関 (LSA) 保護
• Citrix Virtual Apps展開専用のプロキシサーバー: SOCKSプロキシサーバーまたはセキュアプロキシサーバー。プロキシサーバーは、ネットワークへのアクセスとネットワークからのアクセスを制限するのに役立ちます。また、Citrix Workspaceアプリとサーバー間の接続も処理します。Citrix WorkspaceアプリはSOCKSおよびセキュアプロキシプロトコルをサポートしています。
  • アウトバウンドプロキシ

Citrix Gateway

-  Citrix Gateway（旧称Access Gateway）は、StoreFrontストアへの接続を保護します。また、管理者がデスクトップおよびアプリケーションへのユーザーアクセスを詳細に制御できるようにします。

Citrix Gatewayを介してデスクトップおよびアプリケーションに接続するには：

-  1.  管理者が提供するCitrix GatewayのURLを、次のいずれかの方法で指定します。

-  セルフサービスユーザーインターフェイスを初めて使用するときに、**アカウントの追加**ダイアログボックスでURLの入力を求められます。
-  後でセルフサービスユーザーインターフェイスを使用する場合は、**基本設定** > **アカウント** > **追加**をクリックしてURLを入力します。
-  storebrowseコマンドで接続を確立する場合は、コマンドラインでURLを入力します

URLはゲートウェイと、オプションで特定のストアを指定します。

• Citrix Workspaceアプリが最初に見つけるストアに接続するには、次の形式のURLを使用します。

  • https://gateway.company.com

• 特定のストアに接続するには、たとえば、https://gateway.company.com?<storename>のような形式のURLを使用します。この動的URLは非標準形式です。URLに「=」（等号文字）を含めないでください。storebrowseで特定のストアへの接続を確立する場合は、storebrowseコマンドでURLを引用符で囲む必要がある場合があります。

1. プロンプトが表示されたら、ユーザー名、パスワード、およびセキュリティトークンを使用してストア（ゲートウェイ経由）に接続します。この手順の詳細については、Citrix Gatewayのドキュメントを参照してください。

認証が完了すると、デスクトップとアプリケーションが表示されます。

ファイアウォール経由の接続

• ネットワークファイアウォールは、宛先アドレスとポートに基づいてパケットを許可またはブロックできます。ファイアウォールを使用している場合、Windows向けCitrix Workspaceアプリは、WebサーバーとCitrixサーバーの両方とファイアウォールを介して通信できます。

• 一般的なCitrix通信ポート

• ソース

  タイプ

  ポート

  詳細

• Citrix Workspaceアプリ

  TCP

  80/443

  StoreFrontとの通信

• ICAまたはHDX

  TCP/UDP

  1494

  アプリケーションおよび仮想デスクトップへのアクセス

• セッションの信頼性を備えたICAまたはHDX

  TCP/UDP

  2598

  アプリケーションおよび仮想デスクトップへのアクセス

• TLS経由のICAまたはHDX

  TCP/UDP

  443

  アプリケーションおよび仮想デスクトップへのアクセス

• ポートの詳細については、Knowledge Centerの記事CTX101810を参照してください。

Transport Layer Security

Transport Layer Security (TLS) は、SSL (Secure Sockets Layer) プロトコルの後継です。Internet Engineering Taskforce (IETF) は、TLSの開発責任をオープンスタンダードとして引き継いだときに、その名称をTLSに変更しました。

TLSは、サーバー認証、データストリームの暗号化、およびメッセージ整合性チェックを提供することにより、データ通信を保護します。米国政府機関を含む一部の組織では、データ通信を保護するためにTLSの使用を義務付けています。これらの組織は、Federal Information Processing Standard (FIPS) 140などの検証済み暗号化の使用も義務付けている場合があります。FIPS 140は暗号化の標準です。

TLS暗号化を通信媒体として使用するには、ユーザーデバイスとCitrix Workspaceアプリを構成する必要があります。StoreFront通信の保護については、StoreFrontドキュメントの保護セクションを参照してください。VDAの保護については、Citrix Virtual Apps and DesktopsドキュメントのTransport Layer Security (TLS)を参照してください。

