ストアに内部および外部アクセスするための単一のFQDNの作成

会社のネットワーク内外のクライアント用に単一の完全修飾ドメイン名(Fully Qualified Domain Name:FQDN)を作成することで、そのネットワーク内、およびネットワーク外からCitrix Gateway経由でリソースにアクセスするユーザーの使い勝手を簡素化することができます。

単一のFQDNを作成すると、ユーザーが各プラットフォーム用のReceiverを簡単に構成できるようになりますネットワーク内からアクセスする場合もインターネット経由で外部からアクセスする場合も、ユーザーが覚える必要のあるURLは1つのみになります。

Citrix Workspaceアプリ用のStoreFrontビーコン

Citrix Workspaceアプリは、ユーザーがローカルネットワークとパブリックネットワークのどちらに接続しているのかをビーコンポイントを使用して識別します。ユーザーがデスクトップやアプリケーションにアクセスすると、そのリソースを提供するサーバーがそのユーザーの位置情報に基づいて適切な接続詳細をCitrix Workspaceアプリに返します。これにより、ユーザーがデスクトップまたはアプリケーションにアクセスしたときに再ログオンする必要がなくなります。ビーコンポイントの構成については、「ビーコンポイントの構成」を参照してください。

注:

この記事では、「Citrix Workspaceアプリ」に関する記載は、特に明記されていない限り、サポートされているバージョンのCitrix Receiverにも適用されます。

Citrix Gateway仮想サーバーとSSL証明書の構成

外部のクライアントが会社のネットワーク外からリソースにアクセスしようとしたときに、共有FQDNはDMZの外部ファイアウォールルーターインターフェイスのIP、またはCitrix Gateway仮想サーバーのIPに解決されます。SSL証明書の[Common Name](一般名)フィールドと[Subject Alternative Name](SAN:サブジェクトの別名)フィールドに、ストアの外部アクセスに使用する共有FQDNが含まれていることを確認します。会社の証明機関(CA)の代わりにサードパーティのルートCA(Verisignなど)を使用してゲートウェイ証明書に署名すると、外部クライアントはゲートウェイ仮想サーバーにバインドされている証明書を自動的に信頼します。サードパーティのルートCA(Verisignなど)を使用する場合、追加のルートCA証明書を外部クライアントにインポートする必要はありません。

Citrix GatewayとStoreFrontサーバーの両方に対して、共有FQDNの一般名を使用して単一の証明書を展開する場合は、リモート検出をサポートするかどうかを検討します。サポートする場合は、証明書がSANの仕様に準拠していることを確認してください。

証明書のプロパティ

Citrix Gateway仮想サーバーの証明書の例:storefront.example.com

  1. 共有FQDN、コールバックURL、およびアカウントエイリアスURLが、SANとして[DNS]フィールドに含まれていることを確認します。

  2. 証明書と秘密キーをCitrix Gatewayにインポートできるように、秘密キーがエクスポート可能になっていることを確認します。

  3. Default AuthorizationがAllowと設定されていることを確認します。

  4. サードパーティCA(Verisignなど)または組織における会社のルートCAを使用して証明書に署名します。

2ノードサーバーグループのSANの例

storefront.example.com(必須)

storefrontcb.example.com(必須)

accounts.example.com(必須)

storefrontserver1.example.com (オプション)

storefrontserver2.example.com (オプション)

証明機関(CA)を使用したCitrix Gateway仮想サーバーのSSL証明書の署名

必要に応じて、次の2種類のCA署名入り証明書のいずれかを選択することができます。

  • サードパーティのCA署名付き証明書 - Citrix Gateway仮想サーバーの証明書が信頼されたサードパーティによって署名されている場合は、外部クライアントの信頼されたルートCA証明書ストアにルートCA証明書をコピーする必要はほとんどありません。Windowsクライアントには、一般的なほとんどの署名機関のルートCA証明書が付属しています。使用できる商用のサードパーティCAの例としては、DigiCert、Thawte、Verisignなどがあります。ただし、iPad、iPhone、Androidのタブレットや電話などのモバイルデバイスには、ルートCAをデバイスにコピーして、Citrix Gateway仮想サーバーを信頼するように構成することが必要な場合があります。

