セキュリティで保護された通信

サーバーファームとCitrix Receiver for Mac間の通信を保護するには、Citrix NetScaler Gatewayなど、以下の一連のセキュリティ技術を使用します。このゲートウェイ製品とStoreFrontの構成について詳しくは、 StoreFrontのドキュメントを参照してください。

注:

StoreFrontサーバーとユーザーデバイス間の通信を保護するには、NetScaler Gatewayを使用することをお勧めします。

  • SOCKSプロキシサーバーまたはSecureプロキシサーバー(セキュリティプロキシサーバー、HTTPSプロキシサーバーとも呼ばれます)。プロキシサーバーでネットワークから外部へのアクセスや外部からネットワークへのアクセスを制限して、Citrix Receiverとサーバー間の接続を制御できます。Citrix Receiver for Macは、SOCKSプロトコルとSecureプロキシプロトコルをサポートしています。
  • Secure Gateway Secure GatewayをWeb Interfaceと一緒に使うと、社内ネットワーク上のサーバーにインターネットを介して接続できる、暗号化された安全な単一のアクセスポイントをユーザーに提供できます。
  • Transport Layer Security(TLS)プロトコルによるSSL Relayソリューション
  • ファイアウォール。ネットワークファイアウォールは、送信先アドレスとポート番号に基づいてパケットを通過させたりブロックしたりできます。サーバーの内部IPアドレスを外部インターネットアドレスにマップするネットワークファイアウォール(つまりNAT(Network Address Translation:ネットワークアドレス変換))を介してCitrix Receiver for Macを使用する場合は、外部アドレスを構成します。

証明書について

プライベート(自己署名)証明書

リモートゲートウェイにプライベート証明書がインストールされている場合は、組織の証明機関のルート証明書をユーザーデバイスにインストールしないと、Citrix Receiver for Macを使用してCitrixリソースにアクセスできません。

注:

接続時にリモートゲートウェイの証明書を検証できない場合(ローカルのキーストアにルート証明書が含まれていないため)、信頼されていない証明書の警告が表示されます。ユーザーが警告に対してそのまま続行することを選択した場合、アプリケーションの一覧が表示されますが、アプリケーションの起動に失敗します。

Receiver for Macデバイスへのルート証明書のインポート

証明書の発行者のルート証明書を取得して、デバイスに設定されているアカウントに電子メールで送信します。添付ファイルをクリックすると、ルート証明書をインポートするかどうかを確認するメッセージが表示されます。

ワイルドカード証明書

ワイルドカード証明書は、同一ドメイン内の任意のサーバーで個別のサーバー証明書の代わりに使用します。Citrix Receiver for Macでは、ワイルドカード証明書がサポートされています。

NetScaler Gatewayの中間証明書

証明書チェーンに中間証明書が含まれる場合は、中間証明書をNetScaler Gatewayのサーバー証明書にマップする必要があります。方法については、Citrix Gatewayのドキュメントを参照してください。中間証明書をNetScaler Gatewayアプライアンスにインストールして、プライマリCAとリンクする方法については、「How to Install and Link Intermediate Certificate with Primary CA on NetScaler Gateway」を参照してください。

サーバー証明書検証ポリシー

Citrix Receiver for Macには、サーバー証明書に関する厳格な検証ポリシーがあります。

重要

このバージョンのCitrix Receiver for Macをインストールする前に、サーバーまたはゲートウェイの証明書が、ここで説明されているように正しく構成されていることを確認してください。以下の場合、接続できないことがあります:

  • サーバーまたはゲートウェイの構成に間違ったルート証明書が含まれている
  • サーバーまたはゲートウェイ構成にすべての中間証明書が含まれていない
  • サーバーまたはゲートウェイ構成に期限切れまたは無効な中間証明書が含まれている
  • サーバーまたはゲートウェイ構成にクロスルート用中間証明書が含まれていない

Citrix Receiver for Macは、サーバー証明書を検証する時にサーバー(またはゲートウェイ)が提供するすべての証明書を使用するようになりました。以前のCitrix Receiver for Macリリース同様、証明書が信頼済みかについても確認します。すべての証明書が信頼済みでない場合、接続に失敗します。