次のポリシーを使用して、以下を行うことができます。

• TLSの使用を強制する: インターネットを含む信頼されていないネットワークを使用する接続には、TLSを使用することをお勧めします。
• FIPS (Federal Information Processing Standards) の使用を強制する: 承認された暗号化を使用し、NIST SP 800-52の推奨事項に従います。これらのオプションはデフォルトで無効になっています。
• 特定のバージョンのTLSと特定のTLS暗号スイートの使用を強制する: CitrixはTLS 1.2および1.3プロトコルをサポートしています。
• 特定のサーバーにのみ接続する。
• サーバー証明書の失効を確認する。
• 特定のサーバー証明書発行ポリシーを確認する。
• サーバーがクライアント証明書を要求するように構成されている場合、特定のクライアント証明書を選択する。

Windows向けCitrix Workspaceアプリは、TLS 1.2および1.3プロトコルで次の暗号スイートをサポートしています。

• TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

重要:

セキュリティ強化のため、以下の暗号スイートは非推奨です。

-  RC4および3DES暗号スイート
-  プレフィックス「TLS_RSA_*」を持つ暗号スイート

-  > -  TLS_RSA_WITH_AES_256_GCM_SHA384 (0x009d)
-  > -  TLS_RSA_WITH_AES_128_GCM_SHA256 (0x009c)
-  > -  TLS_RSA_WITH_AES_256_CBC_SHA256 (0x003d)

-  TLS_RSA_WITH_AES_256_CBC_SHA (0x0035)
-  TLS_RSA_WITH_AES_128_CBC_SHA (0x002f)

-  > -  TLS_RSA_WITH_RC4_128_SHA (0x0005)
-  > -  TLS_RSA_WITH_3DES_EDE_CBC_SHA (0x000a)

-  ### TLSのサポート

1. gpedit.mscを実行して、Citrix WorkspaceアプリGPO管理用テンプレートを開きます。

2. コンピューターの構成ノードの下で、管理用テンプレート > Citrix Workspace > ネットワークルーティングに移動し、TLSおよびコンプライアンスモード構成ポリシーを選択します。

   • 

   • 1. セキュアな接続を有効にし、サーバー上の通信を暗号化するには、有効を選択します。以下のオプションを設定します。

   注：

   Citrixでは、セキュアな接続にTLSを推奨しています。

   1. 公開アプリケーションおよびデスクトップへの接続にCitrix WorkspaceアプリがTLSを使用するように強制するには、すべての接続にTLSを要求を選択します。

   2. セキュリティコンプライアンスモードメニューから、適切なオプションを選択します。

      1. なし - コンプライアンスモードは適用されません。
      2. SP800-52 - NIST SP 800-52への準拠のためにSP800-52を選択します。このオプションは、サーバーまたはゲートウェイがNIST SP 800-52の推奨事項に従っている場合にのみ選択してください。

      注：

      -  >
      -  > **SP800-52**を選択すると、**FIPSを有効にする**が選択されていなくても、FIPS承認済み暗号化が自動的に使用されます。また、Windowsのセキュリティオプションである**システム暗号化：暗号化、ハッシュ化、および署名にFIPS準拠アルゴリズムを使用する**を有効にしてください。そうしないと、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できない場合があります。
      

      SP800-52を選択した場合、証明書失効チェックポリシー設定を完全アクセスチェックとCRL必須に設定します。

      SP800-52を選択すると、Citrix Workspaceアプリはサーバー証明書がNIST SP 800-52の推奨事項に従っていることを検証します。サーバー証明書が準拠していない場合、Citrix Workspaceアプリは接続に失敗する可能性があります。

      1. FIPSを有効にする - FIPS承認済み暗号化の使用を強制するには、このオプションを選択します。また、オペレーティングシステムのグループポリシーからWindowsのセキュリティオプションであるシステム暗号化：暗号化、ハッシュ化、および署名にFIPS準拠アルゴリズムを使用するを有効にしてください。そうしないと、Citrix Workspaceアプリが公開アプリケーションおよびデスクトップに接続できない場合があります。

