Linux Virtual Delivery Agent

TLSによるユーザーセッションの保護

バージョン7.16では、Linux VDAは、ユーザーセッションのセキュリティ保護のためにTLS暗号化をサポートしています。TLS暗号化はデフォルトでは無効になっています。

TLS暗号化を有効にする

ユーザーセッションを保護するためにTLS暗号化を有効にするには、Linux VDAとDelivery Controller(Controller)の両方で証明書を取得し、TLS暗号化を有効にします。

証明書を取得する

信頼できる認証機関(CA)からPEM形式のサーバー証明書とCRT形式のルート証明書を取得します。サーバー証明書には、次のセクションがあります。

  • 証明書
  • 暗号化されていない秘密キー
  • 中間証明書(必須ではありません)

サーバー証明書の例:

サーバー証明書の例

TLS暗号化を有効にする

Linux VDAでTLS暗号化を有効にする

Linux VDAで、enable_vdassl.sh ツールを使用して、TLS暗号化を有効または無効にします。このツールは、/opt/Citrix/VDA/sbin ディレクトリにあります。このツールで使用できるオプションについては、/opt/Citrix/VDA/sbin/enable_vdassl.sh -helpコマンドを実行してください。

ヒント:各Linux VDAサーバーにサーバー証明書をインストールし、各Linux VDAサーバーとクライアントにルート証明書をインストールする必要があります。

ControllerでTLS暗号化を有効にする

注:

TLS暗号化は、デリバリーグループ全体に対してのみ有効にすることができます。特定のアプリケーションに対してTLS暗号化を有効にすることはできません。

ControllerのPowerShellウィンドウで、次のコマンドを順番に実行して、ターゲットのデリバリーグループのTLS暗号化を有効にします。

  1. Add-PSSnapin citrix.*
  2. Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $true

注:VDA FQDNのみがICAセッションファイルに含まれるように、 Set-BrokerSite –DnsResolutionEnabled $trueコマンドを実行することもできます。

このコマンドは、DNS解決を有効にします。DNS解決を無効にすると、ICAセッションファイルはVDAのIPアドレスを開示し、SSLProxyHostやUDPDTLSPortなどのTLS関連項目に対してのみFQDNを提供します。

ControllerでTLS暗号化を無効にするには、次のコマンドを順番に実行します。

  1. Add-PSSnapin citrix.*
  2. Get-BrokerAccessPolicyRule –DesktopGroupName 'GROUPNAME' | Set-BrokerAccessPolicyRule –HdxSslEnabled $false
  3. Set-BrokerSite –DnsResolutionEnabled $false

トラブルシューティング

公開されたデスクトップセッションにアクセスしようとすると、Windows向けCitrix Workspaceアプリで、次の「要求されたアドレスを割り当てることができません」というエラーが発生することがあります:

要求されたアドレスを割り当てることができません

回避策として、hostsファイルに次のようなエントリを追加します:

10.108.13.180      rhvm72work.citrixlab.local

各項目の意味は次のとおりです。

  • 10.108.13.180 は、Linux VDAのIPアドレスです。
  • rhvm72work.citrixlab.local は、Linux VDAの完全修飾ドメイン名です。

Windowsマシンでは、hostsファイルは通常、C:\Windows\System32\drivers\etc\hosts にあります。

TLSによるユーザーセッションの保護