このポリシーは、Webブラウザーの証明書ポリシーより厳格です。多くのWebブラウザーには、多数の信頼済みのルート証明書セットが含まれます。

サーバー(またはゲートウェイ)は、正しい証明書セットで構成する必要があります。不正な証明書のセットを使用すると、Citrix Receiver for Macの接続に失敗することがあります。

以下は、ゲートウェイがこのような有効な証明書で構成されていることを前提としています。この構成は、Citrix Receiver for Macで使用されるルート証明書を正確に確認するために、より厳格な検証が必要なユーザーにお勧めします:

  • 「サーバー証明書サンプル」
  • 「中間証明書サンプル」
  • 「ルート証明書サンプル」

次に、Citrix Receiver for Macはこれらすべての証明書が有効であることを確認します。Citrix Receiver for Macが「ルート証明書サンプル」を信頼済みであることも確認します。Citrix Receiver for Macが「ルート証明書サンプル」を信頼していない場合、接続に失敗します。

重要

証明機関によっては、複数のルート証明書があります。このような、より厳格な検証が必要であれば、構成で適切なルート証明書が使用されていることを確認してください。たとえば、現在同じサーバー証明書を検証できる2つの証明書(「DigiCert」/「GTE CyberTrust Global Root」および「DigiCert Baltimore Root」/「Baltimore CyberTrust Root」)があるとします。ユーザーデバイスによっては、両方のルート証明書が使用できます。その他のデバイスでは、1つの証明書のみを使用できます(「DigiCert Baltimore Root」/「Baltimore CyberTrust Root」)。ゲートウェイで「GTE CyberTrust Global Root」を構成すると、これらのユーザーデバイスでCitrix Receiver for Macの接続に失敗します。どのルート証明書を使用すべきかについては、証明機関のドキュメントを参照してください。また、ルート証明書の有効期限についても注意してください。

サーバーやゲートウェイによっては、ルート証明書が構成されていても、送信しないことがあります。この場合、より厳格な検証は機能しません。

以下は、ゲートウェイがこのような有効な証明書で構成されていることを前提としています。通常は、このルート証明書を省略した構成が推奨されます:

  • 「サーバー証明書サンプル」
  • 「中間証明書サンプル」

Citrix Receiver for Macはこの2つの証明書を使用します。次に、ユーザーデバイスでルート証明書を検索します。正しく検証される証明書が見つかり、信頼済みである場合(「ルート証明書サンプル」など)、接続は成功します。信頼済みの証明書が見つからない場合は、失敗します。この構成では、Citrix Receiver for Macが必要とする中間証明書が提供されますが、Citrix Receiver for Macは任意の有効な、信頼済みのルート証明書を選択できます。

以下は、ゲートウェイがこのような証明書で構成されていることを前提としています。

  • 「サーバー証明書サンプル」
  • 「中間証明書サンプル」
  • 「間違ったルート証明書」

Webブラウザーは、不正なルート証明書を無視することがありますが、Citrix Receiver for Macは不正なルート証明書を無視しないため、接続は失敗します。

証明機関によっては、複数の中間証明書を使用します。この場合、ゲートウェイは通常、以下のようにすべて中間証明書(ルート証明書ではない)で構成されます:

  • 「サーバー証明書サンプル」
  • 「中間証明書サンプル1」
  • 「中間証明書サンプル2」

重要

証明機関によっては、クロスルート用中間証明書を使用します。これは、複数のルート証明書があり、以前のルート証明書が最新のルート証明書と同時に使用中の状況を想定しています。この場合、少なくとも2つの中間証明書が存在します。たとえば、以前のルート証明書「Class 3 Public Primary Certification Authority」には、関連するクロスルート用中間証明書「VeriSign Class 3 Public Primary Certification Authority - G5」があります。ただし、最新のルート証明書「VeriSign Class 3 Public Primary Certification Authority - G5」も利用可能であり、「Class 3 Public Primary Certification Authority」に置き換わります。最新のルート証明書はクロスルート用中間証明書を使用しません。