   3. 許可されたTLSサーバードロップダウンメニューから、ポート番号を選択します。Citrix Workspaceアプリが指定されたサーバーにのみ接続するように、コンマ区切りのリストを使用します。ワイルドカードとポート番号を指定できます。たとえば、*.citrix.com: 4433は、共通名が.citrix.comで終わり、ポート4433を使用する任意のサーバーへの接続を許可します。証明書の発行者は、セキュリティ証明書内の情報の正確性を主張します。Citrix Workspaceが発行者を認識または信頼しない場合、接続は拒否されます。

• 1. TLSバージョンメニューから、以下のいずれかのオプションを選択します。

  • TLS 1.0、TLS 1.1、またはTLS 1.2 - これはデフォルト設定であり、互換性のためにTLS 1.0のビジネス要件がある場合にのみ推奨されます。

  • TLS 1.1またはTLS 1.2 - 接続がTLS 1.1またはTLS 1.2のいずれかを使用するようにするには、このオプションを使用します。

  • TLS 1.2 - TLS 1.2がビジネス要件である場合、このオプションが推奨されます。

  1. TLS暗号スイート - 特定のTLS暗号スイートの使用を強制するには、Government (GOV)、Commercial (COM)、またはAll (ALL)を選択します。

  2. 証明書失効チェックポリシーメニューから、以下のいずれかを選択します。

  • ネットワークアクセスなしでチェック - 証明書失効リストのチェックが実行されます。ローカルの証明書失効リストストアのみが使用されます。すべての配布ポイントは無視されます。ターゲットのSSLリレー/Citrix Secure Web Gatewayサーバーから利用可能なサーバー証明書を検証する証明書失効リストのチェックは必須ではありません。

  • 完全アクセスチェック - 証明書失効リストのチェックが実行されます。ローカルの証明書失効リストストアとすべての配布ポイントが使用されます。証明書の失効情報が見つかった場合、接続は拒否されます。ターゲットサーバーから利用可能なサーバー証明書を検証するための証明書失効リストのチェックは重要ではありません。

  • 完全アクセスチェックとCRL必須 - ルート証明機関を除く証明書失効リストのチェックが実行されます。ローカルの証明書失効リストストアとすべての配布ポイントが使用されます。証明書の失効情報が見つかった場合、接続は拒否されます。必要なすべての証明書失効リストを見つけることは、検証にとって重要です。

  • 完全アクセスチェックとCRL必須（すべて） - ルートCAを含む証明書失効リストのチェックが実行されます。ローカルの証明書失効リストストアとすべての配布ポイントが使用されます。証明書の失効情報が見つかった場合、接続は拒否されます。必要なすべての証明書失効リストを見つけることは、検証にとって重要です。

  • チェックなし - 証明書失効リストのチェックは実行されません。

  1. ポリシー拡張OIDを使用すると、Citrix Workspaceアプリが特定の証明書発行ポリシーを持つサーバーにのみ接続するように制限できます。ポリシー拡張OIDを選択すると、Citrix Workspaceアプリはポリシー拡張OIDを含むサーバー証明書のみを受け入れます。

  2. クライアント認証メニューから、以下のいずれかを選択します。

  • 無効 - クライアント認証は無効になります。

  • 証明書セレクターを表示 - 常にユーザーに証明書の選択を求めます。

  • 可能な場合は自動的に選択 - 識別する証明書の選択肢がある場合にのみ、ユーザーにプロンプトを表示します。

  • 未構成 - クライアント認証が構成されていないことを示します。

  • 指定された証明書を使用 - [クライアント証明書] オプションで設定されているクライアント証明書を使用します。

  1. クライアント証明書設定を使用して、識別証明書のサムプリントを指定し、ユーザーへの不要なプロンプト表示を回避します。

  2. 適用とOKをクリックしてポリシーを保存します。

TLSプロトコルバージョン1.3のサポート

バージョン2409以降、Citrix WorkspaceアプリはTransport Layer Securityプロトコル (TLS) バージョン1.3をサポートします。

注:

この機能強化には、VDAバージョン2303以降が必要です。

この機能はデフォルトで有効になっています。無効にするには、次の手順を実行します。

1. [ファイル名を指定して実行] コマンドで regedit を使用してレジストリエディターを開きます。
2. HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Citrix\ICA Client\TLS1.3 に移動します。
3. EnableTLS1.3 という名前でDWORDキーを作成し、そのキーの値を 0 に設定します。

