Product Documentation

証明書

Oct 25, 2016

XenMobileでは証明書を使用し、セキュリティで保護された接続を作成してユーザーを認証します。

XenMobileには、サーバーへの通信フローを保護するためにインストール中に生成される自己署名SSL(Secure Sockets Layer)証明書がデフォルトで含まれています。 このSSL証明書を、既知のCA(Certificate Authority:証明機関)からの信頼されるSSL証明書に置き換えることをお勧めします。

XenMobileはまた、独自のPKI(Public Key Infrastructure:公開キーのインフラストラクチャ)サービスを使用するか、CAからクライアント証明書を取得します。 すべてのCitrix製品でワイルドカード証明書とSAN(Subject Alternative Name:サブジェクトの別名)証明書がサポートされます。 ほとんどの展開では、2つのワイルドカード証明書またはSAN証明書のみが必要です。

クライアント証明書認証を使用するとモバイルアプリのセキュリティが強化され、ユーザーはシームレスにHDXアプリにアクセスできます。 クライアント証明書認証が構成されている場合、ユーザーはWorx準拠アプリへのシングルサインオンアクセスにはWorx PINを入力します。 またWorx PINは、ユーザー認証工程を簡素化します。 Worx PINは、クライアント証明書をセキュリティで保護するため、またはActive Directory資格情報をデバイス上にローカルに保存するために使用されます。

XenMobileでiOSデバイスを登録して管理するには、AppleのApple Push Notification service(APNs)証明書を設定および作成する必要があります。 手順については、「APN証明書の要求」を参照してください。

次の表は、各XenMobileコンポーネントの証明書の形式と種類を示しています。

XenMobileコンポーネント証明書の形式必要な証明書の種類
NetScaler GatewayPEM(BASE64)

PFX(PKCS#12)

SSL、ルート

NetScaler Gatewayによって自動的にPFXがPEMに変換されます。

XenMobileサーバーPEMまたは

PFX(PKCS#12)

SSL、SAML、APNS

XenMobileはインストール処理中に完全なPKIも生成します。

XenMobileサーバーでは、拡張子「.pem」の証明書はサポートされません。 opensslコマンドを使用して、PEMファイルからPFXファイルを生成してください。

openssl pkcs12 -export -out certificate.pfx  -in certificate.pem

StoreFrontPFX(PKCS#12)SSL、ルート


XenMobileはSSLリスナー証明書およびクライアント証明書をサポートします。ビット長は4096、2048および1024です。 1024ビットの証明書は簡単に改ざんされることに注意してください。

NetScaler GatewayおよびXenMobileサーバーの場合は、Verisign、DigiCert、Thawteなどの商用CAからサーバー証明書を取得することをお勧めします。 NetScaler GatewayまたはXenMobile構成ユーティリティから証明書署名要求(Certificate Signing Request:CSR)を作成できます。 CSRの作成後、CAへ署名のために送信します。 CAから署名入り証明書を受け取ったら、NetScaler GatewayまたはXenMobileに証明書をインストールできます。

認証用のクライアント証明書

XenMobile環境では、クライアント証明書とLDAP認証の組み合わせが、最適なSSO機能とNetScalerでの2要素認証によって提供されるセキュリティが結びついている、セキュリティおよびユーザーエクスペリエンスの最高のソリューションです。 クライアント証明書とLDAPの両方を使用すると、ユーザーの知識(Active Directoryパスワード)と所有物(デバイス上のクライアント証明書)の両方を持つセキュリティが実現されます。 WorxMail(および他のいくつかのWorxアプリ)は、適切に構成されたExchangeクライアントアクセスサーバー環境で、クライアント証明書認証を伴うシームレスな新規ユーザーエクスペリエンスを自動的に構成して提供できます。 ユーザービリティを最適にするために、このオプションをWorx PINやActive Directoryパスワードのキャッシュと組み合わせることができます。

クライアント証明書認証は、仮想サーバーに提示されるクライアント証明書の属性に基づきます。 さらに、NetScaler Gateway上でルート証明書をその仮想サーバーにバインドする必要があります。 NetScaler Gatewayにログオンすると、そのユーザー名の情報が証明書の特定フィールドから抽出されます。 通常、このフィールドはSubject:CNです。 ユーザー名の抽出に成功すると、ユーザーの認証が完了します。 SSL(Secure Sockets Layer)ハンドシェイク時に有効な証明書が提供されなかったりユーザー名の抽出に失敗したりすると、認証に失敗します。

注:

