Product Documentation

構成ファイルを使ったStoreFrontの構成

Dec 15, 2016

ICAファイル署名の有効化

StoreFrontには、ICAファイルにデジタル署名を追加するオプションが用意されています。これにより、この機能をサポートするバージョンのCitrix Receiverで、ICAファイルが信頼されるサーバーからのものであることを検証できるようになります。 StoreFrontでファイルの署名を有効にすると、ユーザーがアプリケーションを起動するときに生成されるICAファイルが、StoreFrontサーバーの個人証明書ストアにある証明書を使用して署名されます。 StoreFrontサーバーのオペレーティングシステムでサポートされる任意のハッシュアルゴリズムを使ってICAファイルを署名できます。 クライアントソフトウェアがこの機能をサポートしない場合やICAファイルの署名用に構成されていない場合、デジタル署名は無視されます。 署名処理に失敗した場合は、デジタル署名なしでICAファイルが生成され、Citrix Receiverに送信されます。未署名のファイルを受け入れるかどうかは、Receiver側での構成により決定されます。

StoreFrontのICAファイルの署名機能で使用する証明書には秘密キーが含まれ、許可された有効期間内である必要があります。 証明書にキー使用法エクステンションが含まれる場合は、デジタル署名での使用が許可されている必要があります。 拡張キー使用法エクステンションが含まれる場合は、コード署名またはサーバー認証ように設定されている必要があります。

ICAファイルを署名する場合、商用の証明機関または組織内の独自の証明機関から取得したコード署名またはSSL署名証明書を使用することをお勧めします。 証明機関から適切な証明書を取得できない場合は、サーバー証明書のような既存のSSL証明書を使用するか、新しいルート証明機関証明書を作成してユーザーデバイスに配布することができます。

ストアのICAファイルの署名機能はデフォルトでは無効になっています。 ICAファイルの署名機能を有効にするには、ストアの構成ファイルを編集してからWindows PowerShellコマンドを実行します。 Citrix Receiver側でICAファイルの署名機能を有効にする方法について詳しくは、「ICAファイルに署名して信頼されていないサーバー上のアプリケーションやデスクトップが起動しないようにする」を参照してください。

注:StoreFront管理コンソールとPowerShellコンソールを同時に開くことはできません。 StoreFront管理コンソールを閉じてからPowerShellコンソールを開いてください。 同様に、PowerShellのすべてのインスタンスを閉じてからStoreFront管理コンソールを開いてください。
重要:複数サーバーによる展開環境では、複数のサーバー上で同時にサーバーグループの構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソールを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサーバーグループに反映させて、展開内のほかのサーバーを更新します。
  1. ICAファイルの署名に使用する証明書が、現在のユーザーの証明書ストアではなく、StoreFrontサーバー上のCitrixデリバリーサービスの証明書ストアで使用可能になっていることを確認します。
  2. テキストエディターを使ってストアのweb.configファイルを開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\<storename>\ディレクトリにあります。ここで、<storename>はストアの作成時に指定した名前です。
  3. ファイル内で次のセクションを検索します。
    <certificateManager>   <certificates>     <clear />     <add ... />     ...   </certificates> </certificateManager> 
  4. 次に示すように、署名に使用する証明書の詳細を追加します。
    <certificateManager>   <certificates>     <clear />     <add id="certificateid" thumb="certificatethumbprint" />     <add ... />     ...   </certificates> </certificateManager> 

    ここで、certificateidはストアの構成ファイル内で証明書を識別するための値で、certificatethumbprintはハッシュアルゴリズムにより生成される証明書データのダイジェスト(または拇印)です。

  5. ファイル内で次の要素を検索します。
    <icaFileSigning enabled="False" certificateId="" hashAlgorithm="sha1" /> 
  6. ストアのICAファイルの署名を有効にするには、enabled属性の値をTrueに変更します。 さらに、certificateId属性の値を、証明書を識別するために使用したID、つまり手順4.のcertificateidに設定します。
  7. SHA-1以外のハッシュアルゴリズムを使用する場合は、必要に応じてhashAgorithm属性の値をsha256sha384、またはsha512に設定します。
  8. ローカルの管理者アカウントを使ってWindows PowerShellを起動して、コマンドプロンプトで次のコマンドを実行します。これにより、ストアが秘密キーにアクセスできるようになります。
    Add-PSSnapin Citrix.DeliveryServices.Framework.Commands   $certificate = Get-DSCertificate "certificatethumbprint"  Add-DSCertificateKeyReadAccess -certificate $certificates[0] -accountName “IIS APPPOOL\Citrix Delivery Services Resources” 

