ストアに内部および外部アクセスするための単一のFQDNの作成
会社のネットワーク内外のクライアント用に単一の完全修飾ドメイン名(Fully Qualified Domain Name:FQDN)を作成することで、そのネットワーク内、およびネットワーク外からCitrix Gateway経由でリソースにアクセスするユーザーの使い勝手を簡素化することができます。
単一のFQDNを作成すると、ユーザーが各プラットフォーム用のReceiverを簡単に構成できるようになりますネットワーク内からアクセスする場合もインターネット経由で外部からアクセスする場合も、ユーザーが覚える必要のあるURLは1つのみになります。
注:
パブリックWebサイトからプライベートネットワークエンドポイントへの直接アクセスは、プライベートネットワークアクセス(PNA)仕様の一部として廃止されました。その結果、単一の完全修飾ドメイン名を使用しているときに、外部ネットワークから内部ネットワークに切り替えるとエラーが発生する可能性があります。これらのエラーは、最新バージョンのChromeおよびMicrosoft Edgeバージョン98以降で発生します。
一時的な回避策として、StoreFrontサーバーのIISに次のHTTP応答ヘッダーを追加することをお勧めします:
- Access-Control-Allow-Headers:*
- Access-Control-Allow-Origin:FQDNサイトURL
- Access-Control-Allow-Private-Network:true
注意:StoreFrontサーバーにヘッダーを設定する前に、管理者にヘッダーを確認してください。
Citrix Workspaceアプリ用のStoreFrontビーコン
Citrix Workspaceアプリは、ユーザーがローカルネットワークとパブリックネットワークのどちらに接続しているのかをビーコンポイントを使用して識別します。ユーザーがデスクトップやアプリケーションにアクセスすると、そのリソースを提供するサーバーがそのユーザーの位置情報に基づいて適切な接続詳細をCitrix Workspaceアプリに返します。これにより、ユーザーがデスクトップまたはアプリケーションにアクセスしたときに再ログオンする必要がなくなります。ビーコンポイントの構成については、「ビーコンポイントを構成」を参照してください。
メモ:
- この記事では、「Citrix Workspaceアプリ」に関する記載は、特に明記されていない限り、サポートされているバージョンのCitrix Receiverにも適用されます。
- Linux向けCitrix Workspaceアプリは、別のクライアントの場所への内部ビーコンポイントを検出できないため、単一のFQDNシナリオをサポートしていません。詳しくは、CTX223989を参照してください。
Citrix Gateway仮想サーバーとSSL証明書の構成
外部のクライアントが会社のネットワーク外からリソースにアクセスしようとしたときに、共有FQDNはDMZの外部ファイアウォールルーターインターフェイスのIP、またはCitrix Gateway仮想サーバーのIPに解決されます。SSL証明書の[Common Name](一般名)フィールドと[Subject Alternative Name](SAN:サブジェクトの別名)フィールドに、ストアの外部アクセスに使用する共有FQDNが含まれていることを確認します。会社の証明機関(CA)の代わりにサードパーティのルートCA(Verisignなど)を使用してゲートウェイ証明書に署名すると、外部クライアントはゲートウェイ仮想サーバーにバインドされている証明書を自動的に信頼します。サードパーティのルートCA(Verisignなど)を使用する場合、追加のルートCA証明書を外部クライアントにインポートする必要はありません。
Citrix GatewayとStoreFrontサーバーの両方に対して、共有FQDNの一般名を使用して単一の証明書を展開する場合は、リモート検出をサポートするかどうかを検討します。サポートする場合は、証明書がSANの仕様に準拠していることを確認してください。
Citrix Gateway仮想サーバーの証明書の例:storefront.example.com
-
共有FQDN、コールバックURL、およびアカウントエイリアスURLが、SANとして[DNS]フィールドに含まれていることを確認します。
-
証明書と秘密キーをCitrix Gatewayにインポートできるように、秘密キーがエクスポート可能になっていることを確認します。
-
Default AuthorizationがAllowと設定されていることを確認します。
-
サードパーティCA(Verisignなど)または組織における会社のルートCAを使用して証明書に署名します。
2ノードサーバーグループのSANの例
storefront.example.com(必須)
storefrontcb.example.com(必須)
accounts.example.com(必須)
storefrontserver1.example.com(オプション)
storefrontserver2.example.com(オプション)
証明機関(CA)を使用したCitrix Gateway仮想サーバーのSSL証明書の署名
必要に応じて、次の2種類のCA署名入り証明書のいずれかを選択することができます。
-
