TLSの構成および有効化

このトピックは、XenAppおよびXenDesktopのバージョン7.6以降に適用されます。

すべてのCitrix Receiver for Windows通信をTLSで暗号化するには、ユーザーデバイス、Citrix Receiver for Windows、およびWeb Interfaceサーバー(使用している場合)を構成します。StoreFront通信の保護については、StoreFrontのドキュメントのセキュリティに関するセクションを参照してください。Web Interfaceの保護については、Web Interfaceのドキュメントのセキュリティに関するセクションを参照してください。

前提条件

ユーザーデバイスは、「システム要件」 で指定された要件を満たす必要があります。

このポリシーを使用してTLSオプションを構成します。このオプションにより、Citrix Receiver for Windowsで接続先のサーバーを安全に識別して、サーバーとのすべての通信を暗号化できます。

このオプションで、以下が可能になります。

  • TLSの使用を適用する。インターネットを含めて、信頼されていないネットワークを介するすべての接続で、TLSの使用をお勧めします。
  • FIPS(Federal Information Processing Standards)準拠の暗号化の使用を適用し、NIST SP 800-52の推奨セキュリティへの準拠を可能にする。デフォルトでは、これらのオプションは無効になっています。
  • 特定のTLSバージョンおよび特定のTLS暗号の組み合わせの使用を適用する。Citrix Receiver for WindowsとXenApp/XenDesktop間でTLS 1.0、TLS 1.1、TLS 1.2プロトコルがサポートされます。
  • 特定のサーバーのみに接続する。
  • サーバー証明書の失効を確認する。
  • 特定のサーバー証明書発行ポリシーを確認する。
  • 特定のクライアント証明書を選択する(サーバーが要求するよう構成されている場合)。

グループポリシーオブジェクト管理用テンプレートを使用してTLSサポートを構成するには

  1. gpedit.mscを管理者として実行して、Citrix Receiverグループポリシーオブジェクト管理用テンプレートを開きます。

    • 1台のコンピューターでポリシーを適用するには、[スタート]メニューからCitrix Receiverグループポリシーオブジェクト管理用テンプレートを起動します。
    • ドメインでポリシーを適用するには、グループポリシー管理コンソールを使用して、Citrix Receiverグループポリシーオブジェクト管理用テンプレートを起動します。
  2. [コンピューターの構成]ノードで、[管理用テンプレート] > [Citrix Receiver] > [ネットワークルーティング] の順に移動して、[TLSおよびコンプライアンスモードの構成] ポリシーを選択します。

    TLSおよびコンプライアンスモード

  3. [有効] を選択して保護された接続を有効にし、サーバー上の通信を暗号化します。次のオプションを設定します。

    注: 保護された接続で、TLSを使用することをお勧めします。

    1. [すべての接続でTLSが必要] を選択することによって、公開アプリケーションおよびデスクトップに対するCitrix Receiver for Windowsのすべての通信で強制的にTLSを使用させることができます。
    2. [セキュリティコンプライアンスモード] ドロップダウンリストから、適切なオプションを選択します:
      1. なし – コンプライアンスモードが適用されません。
      2. SP800-52 – SP800-52を選択してNIST SP800-52に準拠します。このオプションは、サーバーまたはゲートウェイをNIST SP 800-52推奨セキュリティに準拠させる場合にのみ選択してください。

        :[SP800-52]を選択すると、[FIPSを有効にします] が選択されていない場合でも、自動的にFIPS準拠の暗号化が使用されます。Windowsセキュリティオプションの[システム暗号化:暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う]も有効にする必要があります。有効にしない場合、Citrix Receiver for Windowsが公開アプリケーションおよびデスクトップに接続できないことがあります。

        [SP800-52]を選択した場合、[証明書失効チェックのポリシー] 設定** で **[完全なアクセス権のチェック] または [完全なアクセス権のチェックとCRLが必要です] のいずれかも選択する必要があります。 [SP800-52]を選択すると、Citrix Receiver for Windowsはサーバー証明書がNIST SP 800-52の推奨セキュリティに準拠しているかを検証します。サーバー証明書が準拠していない場合、Citrix Receiver for Windowsが接続できないことがあります。

    3. FIPSを有効にします - FIPS準拠の暗号化の使用を適用するには、このオプションを選択します。オペレーティングシステムのグループポリシーからWindowsセキュリティオプションの [システム暗号化:暗号化、ハッシュ、署名のためのFIPS準拠アルゴリズムを使う] も有効にする必要があります。有効にしない場合、Citrix Receiver for Windowsが公開アプリケーションおよびデスクトップに接続できないことがあります。

    4. [許可されたTLSサーバー] ドロップダウンリストから、ポート番号を選択します。Citrix Receiverがコンマ区切りの一覧で指定されたサーバーにのみ接続できるようにします。ワイルド―カードおよびポート番号を指定できます。たとえば、「*.citrix.com:4433」により、共通名が「.citrix.com」で終わるどのサーバーともポート4433での接続が許可されます。セキュリティ証明書の情報の正確さは、証明書の発行者によって異なります。Citrix Receiverが証明書の発行者を認識して信頼しないと、接続は拒否されます。

    5. [TLSバージョン] ドロップダウンリストから、次のいずれかのオプションを選択します:

      • TLS 1.0、TLS 1.1、またはTLS 1.2 - これはデフォルトの設定です。このオプションは、業務上TLS 1.0との互換性が必要な場合のみお勧めします。

        • TLS 1.1またはTLS 1.2 - このオプションでICA接続がTLS 1.1またはTLS 1.2を使用するようにします。

        • TLS 1.2 - このオプションは、業務上TLS 1.2が必要な場合のみお勧めします。

      1. TLS暗号の組み合わせ - 特定のTLS暗号の組み合わせの使用を適用するには、GOV(行政機関)、COM(営利企業)、ALL(すべて)の中から選択します。一部のNetScaler Gateway構成では、COMの選択が必要になることがあります。 Citrix Receiver for Windowsは、ビット長1024、2048および、3072のRSAキーをサポートします。さらに、ビット長4096のRSAキーを持つルート証明書がサポートされます。 : ビット長1024のRSAキーの使用はお勧めしません。 以下は、サポートされるすべての暗号の組み合わせの一覧です。
        • 任意:「任意」が設定されると、ポリシーは構成されず次のいずれかの暗号の組み合わせが許可されます。 - TLS_RSA_WITH_RC4_128_MD5

        • TLS_RSA_WITH_RC4_128_SHA

        • TLS_RSA_WITH_3DES_EDE_CBC_SHA

        • TLS_RSA_WITH_AES_128_CBC_SHA

        • TLS_RSA_WITH_AES_256_CBC_SHA

        • TLS_RSA_WITH_AES_128_GCM_SHA256

        • TLS_RSA_WITH_AES_256_GCM_SHA384
        • 商用:「商用」が設定されると、次の暗号の組み合わせのみが許可されます:

        • TLS_RSA_WITH_RC4_128_MD5

        • TLS_RSA_WITH_RC4_128_SHA

        • TLS_RSA_WITH_AES_128_CBC_SHA

        • TLS_RSA_WITH_AES_128_GCM_SHA256
        • 自治体:「自治体」が設定されると、暗号の組み合わせのみが許可されます:

        • TLS_RSA_WITH_AES_256_CBC_SHA

        • TLS_RSA_WITH_3DES_EDE_CBC_SHA

        • TLS_RSA_WITH_AES_128_GCM_SHA256

        • TLS_RSA_WITH_AES_256_GCM_SHA384
      2. [証明書失効チェックのポリシー] ドロップダウンリストから、次の任意のオプションを選択します。

        • ネットワークアクセスなしでチェックします - 証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアのみが使用されます。すべての配布ポイントが無視されます。証明書失効一覧の検索は、対象のSSL Relay/Secure Gatewayサーバーによって提示されるサーバー証明書の検証に必須ではありません。

        • 完全なアクセス権のチェック - 証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアおよびすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。証明書失効一覧の検出は、ターゲットサーバーで提示されるサーバー証明書の検証に必要ではありません。

        • 完全なアクセス権とCRLのチェックが必要です - ルートCAを除いて証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアおよびすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。すべての必要な証明書失効一覧の検索が、検証において重大な意味を持ちます。

        • すべてに完全なアクセス権とCRLのチェックが必要です - ルートCAを含めた証明書失効一覧チェックが実行されます。ローカルの証明書失効一覧のストアおよびすべての配布ポイントが使用されます。証明書の失効情報が検出されると、接続は拒否されます。すべての必要な証明書失効一覧の検索が、検証において重大な意味を持ちます。

        • チェックなし - 証明書失効一覧チェックは実行されません。

      3. [ポリシーの拡張OID] を使用して、Citrix Receiver for Windowsが特定の証明書の発行ポリシーがあるサーバーにのみ接続するように制限できます。[ポリシーの拡張OID] を選択すると、Citrix Receiver for Windowsはポリシーの拡張OIDがあるサーバー証明書のみを受け入れます。

      4. [クライアント認証] ドロップダウンリストから、以下の任意のオプションを選択します:

        • 無効 - クライアント認証が無効になります。

        • 証明書セレクタを表示します - 常にユーザーが証明書を選択するよう求めます。

        • 可能な場合、自動的に選択します - 特定する証明書に選択肢がある場合のみ、ユーザーに表示します。

        • 未構成 - クライアント認証が構成されていないことを意味します。

        • 指定された証明書を使用します - [クライアント証明書]オプションの設定で指定された「クライアント証明書」を使用します。

      5. [Client Certificate] 設定を使用して、識別証明書の拇印を指定します。これにより、ユーザーに不要なプロンプトを表示しないようにすることができます。
  4. [適用] および [OK] をクリックしてポリシーを保存します。

次の表は、各セットの暗号の組み合わせを示しています。

                   
TLS 暗号の組み合わせ GOV COM すべて GOV COM すべて GOV COM すべて
FIPSを有効にします オフ オフ オフ オン オン オン オン オン オン
セキュリティコンプライアンスモードSP800-52 オフ オフ オフ オフ オフ オフ オン オン オン
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384          
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384          
TLS_RSA_WITH_AES_256_GCM_SHA384      
TLS_RSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256          
TLS_RSA_WITH_AES_256_CBC_SHA      
TLS_RSA_WITH_AES_128_CBC_SHA      
TLS_RSA_WITH_RC4_128_SHA              
TLS_RSA_WITH_RC4_128_MD5              
TLS_RSA_WITH_3DES_EDE_CBC_SHA