  • 会社のルートCA署名付き証明書 — これを選択する場合は、すべての外部クライアントの信頼されたルートCAストアに会社のルートCA証明書をコピーする必要があります。ネイティブReceiverがインストールされたポータブルデバイス(iPhoneやiPadなど)を使用する場合は、これらのデバイスでセキュリティプロファイルを作成します。

ポータブルデバイスへのルート証明書のインポート

  • iOSデバイスのローカルストレージには通常アクセスできないため、iOSデバイスでは電子メールの添付ファイルを使用してX.509証明書のCERファイルをインポートします。
  • 同様にAndroidデバイスでもX.509(.CER)形式が必要です。証明書は、デバイスのローカルストレージまたはメールの添付ファイルからインポートできます。

外部DNS:storefront.example.com

組織のインターネットサービスプロバイダーによって提供されるDNS解決によって、DMZの外部境界に位置するファイアウォールルーターの外部に対するIPや、Citrix Gateway仮想サーバーの仮想IPが解決されるようにします。

スプリットビューDNS

  • スプリットビューDNSを正しく構成すると、DNS要求の送信元アドレスに応じてクライアントに正しいDNS Aレコードが送信されます。
  • 公共ネットワークと社内ネットワーク間を移動するクライアントのIPアドレスは、それに応じて変更されます。クライアントがstorefront.example.comを照会すると、そのときの接続先ネットワークに応じて適切なAレコードを受信します。

Windows CAがCitrix Gatewayに発行した証明書のインポート

WinSCPは、WindowsマシンからCitrix Gatewayファイルシステムへのファイル移動に役立つ無料のサードパーティツールです。インポートする証明書を、Citrix Gatewayファイルシステム内の/nsconfig/ssl/フォルダーにコピーします。Citrix GatewayでOpenSSLツールを使用してPKCS12またはPFXファイルから証明書とキーを抽出し、Citrix Gatewayで使用できるX.509のCERファイルとKEYファイルをPEM形式で個別に作成できます。

  1. このPFXファイルをCitrix GatewayアプライアンスまたはVPXの/nsconfig/sslにコピーします。
  2. Citrix Gatewayのコマンドラインインターフェイスを開きます。
  3. FreeBSDシェルに切り替えるために、Shellと入力して、Citrix Gatewayのコマンドラインインターフェイスを終了します。
  4. ディレクトリを変更するために、cd /nsconfig/sslを使用します。
  5. openssl pkcs12 -in <imported cert file>.pfx -nokeys -out <certfilename>.cerを実行します。PFXのパスワードの入力を求めるメッセージが表示されたらパスワードを入力します。
  6. コマンド openssl pkcs12 -in <imported cert file>.pfx -nocerts -out <keyfilename>.key
  7. 画面のメッセージに従ってPFXパスワードを入力し、次に、秘密キーのPEMパスフレーズを設定してKEYファイルを保護します。
  8. /nsconfig/ssl/内にCERファイルとKEYファイルが正常に作成されたことを確認するには、ls –alを実行します。
  9. Citrix Gatewayのコマンドラインインターフェイスに戻るために、Exitと入力します。

Citrix Receiver for Windows、またはCitrix Receiver for Mac、Citrix Gatewayのセッションポリシー

REQ.HTTP.HEADER User-Agent CONTAINS CitrixReceiver && REQ.HTTP.HEADER X-Citrix-Gateway EXISTS

Receiver for Web用Gatewayセッションポリシー

REQ.HTTP.HEADER User-Agent NOTCONTAINS CitrixReceiver && REQ.HTTP.HEADER Referer EXISTS

cVPNとSmartAccessの設定

SmartAccessを使用している場合、Citrix Gateway仮想サーバーのプロパティページで、SmartAccessモードを有効にします。この場合、リモートリソースに同時にアクセスするすべてのユーザー用のユニバーサルライセンスが必要です。

Receiverのプロファイル

Receiverのプロファイル

セッションプロファイルのアカウントサービスURLをhttps://accounts.example.com/Citrix/Roaming/Accountsに設定します(https://storefront.example.com/Citrix/Roaming/Accountsではありません)。