制限事項:

• Access GatewayまたはNetScaler Gateway Serviceを使用する接続はTLS 1.3の使用を試みます。ただし、Access GatewayおよびNetScaler Gateway ServiceはまだTLS 1.3をサポートしていないため、これらの接続はTLS 1.2にフォールバックします。
  • TLS 1.3をサポートしないVDAバージョンへの直接接続は、TLS 1.2にフォールバックします。

信頼済みサーバー

信頼済みサーバー接続の強制

信頼済みサーバー構成ポリシーは、Citrix Workspaceアプリ接続における信頼関係を識別し、強制します。

このポリシーを使用すると、管理者はクライアントが接続する公開アプリケーションまたはデスクトップを識別する方法を制御できます。クライアントは、接続における信頼レベル（信頼ゾーンと呼ばれます）を決定します。その後、信頼ゾーンによって、接続に対するクライアントの構成方法が決定されます。

このポリシーを有効にすると、信頼済みゾーンにないサーバーへの接続が防止されます。

デフォルトでは、ゾーンの識別はクライアントが接続するサーバーのアドレスに基づいています。信頼済みゾーンのメンバーであるためには、サーバーはWindowsの信頼済みサイトゾーンのメンバーである必要があります。これは、Windowsインターネットゾーン設定を使用して構成できます。

-  あるいは、Windows以外のクライアントとの互換性のために、グループポリシーの**アドレス**設定を使用してサーバーアドレスを具体的に信頼できます。サーバーアドレスは、ワイルドカードの使用をサポートするサーバーのコンマ区切りリストである必要があります。例: `cps*.citrix.com`。

前提条件:

• Citrix Workspaceアプリ for Windowsバージョン2409以降がインストールされていることを確認します。

  • 内部ストアフロントを使用し、WindowsインターネットオプションでホストFQDNを使用する場合は、DDCでDNS解決をTrueに設定します。詳細については、Knowledge Centerの記事CTX135250を参照してください。

  • 注:

    WindowsインターネットセキュリティゾーンオプションでIPアドレスが使用されている場合、DDCでの変更は不要です。

• 次の表に従って、最新のICAクライアントポリシーテンプレートをコピーして貼り付けます。

• |–|–|–|

• receiver.admx	Installation Directory\ICA Client\Configuration\receiver.admx	%systemroot%\policyDefinitions
  CitrixBase.admx	Installation Directory\ICA Client\Configuration\CitrixBase.admx	%systemroot%\policyDefinitions
  receiver.adml	Installation Directory\ICA Client\Configuration[MUIculture]receiver.adml	%systemroot%\policyDefinitions[MUIculture]
  CitrixBase.adml	Installation Directory\ICA Client\Configuration[MUIculture]\CitrixBase.adml	%systemroot%\policyDefinitions[MUIculture]

注:

• Citrix Workspaceアプリ for Windowsバージョン2409以降に含まれる最新の.admxおよび.admlファイルを使用していることを確認してください。構成の詳細については、グループポリシードキュメントを参照してください。

• 実行中のCitrix Workspaceアプリのインスタンスをすべて閉じ、システムトレイから終了します。

  • 

グループポリシーオブジェクト管理用テンプレートを使用して、信頼済みサーバー構成を有効にするには、次の手順を実行します。

• 1. gpedit.msc を実行して、Citrix Workspaceアプリのグループポリシーオブジェクト管理用テンプレートを開きます。
     • 1. コンピューターの構成ノードで、管理用テンプレート > Citrixコンポーネント > Citrix Workspace > ネットワークルーティング に移動します。
  • x64展開の場合は、x64マシンで信頼済みサーバー構成を構成を選択します。
  • x86展開の場合は、x86マシンで信頼済みサーバー構成を構成を選択します。

• 

  • 1. 選択したポリシーを有効にし、信頼済みサーバー構成を適用チェックボックスをオンにします。

1. Windowsインターネットゾーンドロップダウンメニューから、信頼済みを選択します。

   