サードパーティのCA署名付き証明書 - Citrix Gateway仮想サーバーの証明書が信頼されたサードパーティによって署名されている場合は、外部クライアントの信頼されたルートCA証明書ストアにルートCA証明書をコピーする必要はほとんどありません。Windowsクライアントには、一般的なほとんどの署名機関のルートCA証明書が付属しています。使用できる商用のサードパーティCAの例としては、DigiCert、Thawte、Verisignなどがあります。ただし、iPad、iPhone、Androidのタブレットや電話などのモバイルデバイスには、ルートCAをデバイスにコピーして、Citrix Gateway仮想サーバーを信頼するように構成することが必要な場合があります。
-
会社のルートCA署名付き証明書 — これを選択する場合は、すべての外部クライアントの信頼されたルートCAストアに会社のルートCA証明書をコピーする必要があります。ネイティブReceiverがインストールされたポータブルデバイス(iPhoneやiPadなど)を使用する場合は、これらのデバイスでセキュリティプロファイルを作成します。
ポータブルデバイスへのルート証明書のインポート
- iOSデバイスのローカルストレージには通常アクセスできないため、iOSデバイスでは電子メールの添付ファイルを使用してX.509証明書のCERファイルをインポートします。
- 同様にAndroidデバイスでもX.509(.CER)形式が必要です。証明書は、デバイスのローカルストレージまたはメールの添付ファイルからインポートできます。
外部DNS:storefront.example.com
組織のインターネットサービスプロバイダーによって提供されるDNS解決によって、DMZの外部境界に位置するファイアウォールルーターの外部に対するIPや、Citrix Gateway仮想サーバーの仮想IPが解決されるようにします。
スプリットビューDNS
- スプリットビューDNSを正しく構成すると、DNS要求の送信元アドレスに応じてクライアントに正しいDNS Aレコードが送信されます。
- 公共ネットワークと社内ネットワーク間を移動するクライアントのIPアドレスは、それに応じて変更されます。クライアントがstorefront.example.comを照会すると、そのときの接続先ネットワークに応じて適切なAレコードを受信します。
Windows CAがCitrix Gatewayに発行した証明書のインポート
WinSCPは、WindowsマシンからCitrix Gatewayファイルシステムへのファイル移動に役立つ無料のサードパーティツールです。インポートする証明書を、Citrix Gatewayファイルシステム内の/nsconfig/ssl/フォルダーにコピーします。Citrix GatewayでOpenSSLツールを使用してPKCS12またはPFXファイルから証明書とキーを抽出し、Citrix Gatewayで使用できるX.509のCERファイルとKEYファイルをPEM形式で個別に作成できます。
- このPFXファイルをCitrix GatewayアプライアンスまたはVPXの/nsconfig/sslにコピーします。
- Citrix Gatewayのコマンドラインインターフェイスを開きます。
- FreeBSDシェルに切り替えるために、Shellと入力して、Citrix Gatewayのコマンドラインインターフェイスを終了します。
- ディレクトリを変更するために、
cd /nsconfig/sslを使用します。 -
openssl pkcs12 -in <imported cert file>.pfx -nokeys -out <certfilename>.cerを実行します。PFXのパスワードの入力を求めるメッセージが表示されたらパスワードを入力します。 -
openssl pkcs12 -in <imported cert file>.pfx -nocerts -out <keyfilename>.keyを実行します。 - 画面のメッセージに従ってPFXパスワードを入力し、次に、秘密キーのPEMパスフレーズを設定してKEYファイルを保護します。
- /nsconfig/ssl/内にCERファイルとKEYファイルが正常に作成されたことを確認するには、
ls –alを実行します。 - Citrix Gatewayのコマンドラインインターフェイスに戻るために、Exitと入力します。
Citrix Receiver for Windows、またはCitrix Receiver for Mac、Citrix Gatewayのセッションポリシー
REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver && REQ.HTTP.HEADER X-Citrix-Gateway EXISTS
Receiver for Web用Gatewayセッションポリシー
REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver && REQ.HTTP.HEADER Referer EXISTS
cVPNとSmartAccessの設定
SmartAccessを使用している場合、Citrix Gateway仮想サーバーのプロパティページで、SmartAccessモードを有効にします。この場合、リモートリソースに同時にアクセスするすべてのユーザー用のユニバーサルライセンスが必要です。
Receiverのプロファイル
セッションプロファイルのアカウントサービスURLをhttps://accounts.example.com/Citrix/Roaming/Accountsに設定します(https://storefront.example.com/Citrix/Roaming/Accountsではありません)。