セッションプロファイルのアカウントサービスURL

また、StoreFrontサーバーの認証用およびローミング用の各web.configファイルにも、このURLを追加の<allowedAudiences>として追加します。詳しくは、後述の「StoreFrontサーバーのホストベースURL、ゲートウェイ、SSL証明書の構成」を参照してください。

Receiver for Webのプロファイル

Receiver for Webのプロファイル

Receiver for Webのプロファイル

ICAプロキシと基本モードの設定

ICAプロキシを使用している場合、Citrix Gateway仮想サーバーのプロパティページで、基本モードを有効にします。1つのCitrix ADCプラットフォームライセンスのみが必要です。

Receiverのプロファイル

Receiver ICAproxy

Receiver ICAproxy

Receiver for Webのプロファイル

Webreceiver ICA Proxy

Webreceiver ICA Proxy

StoreFrontサーバーのホストベースURL、ゲートウェイ、SSL証明書の構成

ストアをホストするStoreFrontクラスターまたは単一のStoreFront IPが作成されている場合は、Citrix Gateway仮想サーバーに解決される共有FQDNがStoreFrontのロードバランサーにも直接解決される必要があります。

内部DNS:3つのDNS Aレコードを作成します

  • storefront.example.comがStoreFrontのロードバランサーまたは単一のStoreFrontサーバーIPに解決される必要があります。
  • storefrontcb.example.comがゲートウェイの仮想サーバーの仮想IPに解決される必要があるので、DMZと会社のローカルネットワークの間にファイアウォールがある場合は、これを許可します。
  • accounts.example.com — storefront.example.comのDNSエイリアスとして作成します。StoreFrontクラスターのロードバランサーIPまたは単一のStoreFrontサーバーIPにも解決されます。

StoreFrontサーバー証明書の例:storefront.example.com

  1. StoreFrontをインストールする前に、StoreFrontサーバーまたはサーバーグループ用の適切な証明書を作成します。

  2. 共有FQDNを[Common name]フィールドと[DNS]フィールドに追加します。これが、先に作成したCitrix Gateway仮想サーバーにバインドされたSSL証明書で使用されるFQDNと一致することを確認します。または、Citrix Gateway仮想サーバーにバインドされているものと同じ証明書を使用します。

  3. 別のSANとしてアカウントエイリアス(accounts.example.com)を証明書に追加します。SANで使用するアカウントエイリアスは、前述のネイティブReceiverのGatewayセッションのポリシーおよびプロファイルの手順で使用したエイリアスです。

    アカウントエイリアス

  4. 秘密キーをエクスポート可能にして、証明書を別のサーバーまたは複数のStoreFrontサーバーグループノードに転送できるようにします。

    秘密キー

  5. サードパーティCA(Verisignなど)、会社のルートCA、または中間CAを使用して証明書に署名します。

  6. 秘密キーを含めて、この証明書をPFX形式でエクスポートします。

  7. 証明書と秘密キーをStoreFrontサーバーにインポートします。Windows NLB StoreFrontクラスターを展開している場合は、すべてのノードにこの証明書をインポートします。Citrix ADC負荷分散仮想サーバーなどの代替ロードバランサーを使用している場合は、そこに証明書をインポートします。

  8. StoreFrontサーバーのIISでHTTPSバインドを作成し、インポートしたSSL証明書をバインドします。

    サイトのバインド

  9. StoreFrontサーバーで、選択済みの共有FQDNに一致するように、ホストベースURLを構成します。

    注:

    StoreFrontでは、証明書内のSAN一覧で最後のSANが常に自動的に選択されます。通常、自動的に選択されたものをそのまま使用できますが、StoreFront管理者は必要に応じて変更することもできます。有効な HTTPS://<FQDN>が証明書内にSANとして存在する場合、ホストベースURLをそのいずれかに手動で設定することができます。例:https://storefront.example.com

ローカライズされた画像

サーバーのベースURLをHTTPからHTTPSに変更

ホストのベースURLオプションは、Citrix StoreFrontで単一サーバー展開またはサーバーグループ展開を構成するときに使用できます。これは、サーバー証明書なしでCitrix StoreFrontをインストールおよび構成しているお客様にご利用いただけます。証明書をインストールした後、StoreFrontとそのサービスがセキュアな接続を使用していることを確認します。