クロスルート用中間証明書およびルート証明書は、同じサブジェクト名(発行先)ですが、クロスルート中間証明書には異なる発行者名(発行元)があります。これによって、クロスルート用中間証明書と通常の中間証明書(「中間証明書サンプル2」など)を区別できます。

通常は、このルート証明書およびクロスルート用中間証明書を省略した構成が推奨されます:

  • 「サーバー証明書サンプル」
  • 「中間証明書サンプル」

クロスルート用中間証明書をゲートウェイで構成しないでください。これは、ゲートウェイで以前のルート証明書が選択されるようになるのを避けるためです:

  • 「サーバー証明書サンプル」
  • 「中間証明書サンプル」
  • 「クロスルート用中間証明書サンプル」[非推奨]

ゲートウェイでサーバー証明書のみを構成しないでください:

  • 「サーバー証明書サンプル」

この場合、Citrix Receiver for Macはすべての中間証明書を検出できないため、接続に失敗します。

NetScaler Gateway経由の接続

リモートのユーザーがNetScaler Gatewayを介してXenMobile環境に接続できるようにするには、StoreFrontと通信するようにNetScaler Gatewayを構成します。このアクセスを有効にする方法は、XenMobileのエディションによって異なります。

ネットワークでXenMobileを展開する場合、NetScalerとStoreFrontを統合することでNetScaler Gatewayを経由して内部ユーザーやリモートユーザーがStoreFrontに接続できます。ユーザーは、StoreFrontに接続してXenAppの公開アプリケーションやXenDesktopの仮想デスクトップにアクセスします。ユーザーは、Citrix Receiverを使用して接続を行います。

Secure Gatewayを経由する接続

このトピックの内容は、Web Interface環境にのみ適用されます。

Secure Gatewayを通常モードまたはリレーモードのどちらかで使用して、Citrix Receiver for Macとサーバーの間に保護された通信チャネルを提供できます。Secure Gatewayを通常モードで使用し、ユーザーがWeb Interface経由で接続する場合は、Citrix Receiver for Mac側での構成は不要です。

Citrix Receiver for MacがSecure Gatewayサーバーに接続する時は、リモートのWeb Interfaceサーバーで構成されている設定が使用されます。Citrix Receiver for Macをサポートするプロキシサーバー設定の構成については、Web Interfaceのドキュメントを参照してください。

Secure Gateway Proxyがセキュリティで保護されたネットワーク内のサーバーにインストールされている場合は、Secure Gateway Proxyをリレーモードで使用できます。リレーモードについて詳しくは、XenAppおよびSecure Gatewayのドキュメントを参照してください。

ただし、リレーモードで使用する場合、Secure Gatewayサーバーはプロキシサーバーとして機能するため、Citrix Receiver for Macで次の項目を構成する必要があります:

  • Secure Gatewayサーバーの完全修飾ドメイン名。
  • Secure Gatewayサーバーのポート番号。Secure Gateway, Version 2.0では、リレーモードはサポートされていません。

完全修飾ドメイン名には、以下の3つの要素を順に指定する必要があります:

  • ホスト名
  • サブドメイン名
  • 最上位ドメイン名

例えば、my_computer.example.comは完全修飾ドメイン名です。ホスト名(my_computer)、サブドメイン名(example)、最上位ドメイン名(com)が順に指定されています。一般的には、サブドメイン名と最上位ドメイン名の組み合わせ(example.com)をドメイン名といいます。

プロキシサーバー経由の接続

プロキシサーバーは、ネットワークから外部へのアクセスや外部からネットワークへのアクセスを制限して、Citrix Receiver for Macとサーバー間の接続を制御するために使います。Citrix Receiver for Macは、SOCKSプロトコルとSecureプロキシプロトコルの両方をサポートしています。

Citrix Receiver for MacでXenAppサーバーまたはXenDesktopサーバーと通信する場合、Web Interfaceサーバー上でリモートで構成されているプロキシサーバー設定が使用されます。Receiverをサポートするプロキシサーバー設定の構成については、Web Interfaceのドキュメントを参照してください。

