Citrix GatewayおよびCitrix ADCとの統合

Citrix GatewayをStoreFrontと一緒に使って、企業ネットワークとCitrix ADCの外側にいるユーザーにセキュアなリモートアクセスを提供し、負荷分散を実行します。

ゲートウェイとサーバー証明書の使用方法の計画

StoreFrontをCitrix GatewayおよびCitrix ADCと統合するには、ゲートウェイとサーバー証明書の使用方法について計画を立てる必要があります。展開環境内のどのCitrixコンポーネントでサーバー証明書を要求するかを検討してください。

  • インターネットに接続するサーバーおよびゲートウェイの証明書を外部の証明機関から取得する計画を立ててください。クライアントデバイスでは、内部証明機関により署名された証明書は自動で信頼されない場合があります。
  • 外部および内部の両方のサーバー名を用意してください。多くの組織では、example.com(外部用)とexample.net(内部用)というように内部用と外部用の名前空間が分けられています。サブジェクトの別名(SAN)拡張機能を使用すると、これら両種の名前を1つの証明書に含めることができます。これは推奨される構成ではありません。公的証明機関から証明書が発行されるのは、最上位ドメイン(TLD:top-level domain)がIANAに登録されている場合のみです。この場合でも、一般的に使用される内部サーバー名の一部(example.localなど)は使用できないため、外部名と内部名で別々の証明書が必要になることがあります。
  • 可能であれば、外部サーバーと内部サーバーには別の証明書を使用してください。ゲートウェイでは、各インターフェイスに異なる証明書をバインドすることで複数の証明書を使用できる場合があります。
  • インターネットに接続するサーバーと接続しないサーバー間で証明書を共有しないでください。これらの証明書は、有効期間や失効ポリシーなどが内部証明機関から発行された証明書とは異なる可能性があります。
  • 「ワイルドカード」証明書を共有するのは、同等のサービス間のみにしてください。異なる種類のサーバー間(StoreFrontサーバーとその他の種類のサーバーなど)で証明書を共有しないでください。異なる管理下にあるサーバー間やセキュリティポリシーが違うサーバー間で証明書を共有しないでください。同等のサービスを提供するサーバーの典型的な例は以下のとおりです。
    • StoreFrontサーバーのグループとこれらのサーバー間で負荷分散を実行するサーバー。
    • GSLB内のインターネットに接続するゲートウェイのグループ。
    • 同等のリソースを提供するCitrix Virtual Apps and Desktopsコントローラーのグループ。
  • ハードウェアセキュリティで保護された秘密キーストレージを用意してください。一部のCitrix ADCモデルを含むゲートウェイとサーバーでは、ハードウェアセキュリティモジュール(HSM:Hardware Security Module)またはトラステッドプラットフォームモジュール(TPM:Trusted Platform Module)内に秘密キーを格納して保護することができます。セキュリティ上の理由から、こうした構成は、一般に証明書および秘密キーの共有をサポートするようには設定されていません。各コンポーネントのドキュメントを参照してください。Citrix Gatewayを使用してGSLBを実装する場合、使用するFQDNがすべて含まれる同一の証明書をGSLB内の各ゲートウェイに設定する必要のある場合があります。

Citrix展開環境のセキュリティ保護について詳しくは、『End-To-End Encryption with Citrix Virtual Apps and Desktops』ホワイトペーパーおよびCitrix Virtual Apps and Desktopsの「セキュリティ」セクションを参照してください。

Citrix Gateway VIPで認証が無効な場合のStoreFrontログオンの構成

Citrix Gateway VIPで認証が無効な場合にStoreFrontにログオンします。この手順は次の2つのシナリオで機能します: 内部ネットワーク。X-Citrix-GatewayヘッダーがStoreFrontに渡される場合、Citrix Gatewayの認証が無効で、STAが使用できないため、リモートの場所からアプリを起動できません。 Citrix Receiver for Web。Citrix Gateway VIPで認証が有効になっていない場合、Receiverクライアントは認証しません。

StoreFrontサーバーでの変更

  1. [トークンの一貫性を要求する] フィールドを無効にします:
    • StoreFront 3.0
      1. ストアのWebサイトのweb.configファイルを編集します。たとえば、StoreFrontストア名がNoAuthの場合、StoreFrontサーバーのweb.configファイルのパスはinetpub\wwwroot\Citrix\NoAuthです。
    1. web.configファイル内の次の行を特定し、値をTrueからFalseに変更します。 変更前: <resourcesGateways requireTokenConsistency="true"> 。変更後: <resourcesGateways requireTokenConsistency="false">

      注:

      StoreFront 3.xのGUIで [トークンの一貫性を要求する] はチェックボックスです。詳しくは、上級ストア設定を参照してください。

    2. web.configファイルを保存してIISサービスを再起動します。

  2. Citrix StoreFront管理コンソールを開きます。

  3. [Receiver for Webサイトの管理] をクリックします。

  4. 対応するCitrix Receiver for Webサイトを選択し、[構成]をクリックし、[認証方法]を選択します。

  5. [Citrix Gatewayからのパススルー] オプションをオフにしてください。

注:

Citrix Gatewayと[リモートアクセスの有効化]はStoreFrontサーバーで設定されているものとします。

Citrix Gatewayでの変更

  1. Citrix Gateway仮想サーバーを開きます。

  2. [Authentication] タブをクリックして [Enable Authentication] チェックボックスをオフにしてください。

  3. 関連するセッションポリシーを、Citrix Gateway仮想サーバーにバインドします。

  4. 接続をテストします。