注:

IT管理者は、この手順を実行する前に、Citrix StoreFrontサーバーにサーバー証明書を生成してインストールする必要があります。さらに、新しい接続を保護するには、HTTPS(ポート443)にIISバインドを作成する必要があります。

StoreFront 3.xのベースURLを変更するには、以下の手順を実行します:

  1. StoreFrontで、左ペインの [サーバーグループ] をクリックします。
  2. 右ペインの [ベースURLの変更] をクリックします。
  3. ベースURLを入力し、[OK] をクリックします。

    ベースURLの変更

StoreFrontサーバーでのGatewayの構成:storefront.example.com

  1. [ストア] ノードで、[Citrix Gatewayの管理][操作] ペインでクリックします。

  2. サーバー名を変更するには、一覧から [ゲートウェイ] を選択し、[編集] をクリックします。

    ローカライズされた画像

  3. [全般設定] ページで共有FQDNを [Citrix Gateway URL] フィールドに入力します。

  4. [認証設定] タブを選択し、コールバックFQDNを [コールバックURL] フィールドに入力します。

    ローカライズされた画像

  5. [Secure Ticket Authority] タブを選択し、Secure Ticket Authority(STA)サーバーが [ストア] ノード内で既に構成されているDelivery Controllerの一覧と一致するか確認します。

  6. このストアのリモートアクセスを有効にします。

  7. 内部ビーコンにアカウントエイリアス(accounts.example.com)を手動で設定します。これは、ゲートウェイ外部からの解決が不可能なものである必要があります。このFQDNは、StoreFrontホストベースURLとCitrix Gateway仮想サーバーで共有される外部ビーコン(storefront.example.com)とは異なるものである必要があります。内部ビーコンと外部ビーコンが同じものになってしまうので、共有FQDNは使用しないでください。

    ビーコンの管理

FQDNを使用した検出のサポート

FQDNによる検出をサポートするには、次の手順に従います。プロビジョニングファイルの構成が十分である場合、またはReceiver for Webのみを使用する場合は、次の手順を省略できます。

C:\inetpub\wwwroot\Citrix\Authentication\web.config に追加の<allowedAudiences>エントリを追加します。このファイルには<allowedAudiences>エントリが2つあります。Authentication Token Producer用である、ファイル内の最初のエントリのみに、追加の<allowedAudience>エントリを追加する必要があります。

  1. <service id>セクションで、<allowedAudiences>文字列を見つけます。以下のようにaudience="https://accounts.example.com/"の行を追加します。web.configファイルを保存して閉じます。

    <service id="abd6f54b-7d1c-4a1b-a8d7-14804e6c8c64" displayName="Authentication Token Producer">
    ...
    <allowedAudiences>
    <add name="https-storefront.example.com" audience="https://storefront.example.com/" />
    <add name="https-accounts.example.com" audience="https://accounts.example.com/" />
    </allowedAudiences>
    
  2. C:\inetpub\wwwroot\Citrix\Roaming\web.configで<tokenManager>セクションを見つけ、以下のようにaudience="https://accounts.example.com/"の行を追加します。web.configファイルを保存して閉じます。

    <tokenManager>
    <services>
    <clear />
    ...
    </trustedIssuers>
    <allowedAudiences>
    <add name="https-storefront.example.com" audience="https://storefront.example.com/" />
    <add name=`https-accounts.example.com" audience="https://accounts.example.com/" />
    </allowedAudiences>
    </service>
    </services>
    </tokenManager>
    

または、ストアのネイティブReceiver .CRプロビジョニングファイルをエクスポートすることもできます。これにより、Citrix Workspaceアプリの初回使用時の設定が不要になります。このファイルをすべてのWindowsおよびMAC Citrix Workspaceアプリクライアントに配布します。

プロビジョニングファイルのエクスポート

Citrix Workspaceがクライアントにインストールされいてる場合、CRファイルタイプが認識され、プロビジョニングファイルをダブルクリックするとインポートが開始されます。

概要