    ここでcertificatethumbprintは、ハッシュアルゴリズムにより 生成される証明書データのダイジェストです。

ファイルタイプの関連付けの無効化

ストアのファイルタイプの関連付けは、デフォルトで有効になっています。このため、ユーザーがユーザーデバイス上で開いたローカルファイルは、サブスクライブ済みのアプリケーションで表示されます。 ファイルタイプの関連付けを無効にするには、ストアの構成ファイルを編集します。

重要:複数サーバーによる展開環境では、複数のサーバー上で同時にサーバーグループの構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソールを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサーバーグループに反映させて、展開内のほかのサーバーを更新します。
  1. テキストエディターを使ってストアのweb.configファイルを開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\<storename>\ディレクトリにあります。ここで、<storename>はストアの作成時に指定した名前です。
  2. ファイル内で次の要素を検索します。
    <farmset ... enableFileTypeAssociation="on" ... >
  3. ストアのファイルタイプの関連付けを無効にするには、enableFileTypeAssociation属性の値をoffに変更します。

Citrix Receiverのログオンダイアログボックスのカスタマイズ

Citrix Receiverユーザーがストアにログオンするときのダイアログボックスには、デフォルトでタイトルが表示されません。 このダイアログボックスをカスタマイズして、タイトルに「ログオンしてください」などのメッセージを表示することができます。 Citrix Receiverのログオンダイアログボックスにタイトル文字列を表示するには、認証サービス用のファイルを編集します。

重要:複数サーバーによる展開環境では、複数のサーバー上で同時にサーバーグループの構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソールを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサーバーグループに反映させて、展開内のほかのサーバーを更新します。
  1. テキストエディターを使って認証サービス用のUsernamePassword.tfrmファイルを開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\Authentication\App_Data\Templates\フォルダーにあります。
  2. ファイル内で次の行を検索します。
    @* @Heading("ExplicitAuth:AuthenticateHeadingText") *@
  3. この行のコメントを解除します。これを行うには、次のように最初の「@*」と最後の「*@」を削除します。
    @Heading("ExplicitAuth:AuthenticateHeadingText") 

    これにより、Citrix Receiverユーザーがこのストアにログオンしたときに、デフォルトのタイトル文字列である「Please log on」または「ログオンしてください」などが表示されます。

  4. タイトル文字列を変更するには、テキストエディターを使って認証サービス用のExplicitAuth.resxファイルを開きます。このファイルは通常、C:\inetpub\wwwroot\Citrix\Authentication\App_Data\resources\フォルダーにあります。
  5. ファイル内で次の要素を検索します。 <value>要素内の文字列を編集します。これにより、このストアのログオンダイアロボックスのタイトルが変更されます。
    <data name="AuthenticateHeadingText" xml:space="preserve">   <value>My Company Name</value> </data>

    日本語など、英語以外のロケール用のタイトルを編集するには、適切な言語のExplicitAuth.<languagecode>.resxを編集します。ここで、<languagecode>は「ja」などのロケールIDです。

Citrix Receiver for Windowsでのパスワードおよびユーザー名のキャッシュ機能の無効化

Citrix Receiver for Windowsのデフォルトでは、ユーザーがStoreFrontストアにログオンしたときのパスワードがキャッシュされます。 Citrix Receiver for Windowsでパスワードのキャッシュ機能を無効にするには、認証サービスのファイルを編集します(この設定はCitrix Receiver for Windows Enterpriseには適用されません)。

重要:複数サーバーによる展開環境では、複数のサーバー上で同時にサーバーグループの構成を変更しないでください。 展開内のほかのサーバー上でCitrix StoreFront管理コンソールを同時に実行していないことを確認してください。 変更が完了したら、構成の変更をサーバーグループに反映させて、展開内のほかのサーバーを更新します。
  1. テキストエディターを使用して、inetpub\wwwroot\Citrix\Authentication\App_Data\Templates\UsernamePassword.tfrmファイルを開きます。
  2. ファイル内で次の行を検索します。
    @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials"))
  3. この行を次のようにコメント化します。
    <!-- @SaveCredential(id: @GetTextValue("saveCredentialsId"), labelKey: "ExplicitFormsCommon:SaveCredentialsLabel", initiallyChecked: ControlValue("SaveCredentials")) -->

    これにより、この認証サービスのストアにCitrix Receiver for Windowsを使用してログオンするユーザーは、毎回パスワードの入力が必要になります。 この設定は、Citrix Receiver for Windows Enterpriseには適用されません。

警告

レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。 レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。 レジストリエディターは、お客様の責任と判断の範囲でご使用ください。 また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。

デフォルトで、Citrix Receiver for Windowsでは姓が自動的に抽出されて入力されます。 ユーザー名フィールドへの自動抽出を無効にするには、ユーザーデバイスでレジストリを編集します。

  1. REG_SZ値の HKLM\SOFTWARE\Citrix\AuthManager\RememberUsernameを作成します。
  2. 値を「false」に設定します。