Product Documentation

MAM-Onlyモード用の証明書認証

Aug 02, 2016

MAM-Onlyモードで証明書認証を使用するには、Microsoftサーバー、XenMobileサーバーを構成してから、NetScaler Gatewayサーバーを構成する必要があります。 この記事では、次の一般的な手順を詳しく説明します。

Microsoftサーバーの場合

  1. 証明書のスナップインをMicrosoft管理コンソールに追加します。 
  2. テンプレートを証明機関(CA)に追加します。
  3. CAサーバーからPFX証明書を作成 します。

XenMobileサーバーの場合

  1. 証明書をXenMobileにアップロードします。
  2. 証明書に基づいた認証のためにPKIエンティティを作成します。
  3. 資格情報プロバイダーを構成します。
  4. NetScaler Gatewayを構成して、認証用のユーザー証明書を配信します。

NetScaler Gateway:

  1. XenMobile MAM-Onlyモードの証明書認証用にNetScaler Gatewayを構成します。

証明書のスナップインをMicrosoft管理コンソールに追加するには

1. コンソールを開いて、[スナップインの追加と削除]をクリックします。

2. 次のスナップインを追加します。

証明書テンプレート
証明書(ローカルコンピューター)
証明書 - 現在のユーザー
証明機関(CA)(ローカル)

localized image

3. [証明書テンプレート]を展開します。

localized image

4. [ユーザー]テンプレートと[テンプレートの複製]を選択します。

localized image

5. [テンプレート]の表示名を入力します。

重要:必要な場合以外は、[Active Directoryの証明書を発行する]チェックボックスを選択しないでください。 このオプションが選択されると、すべてのユーザークライアント証明書がActive Directoryで発行/作成され、Active Directoryデータベースを圧迫する可能性があります。

6. テンプレートタイプとして[Windows 2003 Server]を選択します。 Windows 2012 R2の[互換性]で、[Certificate Authority]を選択してWindows 2003を宛先として設定します。

localized image

7. [セキュリティ]で、認証ユーザーの[許可]列の[登録]オプションを選択します。

localized image

8. [Cryptography]で、XenMobileの構成中に入力する必要のあるキーサイズが入力されていることを確認します。 

localized image

9. [サブジェクト名]で、[要求に含まれる]を選択します。 変更を適用して、保存します。

localized image

テンプレートを証明機関(CA)に追加するには

1. [Certificate Authority]に移動して、[証明書テンプレート]を選択します。

2. 右ペインを右クリックして、[新規作成]、[発行する証明書テンプレート]の順に選択します。

localized image

3. 前の手順で作成したテンプレートを選択し、[OK]をクリックして[Certificate Authority]に追加します。

localized image

CAサーバーでPFX証明書を作成するには

1. ログインしたサービスアカウントで、ユーザー.pfx certを作成します。 この.pfxファイルはXenMobileにアップロードされ、デバイスを登録するユーザーのためにユーザー証明書を要求します。

2. [現在のユーザー]で、[証明書]を展開します。

3. 右ペインで右クリックし、[Request New Certificate]をクリックします。

localized image

4. [Certificate Enrollment]画面が表示されます。 [次へ]をクリックします。

localized image

5. [Active Directory登録ポリシー]を選択して[次へ]をクリックします。

localized image

6. [ユーザー]テンプレートを選択し、[登録]をクリックします。

localized image

7. 前の手順で作成した.pfxファイルをエクスポートします。

localized image

8. [はい、秘密キーをエクスポートします]をクリックします。

localized image

9. [証明のパスにある証明書を可能であればすべて含む]を選択し、[すべての拡張プロパティをエクスポートする]チェックボックスを選択します。

localized image

10. XenMobileに証明書をアップロードする際に使用するパスワードを設定します。

localized image

11. 証明書をローカルのハードドライブに保存します。

証明書をXenMobileにアップロードするには

1. XenMobileコンソールで、右上の歯車アイコンをクリックします。 [設定]画面が表示されます。

2. [証明書]をクリックしてから、[インポート]をクリックします。

3. 以下のパラメーターを入力します。

  • インポート:Keystore
  • キーストアの種類:PKCS#12
  • 使用目的:Server
  • Key File Name[参照]をクリックして、前の手順で作成した.pfx 証明書を選択します。
  • パスワード:証明書と一緒に作成したパスワードを入力します。 
localized image

5. [Import]をクリックします。

6. 証明書が正常にインストールされているか確認します。 ユーザー証明書として表示されているはずです。

証明書に基づいた認証用PKIエンティティを作成するには

1. [設定]で、[詳細]、[証明書管理]、[PKIエンティティ]の順に移動します。

2. [追加]をクリックしてから、[Microsoft 証明書サービス エンティティ]をクリックします。 [Microsoft 証明書サービス エンティティ: 一般的な情報]画面が表示されます。

3. 以下のパラメーターを入力します。

  • 名前:任意の名前を入力します
  • Web 登録サービス ルート URL:https://RootCA-URL/certsrv/
    :URLパスの末尾が「/」で終わっていることを確認してください。
  • certnew.cer ページ名:certnew.cer(デフォルト値)
  • certfnsh.asp:certfnsh.asp(デフォルト値)
  • Authentication type:クライアント証明書。
  • SSL クライアント証明書:署名済みのXenMobileクライアント証明書のルートCAを選択します。
localized image