また、StoreFrontサーバーの認証用およびローミング用の各web.configファイルにも、このURLを追加の<allowedAudiences>として追加します。詳しくは、後述の「StoreFrontサーバーのホストベースURL、ゲートウェイ、SSL証明書の構成」を参照してください。
Receiver for Webのプロファイル
ICAプロキシと基本モードの設定
ICAプロキシを使用している場合、Citrix Gateway仮想サーバーのプロパティページで、基本モードを有効にします。1つのCitrix ADCプラットフォームライセンスのみが必要です。
Receiverのプロファイル
Receiver for Webのプロファイル
StoreFrontサーバーのホストベースURL、ゲートウェイ、SSL証明書の構成
ストアをホストするStoreFrontクラスターまたは単一のStoreFront IPが作成されている場合は、Citrix Gateway仮想サーバーに解決される共有FQDNがStoreFrontのロードバランサーにも直接解決される必要があります。
内部DNS:3つのDNS Aレコードを作成します
- storefront.example.comがStoreFrontのロードバランサーまたは単一のStoreFrontサーバーIPに解決される必要があります。
- storefrontcb.example.comがゲートウェイの仮想サーバーの仮想IPに解決される必要があるので、DMZと会社のローカルネットワークの間にファイアウォールがある場合は、これを許可します。
- accounts.example.com — storefront.example.comのDNSエイリアスとして作成します。StoreFrontクラスターのロードバランサーIPまたは単一のStoreFrontサーバーIPにも解決されます。
StoreFrontサーバー証明書の例:storefront.example.com
-
StoreFrontをインストールする前に、StoreFrontサーバーまたはサーバーグループ用の適切な証明書を作成します。
-
共有FQDNを[Common name]フィールドと[DNS]フィールドに追加します。これが、先に作成したCitrix Gateway仮想サーバーにバインドされたSSL証明書で使用されるFQDNと一致することを確認します。または、Citrix Gateway仮想サーバーにバインドされているものと同じ証明書を使用します。
-
別のSANとしてアカウントエイリアス(
accounts.example.com)を証明書に追加します。SANで使用するアカウントエイリアスは、前述のCitrix Gatewayセッションプロファイル(ネイティブReceiverのGatewayセッションのポリシーおよびプロファイル)の手順で使用したエイリアスです。 -
秘密キーをエクスポート可能にして、証明書を別のサーバーまたは複数のStoreFrontサーバーグループノードに転送できるようにします。
-
サードパーティCA(Verisignなど)、会社のルートCA、または中間CAを使用して証明書に署名します。
-
秘密キーを含めて、この証明書をPFX形式でエクスポートします。
-
証明書と秘密キーをStoreFrontサーバーにインポートします。Windows NLB StoreFrontクラスターを展開している場合は、すべてのノードにこの証明書をインポートします。Citrix ADC負荷分散仮想サーバーなどの代替ロードバランサーを使用している場合は、そこに証明書をインポートします。
-
StoreFrontサーバーのIISでHTTPSバインドを作成し、インポートしたSSL証明書をバインドします。
-
StoreFrontサーバーで、選択済みの共有FQDNに一致するように、ホストベースURLを構成します。
注:
StoreFrontでは、証明書内のSAN一覧で最後のSANが常に自動的に選択されます。通常、自動的に選択されたものをそのまま使用できますが、StoreFront管理者は必要に応じて変更することもできます。有効な
HTTPS://<FQDN>が証明書内にSANとして存在する場合、ホストベースURLをそのいずれかに手動で設定することができます。例:https://storefront.example.com
サーバーのベースURLをHTTPからHTTPSに変更
ホストのベースURLオプションは、Citrix StoreFrontで単一サーバー展開またはサーバーグループ展開を構成するときに使用できます。これは、サーバー証明書なしでCitrix StoreFrontをインストールおよび構成しているお客様にご利用いただけます。証明書をインストールした後、StoreFrontとそのサービスがセキュアな接続を使用していることを確認します。
注:
IT管理者は、この手順を実行する前に、Citrix StoreFrontサーバーにサーバー証明書を生成してインストールする必要があります。さらに、新しい接続を保護するには、HTTPS(ポート443)にIISバインドを作成する必要があります。
StoreFront 3.xのベースURLを変更するには、以下の手順を実行します:
- StoreFrontで、左ペインの [サーバーグループ] をクリックします。
- 右ペインの [ベースURLの変更] をクリックします。
-
ベースURLを入力し、[OK] をクリックします。
StoreFrontサーバーでのGatewayの構成:storefront.example.com
-
[ストア] ノードで、[Citrix Gatewayの管理] を [操作] ペインでクリックします。
-
サーバー名を変更するには、一覧から [ゲートウェイ] を選択し、[編集] をクリックします。
-