• 注：

• アドレスドロップダウンリストからオプションを選択する必要はありません。

1. OKをクリックし、適用をクリックします。
2. 同じログオンユーザーがCitrixリソースを公開している場合、以下の手順に進むか、別のユーザーでログインできます。

• 1. Windowsのインターネットオプションを開き、信頼済みサイト > サイトに移動して、ドメインアドレスまたはVDA FQDNを追加します。

• 注：

• この機能をテストするために、無効なドメイン*.test.com、または特定の無効または有効なVDA FQDNを追加できます。

  

1. 設定に応じて、信頼済みサーバー構成ポリシーの構成内のWindowsインターネットゾーンでのゾーン選択に基づいて、信頼済みまたはローカルイントラネットサイトに変更します。

   詳しくは、認証セクションのInternet Explorerの設定を変更するを参照してください。

2. 管理者コマンドプロンプトを使用するか、システムを再起動して、Citrix Workspaceアプリがインストールされているターゲットデバイスのグループポリシーを更新します。
3. 信頼済みサーバー構成の構成ポリシー内のWindowsインターネットゾーンでのゾーン選択に基づいて、内部StoreFront FQDNがローカルイントラネットゾーンまたは信頼済みサイトゾーンに追加されていることを確認します。詳しくは、認証セクションのInternet Explorerの設定を変更するを参照してください。また、Gatewayストアの場合、Gateway URLが信頼済みサイトに追加されていることを確認してください。
4. Citrix Workspaceアプリまたは公開されたリソースを開き、機能を検証します。

注：

上記のステップを設定していない場合、セッションの起動に失敗し、次のエラーメッセージが表示されることがあります。

回避策として、GPOで信頼済みサーバー構成の構成ポリシーを無効にすることができます。

クライアントの選択的信頼

サーバーへの接続を許可または防止するだけでなく、クライアントは領域を使用してファイル、マイク、またはWebカメラ、SSOアクセスを識別します。

ユーザーが領域のデフォルト値を選択した場合、次のダイアログボックスが表示されることがあります。

管理者は、グループポリシーまたはレジストリを使用してクライアントの選択的信頼レジストリキーを作成および構成することで、このデフォルトの動作を変更できます。クライアントの選択的信頼レジストリキーの構成方法について詳しくは、Knowledge Centerの記事CTX133565を参照してください。

ローカルセキュリティ機関（LSA）保護

Citrix Workspaceアプリは、システムのローカルセキュリティのあらゆる側面に関する情報を維持するWindowsローカルセキュリティ機関（LSA）保護をサポートしています。このサポートにより、ホストされたデスクトップにLSAレベルのシステム保護が提供されます。

プロキシサーバー経由の接続

プロキシサーバーは、ネットワークへのアクセスを制限し、Windows向けCitrix Workspaceアプリとサーバー間の接続を処理するために使用されます。Citrix WorkspaceアプリはSOCKSおよびセキュアプロキシプロトコルをサポートしています。

サーバーと通信する場合、Citrix Workspaceアプリは、Web用ワークスペースを実行しているサーバーでリモートで構成されたプロキシサーバー設定を使用します。

Webサーバーと通信する場合、Citrix Workspaceアプリは、ユーザーデバイスのデフォルトWebブラウザのインターネット設定を通じて構成されたプロキシサーバー設定を使用します。ユーザーデバイスのデフォルトWebブラウザのインターネット設定を適切に構成してください。

StoreFrontのICAファイルを介してプロキシ設定を適用するには、Knowledge Centerの記事CTX136516を参照してください。

EDTのSOCKS5プロキシサポート

以前、Citrix WorkspaceアプリはTCPで動作するHTTPプロキシのみをサポートしていました。しかし、SOCKS5プロキシ機能はVirtual Delivery Agent（VDA）内で既に完全にサポートされていました。VDAサポートの詳細については、Rendezvous V2ドキュメントを参照してください。

バージョン2409以降、Citrix WorkspaceアプリはEnlightened Data Transport（EDT）用のSOCKS5プロキシをサポートし、最新のエンタープライズネットワーク構成との互換性を強化しています。

主要な利点:

• プロキシ互換性の拡張: TCPおよびUDPトラフィックの両方をサポートするため、企業ネットワークチームで広く使用されているSOCKS5プロキシを介してシームレスに接続できます。
• EDTパフォーマンスの向上: Citrix Workspaceアプリセッション内で最適化されたデータ転送のために、EDT（UDPベース）のすべての利点を活用できます。

