Linux 仮想配信エージェント 2503

WebSocket用の自己署名証明書の設定

April 13, 2026

寄稿者:

2402 LTSRの初回リリース以降、Citrix Virtual Apps and Desktopsでは、Citrix Brokering Protocol (CBP) を介してWebSocketテクノロジーを使用し、VDAとDelivery Controller間の通信を容易にすることができます。この機能では、VDAからDelivery Controllerへの通信にTLSポート443のみが必要です。詳細については、Citrix Virtual Apps and DesktopsドキュメントのVDAとDelivery Controller間のWebSocket通信を参照してください。

WebSocketは、クライアントとサーバー間のリアルタイム双方向通信を可能にする強力なテクノロジーです。しかし、安全な接続を確保するため、特にwss://を使用する場合は、自己署名証明書の設定がしばしば必要になります。これは特に開発環境やテスト環境で顕著です。この記事では、WebSocket用の自己署名証明書を構成するためのベストプラクティスを概説します。

ステップ1: (ドメインに参加していないVDAのみ) DNSサーバーの構成

UbuntuおよびDebian VDAの場合:

/etc/systemd/resolved.confを次のように編集してDNS設定を変更します。

[Resolve]
# Some examples of DNS servers which may be used for DNS= and FallbackDNS=:
# Cloudflare: 1.1.1.1#cloudflare-dns.com 1.0.0.1#cloudflare-dns.com 2606:4700:4700::1111#cloudflare-dns.com 2606:4700:4700::1001#cloudflare-dns.com
# Google:     8.8.8.8#dns.google 8.8.4.4#dns.google 2001:4860:4860::8888#dns.google 2001:4860:4860::8844#dns.google
# Quad9:      9.9.9.9#dns.quad9.net 149.112.112.112#dns.quad9.net 2620:fe::fe#dns.quad9.net 2620:fe::9#dns.quad9.net
DNS=<DNS IP address>
#FallbackDNS=
#Domains=
#DNSSEC=no
#DNSOverTLS=no
#MulticastDNS=no
#LLMNR=no
#Cache=no-negative
#CacheFromLocalhost=no
#DNSStubListener=yes
#DNSStubListenerExtra=
#ReadEtcHosts=yes
#ResolveUnicastSingleLabel=no
<!--NeedCopy-->

systemd-resolvedサービスを再起動します。
```
sudo service systemd-resolved restart

```
詳細については、https://notes.enovision.net/linux/changing-dns-with-resolveを参照してください。
- RHEL、Rocky Linux、およびSUSE VDAの場合:
次のnmcliコマンドを実行して接続名の一覧を取得します。
```
sudo nmcli connection

```
別のnmcliコマンドを実行してDNS IPアドレスを設定します。
```
sudo nmcli con mod {connectionNameHere} ipv4.dns "<dns ip address>"

```
例えば、次のコマンドを使用してDNS IPアドレスを192.168.2.254に設定できます。
```
sudo nmcli con mod eth0 ipv4.dns "192.168.2.254"

```
次のいずれかのコマンドを実行して新しいDNS設定をリロードします。
```
sudo systemctl restart NetworkManager.service

```
```
sudo nmcli connection reload

```
詳細については、https://www.cyberciti.biz/faq/change-dns-ip-address-rhel-redhat-linux/を参照してください。

ステップ2: 認証局 (CA) からの証明書要求

証明書要求を開始します。証明書要求を開始する際に、Delivery Controllerの完全修飾ドメイン名 (FQDN) を入力します。
証明書の堅牢なセキュリティを確保するため、2048ビット以上の鍵長を選択します。
- 1. 簡単に識別できるように、証明書要求ファイルにわかりやすい名前を割り当てます。
生成された証明書要求ファイルをテキストエディター (Notepadなど) で開き、その中のすべてのコンテンツを選択します。
Web証明書サーバーにログインし、証明書要求に進みます。
コピーした要求ファイルの内容をWebサーバーの適切なフィールドに貼り付け、Webサーバー証明書テンプレートを選択します。
Base 64エンコード形式で証明書をダウンロードします。
証明書要求を完了します。ダウンロードが完了すると、証明書要求プロセスは完了です。

ステップ3: Delivery Controller FQDN証明書のバインド

Delivery Controller FQDN証明書をPFXファイルとしてエクスポートします。
エクスポートしたPFX証明書をDelivery ControllerサーバーのInternet Information Services (IIS) にインポートします。
インポートした証明書をIIS内のデフォルトのWebサイトにバインドします。
バインドプロセス中に、インポートした特定の証明書を選択していることを確認してください。

ステップ4: Linux VDAでのCA証明書の保存と更新

CA証明書をダウンロードします。例:
CA証明書を配置して更新します。
- RHELおよびRocky Linuxの場合:
  
  trust anchor <path/CA certificate>コマンドを使用してCA証明書を追加します。/etc/pki/ca-trust/source/anchorsディレクトリに証明書が手動で配置されていないことを確認してください。読み取り専用フィールドに関連するエラーが発生した場合は、そのディレクトリに存在する証明書をすべて削除してください。
- SUSE、Ubuntu、およびDebianの場合:
  
  ルートCA証明書を/usr/local/share/ca-certificatesディレクトリに配置します。証明書に.crt拡張子がない場合は、それに応じて名前を変更してください。その後、update-ca-certificateコマンドを実行します。

この製品ドキュメントの正式なバージョンは英語版です。英語以外のすべてのバージョンは、お客様の利便性のためにのみ提供され、機械翻訳された内容が含まれている場合があります。詳しくは、Cloud Software Group home で機械翻訳に関する免責事項（Machine Translation Disclaimer）をご覧ください。

この情報は役に立ちましたか?

WebSocket用の自己署名証明書の設定

April 13, 2026

寄稿者:

April 13, 2026

寄稿者:

この情報は役に立ちましたか?