証明書失効一覧を使用してセキュリティ保護を強化

証明書失効一覧(CRL)のチェック機能を有効にすると、サーバー証明書が失効していないかどうかがCitrix Receiverによってチェックされます。強制的にこのチェックを行うことにより、TLSサーバーの暗号化認証機能が強化され、ユーザーデバイスとサーバー間のTLS接続のセキュリティが向上します。

証明書失効一覧のチェック機能には、いくつかの設定レベルが用意されています。たとえば、ローカルの証明書失効一覧だけがチェックされるようにCitrix Receiverを構成したり、ローカルおよびネットワーク上の証明書失効一覧がチェックされるように構成したりできます。さらに、すべての証明書失効一覧で証明書の有効性が検証されたときのみログオンするように構成できます。

ローカルのコンピューターにこの変更を適用する場合は、実行中のCitrix Receiverを終了してください。コネクションセンターを含むすべてのCitrix Receiverコンポーネントが閉じていることを確認してください。

  1. 管理者として、[スタート]メニューからgpedit.mscを実行(単一のコンピューターにポリシーを適用する場合)するか、グループポリシー管理コンソールを使用(ドメインポリシーを適用する場合)して、グループポリシーエディターを開きます。 :既にCitrix Receiver for Windowsのテンプレートをグループポリシーオブジェクトエディターにインポートしている場合、手順2.~5.は省略できます。
  2. グループポリシーエディターで [管理用テンプレート] を選択します。
  3. [操作]メニューの [テンプレートの追加と削除] を選択します。
  4. [追加]を選択し、ReceiverのConfigurationフォルダー(通常は、C:\Program Files\Citrix\ICA Client\Configuration)に移動して、Citrix Receiver for Windowsのテンプレートファイルを選択します。
    :Windowsのバージョンに応じたCitrix Receiver for Windowsのテンプレートファイル(receiver.admまたはreceiver.admx/receiver.adml)を選択してください。
  5. [開く]をクリックしてテンプレートを追加し、[閉じる]をクリックしてグループポリシーエディターのメインウィンドウに戻ります。
  6. グループポリシーエディターで、[管理用テンプレート]、[従来の管理用テンプレート(ADM)]、[Citrixコンポーネント]、[Citrix Receiver]、[ネットワークルーティング]、[TLS/SSLデータ暗号化およびサーバー識別]の順に選択します。
  7. [操作]メニューの[プロパティ]を選択し、[有効]をクリックします。
  8. [CRL検証]の一覧からオプションを1つ選択します。
    • 無効。証明書失効一覧をチェックしません。
    • Only check locally stored CRLs:以前インストールまたはダウンロードされたCRLが証明書の検証に使用されます。証明書が失効していると接続に失敗します。
    • Require CRLs for connection:CRLはローカルで、およびネットワーク上の関連の証明書発行機関からチェックされます。証明書が失効しているか見つからないと接続に失敗します。
    • Retrieve CRLs from network:CRLは関連の証明書発行機関からチェックされます。証明書が失効していると接続に失敗します。 [CRL検証]を設定しない場合、デフォルトは[ローカルに保存されたCRLのみをチェックします]となります。

証明書失効一覧を使用してセキュリティ保護を強化

In this article