この機能はデフォルトで無効になっています。この機能を有効にするには、次の手順を実行します。

1. gpedit.mscを実行して、Citrix WorkspaceアプリGPO管理用テンプレートを開きます。

2. [コンピューターの構成] ノードで、[管理用テンプレート] > [Citrix Workspace] > [ネットワークルーティング] > [プロキシ] > [クライアントプロキシ設定の構成] に移動し、プロキシの種類を選択します。

3. 次のパラメーターを設定します。

   • ProxyType: SocksV5
   • ProxyHost: プロキシサーバーのアドレスを指定します。

詳細については、ICA設定リファレンスおよびKnowledge Centerの記事CTX136516を参照してください。

アウトバウンドプロキシのサポート

SmartControlを使用すると、管理者は環境に影響を与えるポリシーを構成および適用できます。たとえば、ユーザーがリモートデスクトップにドライブをマッピングすることを禁止したい場合があります。Citrix GatewayのSmartControl機能を使用すると、このような詳細な設定が可能です。

Citrix WorkspaceアプリとCitrix Gatewayが別々の企業アカウントに属している場合、シナリオは異なります。このような場合、ゲートウェイがドメイン上に存在しないため、クライアントドメインはSmartControl機能を適用できません。その場合は、アウトバウンドICAプロキシを使用できます。アウトバウンドICAプロキシ機能を使用すると、Citrix WorkspaceアプリとCitrix Gatewayが異なる組織に展開されている場合でも、SmartControl機能を使用できます。

Citrix Workspaceアプリは、NetScaler LANプロキシを使用したセッション起動をサポートしています。アウトバウンドプロキシプラグインを使用して、単一の静的プロキシを構成するか、実行時にプロキシサーバーを選択します。

アウトバウンドプロキシは、次の方法で構成できます。

• 静的プロキシ: プロキシサーバーは、プロキシホスト名とポート番号を指定して構成されます。
• 動的プロキシ: プロキシプラグインDLLを使用して、1つ以上のプロキシサーバーの中から単一のプロキシサーバーを選択できます。

アウトバウンドプロキシは、グループポリシーオブジェクト管理用テンプレートまたはレジストリエディターを使用して構成できます。

アウトバウンドプロキシの詳細については、Citrix GatewayドキュメントのアウトバウンドICAプロキシのサポートを参照してください。

アウトバウンドプロキシのサポート - 設定

注:

静的プロキシと動的プロキシの両方が構成されている場合、動的プロキシの構成が優先されます。

GPO管理用テンプレートを使用したアウトバウンドプロキシの構成:

1. gpedit.mscを実行して、Citrix Workspaceアプリグループポリシーオブジェクト管理用テンプレートを開きます。
2. [コンピューターの構成] ノードで、[管理用テンプレート] > [Citrix Workspace] > [ネットワークルーティング] に移動します。
3. 次のいずれかのオプションを選択します。
   • 静的プロキシの場合: [NetScaler® LANプロキシを手動で構成] ポリシーを選択します。[有効] を選択し、ホスト名とポート番号を指定します。
   • 動的プロキシの場合: [DLLを使用してNetScaler LANプロキシを構成] ポリシーを選択します。[有効] を選択し、DLLファイルへの完全なパスを指定します。例: C:\Workspace\Proxy\ProxyChooser.dll
4. [適用] および [OK] をクリックします。

レジストリエディターを使用したアウトバウンドプロキシの構成:

• 静的プロキシの場合:
  • レジストリエディターを起動し、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScalerに移動します。

  • 次のようにDWORD値キーを作成します。

    "StaticProxyEnabled"=dword:00000001 "ProxyHost"="testproxy1.testdomain.com "ProxyPort"=dword:000001bb

• 動的プロキシの場合:

  • レジストリエディターを起動し、HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Citrix\ICA Client\Engine\Network Routing\Proxy\NetScaler LAN Proxyに移動します。
  • 次のようにDWORD値キーを作成します。 "DynamicProxyEnabled"=dword:00000001 "ProxyChooserDLL"="c:\\Workspace\\Proxy\\ProxyChooser.dll"