[全般設定] ページで共有FQDNを [Citrix Gateway URL] フィールドに入力します。
-
[認証設定] タブを選択し、コールバックFQDNを [コールバックURL] フィールドに入力します。
-
[Secure Ticket Authority] タブを選択し、Secure Ticket Authority(STA)サーバーが [ストア] ノード内で既に構成されているDelivery Controllerの一覧と一致するか確認します。
-
このストアのリモートアクセスを有効にします。
-
内部ビーコンにアカウントエイリアス(accounts.example.com)を手動で設定します。これは、ゲートウェイ外部からの解決が不可能なものである必要があります。このFQDNは、StoreFrontホストベースURLとCitrix Gateway仮想サーバーで共有される外部ビーコン(storefront.example.com)とは異なるものである必要があります。内部ビーコンと外部ビーコンが同じものになってしまうので、共有FQDNは使用しないでください。
複数の異なるFQDNを使用した検出のサポート
Citrix Workspaceアプリが複数のFQDNSを使用してストアを検出できるようにするには、以下の手順に従います。プロビジョニングファイルの構成が十分である場合、またはReceiver for Webのみを使用する場合は、次の手順を省略できます。
C:\inetpub\wwwroot\Citrix\Authentication\web.config に追加の<allowedAudiences>エントリを追加します。このファイルには<allowedAudiences>エントリが2つあります。Authentication Token Producer用である、ファイル内の最初のエントリのみに、追加の<allowedAudience>エントリを追加する必要があります。
-
<service id>セクションで、<allowedAudiences>文字列を見つけます。以下のように
audience="https://accounts.example.com/"の行を追加します。web.configファイルを保存して閉じます。<service id="abd6f54b-7d1c-4a1b-a8d7-14804e6c8c64" displayName="Authentication Token Producer"> ... <allowedAudiences> <add name="https-storefront.example.com" audience="https://storefront.example.com/" /> <add name="https-accounts.example.com" audience="https://accounts.example.com/" /> </allowedAudiences> <!--NeedCopy--> -
C:\inetpub\wwwroot\Citrix\Roaming\web.configで<tokenManager>セクションを見つけ、以下のように
audience="https://accounts.example.com/"の行を追加します。web.configファイルを保存して閉じます。<tokenManager> <services> <clear /> ... </trustedIssuers> <allowedAudiences> <add name="https-storefront.example.com" audience="https://storefront.example.com/" /> <add name="https-accounts.example.com" audience="https://accounts.example.com/" /> </allowedAudiences> </service> </services> </tokenManager> <!--NeedCopy-->
または、ストアのネイティブReceiver .CRプロビジョニングファイルをエクスポートすることもできます。これにより、Citrix Workspaceアプリの初回使用時の設定が不要になります。このファイルをすべてのWindowsおよびMAC Citrix Workspaceアプリクライアントに配布します。
Citrix Workspaceがクライアントにインストールされいてる場合、CRファイルタイプが認識され、プロビジョニングファイルをダブルクリックするとインポートが開始されます。
この記事の概要
- Citrix Workspaceアプリ用のStoreFrontビーコン
- Citrix Gateway仮想サーバーとSSL証明書の構成
- 証明機関(CA)を使用したCitrix Gateway仮想サーバーのSSL証明書の署名
- ポータブルデバイスへのルート証明書のインポート
- 外部DNS:storefront.example.com
- スプリットビューDNS
- Windows CAがCitrix Gatewayに発行した証明書のインポート
- Citrix Receiver for Windows、またはCitrix Receiver for Mac、Citrix Gatewayのセッションポリシー
- Receiver for Web用Gatewayセッションポリシー
- cVPNとSmartAccessの設定
- ICAプロキシと基本モードの設定
- StoreFrontサーバーのホストベースURL、ゲートウェイ、SSL証明書の構成
- StoreFrontサーバーでのGatewayの構成:storefront.example.com