Citrix Receiver for MacでWebサーバーと通信する場合は、ユーザーデバイス上のデフォルトのWebブラウザーで構成されているプロキシサーバー設定が使用されます。各ユーザーデバイス上のデフォルトのWebブラウザーで、プロキシサーバー設定を構成する必要があります。

ファイアウォールを介した接続

ネットワークファイアウォールは、送信先アドレスとポート番号に基づいてパケットを通過させたりブロックしたりできます。ファイアウォールが使用されている環境では、Citrix Receiver for MacとWebサーバーおよびCitrix製品のサーバーとの通信がファイアウォールでブロックされないように設定する必要があります。このためには、ユーザーデバイスとWebサーバー間のHTTPトラフィック(一般に標準HTTPポート80、またはセキュアなWebサーバーを使用している場合はポート443での通信)がファイアウォールを通過できるように設定します。また、ReceiverとCitrix製品サーバー間の通信では、ポート1494とポート2598の受信ICAトラフィックがファイアウォールを通過できるように設定します。

ファイヤウォールによるネットワークアドレス変換(NAT:Network Address Translation)を使用している場合は、Web Interfaceを使って内部アドレスから外部アドレスおよびポートへのマッピングを定義できます。たとえば、XenAppサーバーやXenDesktopサーバーに代替アドレスが設定されていない場合は、Web InterfaceからCitrix Receiver for Macに代替アドレスが提供されるように設定できます。これにより、Citrix Receiver for Macでのサーバー接続で、外部アドレスおよびポート番号が使用されるようになります。詳しくは、「Web Interface」のドキュメントを参照してください。

TLSを使用したインストール

Citrix Receiver for Mac 12.3はXenApp/XenDesktopとのTLS接続に、以下の暗号の組み合わせを使用したTLS 1.0、1.1、1.2をサポートします:

TLS:

  • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
  • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  • TLS_RSA_WITH_AES_256_GCM_SHA384
  • TLS_RSA_WITH_AES_128_GCM_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA256
  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

DTLS:

  • TLS_RSA_WITH_AES_256_CBC_SHA
  • TLS_RSA_WITH_AES_128_CBC_SHA
  • TLS_RSA_WITH_3DES_EDE_CBC_SHA

注:

Mac OS Sierra上で実行されているCitrix Receiver for Macは、以下のTLS暗号の組み合わせをサポートしません:

  • TLS_RSA_WITH_RC4_128_SHA
  • TLS_RSA_WITH_RC4_128_MD5

Transport Layer Security(TLS)は、SSLプロトコルの最新の標準化バージョンです。IETF(Internet Engineering TaskForce)が、TLSの公開標準規格の開発をNetscape Communications社から引き継いだ時に、SSLという名前をTLSに変更しました。

TLSは、サーバーの認証、データの暗号化、メッセージの整合性の確認を行って、データ通信を保護します。米国政府機関をはじめとする組織の中には、データ通信を保護するためにTLSの使用を義務付けているところもあります。このような組織では、さらにFIPS 140(Federal Information Processing Standard)などのテスト済み暗号化基準の使用を義務付けられる場合があります。FIPS 140は、暗号化の情報処理規格です。

Citrix Receiver for Macは、ビット長1024、2048および、3072のRSAキーをサポートします。さらに、ビット長4096のRSAキーを持つルート証明書がサポートされます。

Citrix Receiver for Macは、プラットフォーム(OS X)の暗号化機能をCitrix Receiver for MacとStoreFrontの接続に使用します。

Citrix Receiver for MacのTLSの構成と有効化

TLSのセットアップは、以下の2つの手順で行います:

  1. XenAppサーバー、XenDesktopサーバー、およびWeb Interfaceサーバー上でSSL Relayをセットアップし、必要なサーバー証明書を入手してインストールします。

  2. ユーザーデバイス上で、ルート証明書をインストールします。

ユーザーデバイスへのルート証明書のインストール

TLS機能が有効になっているCitrix Receiver for Macとサーバーファーム間の通信をTLSで保護するには、サーバー証明書の証明機関の署名を認証するためのルート証明書がユーザーデバイスにインストールされている必要があります。

Mac OS Xには約100の商用ルート証明書が付属していますが、ほかの証明書を使用する場合は、証明機関から証明書を入手して、それを各ユーザーデバイスにインストールします。