接続と証明書

接続

• HTTPストア
• HTTPSストア
• Citrix Gateway 10.5以降

証明書

注：

Citrix Workspaceアプリ for Windowsはデジタル署名されています。デジタル署名にはタイムスタンプが付与されています。そのため、証明書の有効期限が切れた後でも、証明書は有効です。

• プライベート (自己署名)
• ルート
• ワイルドカード
• 中間

プライベート (自己署名) 証明書

リモートゲートウェイにプライベート証明書が存在する場合、Citrixリソースにアクセスするユーザーデバイスに、組織の証明機関のルート証明書をインストールします。

注：

接続時にリモートゲートウェイの証明書を検証できない場合、信頼されていない証明書の警告が表示されます。この警告は、ローカルのキーストアにルート証明書がない場合に表示されます。ユーザーが警告を無視して続行することを選択した場合、アプリは表示されますが、起動できません。

ルート証明書

ドメイン参加済みコンピューターの場合、グループポリシーオブジェクトの管理用テンプレートを使用して、CA証明書を配布および信頼できます。

ドメインに参加していないコンピューターの場合、組織はカスタムインストールパッケージを作成してCA証明書を配布およびインストールできます。詳細については、システム管理者に問い合わせてください。

ワイルドカード証明書

ワイルドカード証明書は、同じドメイン内のサーバーで使用されます。

Citrix Workspaceアプリはワイルドカード証明書をサポートしています。組織のセキュリティポリシーに従ってワイルドカード証明書を使用してください。ワイルドカード証明書の代替として、サーバー名のリストとサブジェクト代替名 (SAN) 拡張機能を持つ証明書があります。プライベートおよびパブリックの証明機関がこれらの証明書を発行します。

中間証明書

証明書チェーンに中間証明書が含まれている場合、中間証明書はCitrix Gatewayサーバー証明書に追加する必要があります。詳細については、「中間証明書の構成」を参照してください。

証明書失効リスト

証明書失効リスト (CRL) を使用すると、Citrix Workspaceアプリはサーバーの証明書が失効しているかどうかを確認できます。証明書チェックにより、サーバーの暗号化認証と、ユーザーデバイスとサーバー間のTLS接続全体のセキュリティが向上します。

CRLチェックは複数のレベルで有効にできます。たとえば、Citrix Workspaceアプリがローカル証明書リストのみをチェックするように、またはローカルとネットワークの証明書リストの両方をチェックするように構成できます。また、すべてのCRLが検証された場合にのみユーザーがログオンできるように、証明書チェックを構成することもできます。

ローカルコンピューターで証明書チェックを構成する場合は、Citrix Workspaceアプリを終了します。Connection Centerを含むすべてのCitrix Workspaceコンポーネントが閉じていることを確認してください。

詳細については、「Transport Layer Security」セクションを参照してください。

中間者攻撃を軽減するためのサポート

Citrix Workspaceアプリ for Windows は、Microsoft WindowsのEnterprise Certificate Pinning機能を使用して、中間者攻撃のリスクを軽減するのに役立ちます。中間者攻撃とは、攻撃者が、互いに直接通信していると信じている2者間のメッセージを密かに傍受して中継するサイバー攻撃の一種です。

以前は、ストアサーバーに接続する際、受信した応答が意図したサーバーからのものであるかどうかを確認する方法がありませんでした。Microsoft WindowsのEnterprise Certificate Pinning機能を使用すると、サーバーの証明書をピン留めすることで、サーバーの有効性と整合性を検証できます。

Citrix Workspaceアプリ for Windows は、証明書ピン留めルールを使用して、特定のドメインまたはサイトに対してどのサーバー証明書を期待すべきかを事前に構成されています。サーバー証明書が事前に構成されたサーバー証明書と一致しない場合、Citrix Workspaceアプリ for Windows はセッションの確立を阻止します。

Enterprise Certificate Pinning機能の展開方法については、Microsoftドキュメントを参照してください。

注：

証明書の有効期限を認識し、グループポリシーと証明書信頼リストを正しく更新する必要があります。そうしないと、攻撃がない場合でもセッションを開始できない可能性があります。