4. [テンプレート]で、Microsoft証明書を構成したときに作成したテンプレートを追加します。 空白を入れないように注意してください。

localized image

5. HTTPパラメーターをスキップし、[CA 証明書]をクリックします。

6. XenMobileクライアント証明書を発行するために使用するユーザー証明書を選択します。 これは、XenMobileクライアント証明書からインポートされたチェーンの一部です。

localized image

7. [保存]をクリックします。

資格情報プロバイダーを構成するには

1. [設定]で、[詳細]、[証明書管理]、[資格情報プロバイダー]の順に移動します。

2. [Add]をクリックします。

3. [全般]で、次のパラメーターを入力します。

  • 名前:任意の名前を入力します。
  • アカウントの説明:任意の説明を入力します。
  • 発行エンティティ:前に作成したPKIエンティティを選択します。
  • 発行方式:SIGN
  • テンプレート:PKIエンティティに追加されたテンプレートを選択します。 
localized image

4. [証明書署名要求]をクリックしてから、次のパラメーターを入力します。

  • キー アルゴリズム:RSA
  • キー サイズ:2048
  • 署名アルゴリズム:SHA1withRSA
  • サブジェクト名:cn=$user.username

サブジェクト名はsAMAccountNameを参照します。 これにより、NetScalerが認証に[User Name]フィールドを使用できるようになります。

5. [サブジェクトの別名][追加]をクリックしてから、次のパラメーターを入力します。

  • 種類:ユーザープリンシパル名
  • :$user.userprincipalname 
localized image

6. [ディストリビューション]をクリックし、次のパラメーターを入力します。

  • 発行 CA 証明書:署名済みのXenMobileクライアント証明書の発行CAを選択します。
  • ディストリビューション モードの選択[優先集中: サーバー側のキー生成]を選択します。
localized image

7. 次の2つのセクション(Revocation XenMobileRevocation PKI-- )で必要なパラメーターを設定します。 この記事では、このオプションをスキップします。

8. [更新]をクリックします。

9. [有効期限が切れたら証明書を更新][オン]を選択します。

10. そのほかの設定はすべてそのままにするか、必要な変更を加えます。 

localized image

11. [Save]をクリックします。

XenMobileでNetScaler証明書の配信を構成するには

1. XenMobileコンソールにログオンして、右上の歯車アイコンをクリックします。 [設定]画面が表示されます。

2. [Server]の下の[NetScaler Gateway]をクリックします。

3. NetScaler Gatewayがまだ追加されていない場合、[Add]をクリックして、次のように設定を指定します。

External URL:https://YourNetScalerGatewayURL

Logon Type:Certificate

Password Required: OFF

Set as Default: ON

4.  [Deliver user certificate for authentication][On]を選択し、[Save]をクリックします。

localized image

5. [Credential Provider]でプロバイダーを選択し、[Save]をクリックします。

証明書認証用にNetScaler Gatewayを構成するには

次の手順で、XenMobile MAM-onlyモードの証明書認証用にNetScalerアプライアンスを構成します。

1. NetScalerにログオンします。

2. [構成]で、[Integrate with Citrix Products]に移動し、[XenMobile]を選択します。 

これによって、XenMobile環境でNetScaler機能を構成するウィザードが開きます。

3. [XenMobile 10]を選択します。

4. [開始]をクリックします。

localized image

5. 次の画面で、[Access through NetScaler Gateway][Load Balance XenMobile Servers]選択してから、[続行]をクリックします。

localized image

6. 次の画面で外部向けのNetScaler GatewayのIPアドレスを入力し、[続行]をクリックします。

NetScaler Gatewayのサーバー証明書画面が表示されます。

7. 既存の証明書を使用するか、証明書をインストールします。 [続ける]をクリックします。

[認証設定]画面が表示されます。

8. [Primary authentication method]フィールドで、[クライアント証明書]を選択します。

これによって、次の2つのフィールドで自動的に[Use existing certificate policy]および[Cert Auth]を選択します。

9. [Click here to change the CA certificate]を選択してから、[参照]一覧から目的のCA証明書に移動します。 

localized image

10. [Second authentication method][なし]のままにして、[続ける]をクリックします。

11. [負荷分散]画面で、XenMobileサーバーのFQDNとMAM-onlyの内部負荷分散IPアドレスを入力します。

12. これはSSLオフロード展開であるため、[Communication with XenMobile Server][HTTP]を選択します。

[Split DNS mode for MicroVPN]フィールドに、[両方]が表示されます。

13. [続ける]をクリックします。 

localized image

14. [XenMobile Server Certificate]画面で、既存のサーバー証明書を選択するか、新しい証明書をインストールします。 複数のXenMobileサーバーを実行している場合、各サーバーに証明書を追加します。 [続ける]をクリックします。

15.   [Device certificate]画面で、既にインストールされていない場合、この証明書をXenMobileコンソールからエクスポートする必要があります。 必要な操作:

a. コンソールで、右上の歯車アイコンをクリックして、[設定]画面を開きます。

b. [証明書]をクリックして、一覧からCA証明書を選択します。

c. [Export]をクリックします。

d. NetScalerウィザードに戻って、インストールのためにエクスポート(ダウンロード)した証明書を選択します。

e. [続ける]をクリックします。

既に構成したXenMobileサーバーのIPアドレスが表示されます。

16.   [続ける]をクリックします。

NetScalerダッシュボードで、NetScaler GatewayおよびXenMobileの負荷分散が構成されます。 

localized image