企業の方針によっては、ルート証明書のインストールはエンドユーザーではなく管理者が行う場合があります。ルート証明書を簡単および確実にインストールするには、Mac OS Xのキーチェーンにその証明書を追加します。

ルート証明書をキーチェーンに追加するには

  1. 証明書を含んでいるファイルをダブルクリックします。これにより、キーチェーンアクセスが起動します。
  2. [証明書の追加]ダイアログボックスで、[キーチェーン]ポップアップメニューから以下のいずれかのオプションを選択します:
    • ログイン:現在のログインユーザーにのみ証明書が適用されます。
    • システム:そのデバイスにログインするすべてのユーザーに証明書が適用されます。
  3. [OK] をクリックします。
  4. [認証]ダイアログボックスにパスワードを入力し、[OK]をクリックします。

ルート証明書は、TLSが有効なクライアントと、TLSを使用するその他のアプリケーションでインストールされ、使用可能になります。

TLSポリシーについて

ここでは、Citrix Receiver for MacでTLS経由のICAセッションのセキュリティポリシーを構成するための情報について説明します。ICA接続に使用される一部のTLS設定をCitrix Receiver for Macで構成できます。これらの設定はユーザーインターフェイスに表示されません。変更するにはCitrix Receiver for Macが動作するデバイス上でコマンドを実行する必要があります。

デバイスがOS Xサーバーなどのモバイルデバイス管理ソリューションで制御されている場合は、TLSポリシーはほかの方法でも管理できます。

TLSポリシーには以下の設定が含まれます:

SecurityComplianceMode。ポリシーのセキュリティコンプライアンスモードを設定します。SecurityComplianceModeを構成しない場合は、デフォルト値としてFIPSが使用されます。この設定に適用できる値は以下のとおりです:

  • None。コンプライアンスモードは適用されません。
  • FIPS。FIPS暗号モジュールが使用されます。
  • SP800-52。NIST SP800-52r1コンプライアンスが適用されます。

defaults write com.citrix.receiver.nomas SecurityComplianceMode SP800-52

SecurityAllowedTLSVersions。この設定により、プロトコルネゴシエーション中に受け入れられるべきTLSプロトコルのバージョンが指定されます。この情報は配列として表され、指定可能な値のどの組み合わせもサポートされます。この設定を構成しない場合は、TLS10、TLS11、TLS12がデフォルト値として使用されます。この設定に適用できる値は以下のとおりです。

  • TLS10。TLS 1.0プロトコルを許可することを指定します。
  • TLS11。TLS 1.1プロトコルを許可することを指定します。
  • TLS12。TLS 1.2プロトコルを許可することを指定します。

defaults write com.citrix.receiver.nomas SecurityAllowedTLSVersions -array TLS11 TLS12

SSLCertificateRevocationCheckPolicy。この機能により、Citrixサーバーの暗号化認証機能が強化され、クライアントとサーバーの間のSSL/TLS接続の全体的なセキュリティが向上します。この設定により、OS XクライアントでSSL経由のリモートセッションを開く時に、所与の信頼されたルート証明機関を扱う方法を制御します。

この設定を有効にすると、サーバー証明書が失効していないかどうかがクライアントによりチェックされます。証明書失効一覧のチェックには複数のレベルがあります。たとえば、クライアントはローカルの証明書一覧のみをチェックしたり、ローカルとネットワークの証明書一覧をチェックするように構成できます。さらに、すべての証明書失効一覧で証明書の有効性が検証された時のみユーザーがログオンできるように、証明書チェックを構成できます。

証明書失効一覧(CRL)チェックは、一部の証明書発行元によりサポートされる高度な機能です。これにより、証明書の秘密キーの暗号化が危うくなったり、単にDNS名に予期しない変更があったりした場合に、管理者はセキュリティ証明書を失効させる、つまり失効日より前に無効にすることができます。

この設定に適用できる値は以下のとおりです:

  • NoCheck。証明書失効一覧をチェックしません。
  • CheckWithNoNetworkAccess。証明書失効一覧がチェックされます。ローカルの証明書失効一覧のストアのみが使用されます。すべての配布ポイントが無視されます。証明書失効一覧の検索は、対象のSSL Relay/Secure Gatewayサーバーによって提示されるサーバー証明書の検証において重大な意味を持ちません。
  • FullAccessCheck。証明書失効一覧がチェックされます。ローカルの証明書失効一覧のストアおよびすべての配布ポイントが使用されます。証明書失効一覧の検索は、対象のSSL Relay/Secure Gatewayサーバーによって提示されるサーバー証明書の検証において重大な意味を持ちません。
  • FullAccessCheckAndCRLRequired。証明書失効一覧がチェックされますがルートCAは除外されます。ローカルの証明書失効一覧のストアおよびすべての配布ポイントが使用されます。すべての必要な証明書失効一覧の検索が、検証において重大な意味を持ちます。
  • FullAccessCheckAndCRLRequiredAll。ルートCAを含め、証明書失効一覧がチェックされます。ローカルの証明書失効一覧のストアおよびすべての配布ポイントが使用されます。すべての必要な証明書失効一覧の検索が、検証において重大な意味を持ちます。

SSLCertificateRevocationCheckPolicyを設定しない場合は、デフォルト値としてFullAccessCheckが使用されます。 defaults write com.citrix.receiver.nomas SSLCertificateRevocationCheckPolicy FullAccessCheckAndCRLRequired

TLSポリシーの構成

管理対象外のコンピューターでTLS設定を構成するには、Terminal.appでdefaultsコマンドを実行します。

defaultsはコマンドラインアプリケーションで、OS Xの環境設定plistファイルにアプリ設定を追加、編集、および削除するために使用できます。

設定を変更するには:

  1. [アプリケーション]、[ユーティリティ]、[ターミナル]の順に選択します。

  2. ターミナルで以下のコマンドを実行します:

defaults write com.citrix.receiver.nomas \<name\> \<type\> \<value\>

各オプションの意味は次のとおりです:

<name>:前述のように設定の名前です。

<type>:設定の種類を指定するスイッチで、-stringまたは-arrayのどちらかです。設定の種類が文字列である場合はこれを省略できます。

<value>:設定の値です。値が配列で複数の値を設定する場合は、値をスペースで区切る必要があります。

defaults write com.citrix.receiver.nomas SecurityAllowedTLSVersions -array TLS11 TLS12

デフォルト構成へのリセット

設定をデフォルトに戻すには:

  1. [アプリケーション]、[ユーティリティ]、[ターミナル]の順に選択します。

  2. ターミナルで以下のコマンドを実行します:

defaults delete com.citrix.receiver.nomas \<name\>

各オプションの意味は次のとおりです:

<name>:前述のように設定の名前です。

defaults delete com.citrix.receiver.nomas SecurityAllowedTLSVersions

UIを使用してセキュリティ設定を構成する

Citrix Receiver for Macのバージョン12.3では、以下のようにさまざまなセキュリティ機能が強化されています:

  • セキュリティ構成のユーザーインターフェイスが強化されました。以前のリリースでは、セキュリティ関連の変更を実施する場合、コマンドラインが優先される方法でしたが、セッションセキュリティ関連の構成設定は、UIから簡単にアクセスしやすくなりました。これによってユーザーエクスペリエンスが向上し、シームレスにセキュリティ関連の環境設定を採用するための方法が提供されます。
  • TLS接続の表示。Citrix Receiver for Macでは、情報を追加して、特定のTLSバージョンを使用したサーバーへの接続を検証できます。この情報には、接続に使用される暗号化アルゴリズム、モード、キーサイズ、SecureICAが有効になっているかどうかなどが含まれます。また、TLS接続のサーバー証明書も表示できます。

強化された [セキュリティとプライバシー] 画面の [TLS] タブには、以下の新しいオプションが含まれます:

  • コンプライアンスモードの設定
  • 暗号モジュールの構成
  • 適切なTLSのバージョンの選択
  • 証明書失効一覧の選択
  • すべてのTLS接続の設定を有効にする

以下の図は、UIでアクセス可能な[セキュリティとプライバシー]設定を示します:

TLS設定