  • クライアント証明書による認証は、RADIUSなど、別の種類の認証とともに使用できます。
  • クライアント証明書に基づいて認証するには、デフォルトの認証の種類としてクライアント証明書を指定します。 また、「証明書アクション」を作成して、クライアントのSSL証明書に基づいた認証時の動作を定義することもできます。
  • WorxMail(および他のいくつかのWorxアプリ)は、適切に構成されたExchangeクライアントアクセスサーバー環境で、クライアント証明書認証を伴うシームレスな新規ユーザーエクスペリエンスを自動的に構成して提供できます。 ユーザービリティを最適にするために、このオプションをWorx PINやActive Directoryパスワードのキャッシュと組み合わせることができます。
  • Netscaler Gatewayによるデバイス認証は、随意CAによって取得した証明書に対してはサポートされません。
  • XenMobileは、共有デバイスのクライアント証明書認証をサポートしません。

XenMobile PKI

XenMobile PKI(Public Key Infrastructure:公開キーのインフラストラクチャ)の統合機能を使用して、デバイスで使用するセキュリティ証明書の配布とライフサイクルを管理できます。

XenMobileはインストール処理中に、デバイス認証用の内部PKIを作成します。

外部PKIを使用して証明書をデバイスに発行し、構成ポリシーで使用することや、NetScaler Gatewayに対するクライアント認証で使用することもできます。

このPKIシステムの主要機能はPKIエンティティです。 PKIエンティティは、バックエンドコンポーネントをPKI処理用にモデル化します。 このコンポーネントは、Microsoft、RSA、Entrust、Symantex、OpenTrust PKIなどの企業インフラストラクチャの一部です。 PKIエンティティはバックエンドの証明書の発行と失効を処理します。 PKIエンティティは証明書のステータスに関する認証済みの情報源です。 XenMobile構成には、通常1つのバックエンドPKIコンポーネントにつき1つのPKIエンティティのみが含まれます。

PKIシステムの2つ目の機能は資格情報プロバイダーです。 資格情報プロバイダーとは、証明書の発行とライフサイクルの特定の構成を指します。 資格情報プロバイダーは、証明書の形式(サブジェクト、キー、アルゴリズム)および証明書の更新または失効の条件(該当する場合)などを管理します。 資格情報プロバイダーは処理をPKIエンティティに委任します。 つまり、資格情報プロバイダーはPKI処理が実行されるタイミングやそのときに使用するデータを管理しますが、PKIエンティティはそれらの処理の実行方法を管理します。 通常、XenMobile構成では、1つのPKIエンティティに多くの資格情報プロバイダーが含まれます。

XenMobileでの証明書の管理

XenMobile環境で使用する証明書の状態について、特に有効期限と関連付けられたパスワードを管理することをお勧めします。 このセクションでは、XenMobileでの証明書管理を簡単に行うための情報を提供します。

お使いの環境には、次の証明書の一部またはすべてが含まれている場合があります。

XenMobileサーバー
MDM FQDN用のSSL証明書
SAML証明書(ShareFile用)
上記証明書およびその他の内部リソース(StoreFrontやプロキシなど)用のルートCA証明書と中間CA証明書
iOSデバイス管理用のAPN証明書
XenMobileサーバーでのWorx Home通知用の内部APN証明書
PKIへの接続用のPKIユーザー証明書

MDX Toolkit
Apple Developerの証明書
Appleのプロビジョニングプロファイル(アプリケーションごと)
AppleのAPN証明書(WorxMailで使用)
Androidのキーストアファイル
Windows Phone – Symantecの証明書

NetScaler
MDM FQDN用のSSL証明書
Gateway FQDN用のSSL証明書
ShareFile SZC(StorageZonesコネクタ)FQDN用のSSL証明書
Exchange負荷分散用のSSL証明書(オフロード構成)
StoreFront負荷分散用のSSL証明書
上記証明書用のルートCA証明書および中間CA証明書

XenMobileの証明書の有効期限ポリシー

証明書の失効を許可した場合、証明書は無効になります。環境で安全なトランザクションを実行できなくなるため、XenMobileリソースにアクセスできなくなります。

注意

証明機関(CA:Certification Authority)により、有効期限前にSSL証明書を更新するように求められます。

WorxMail用のAPN証明書

Appleプッシュ通知サービス(APNs:Apple Push Notification service)の証明書は有効期限が1年間であるため、有効期限が切れる前にAPN SSL証明書を新しく作成してCitrixポータルで更新してください。 証明書の有効期限が切れると、WorxMailのプッシュ通知に不整合が生じます。 また、アプリに対してプッシュ通知を送信することもできなくなります。

iOSデバイス管理用のAPN証明書

XenMobileでiOSデバイスを登録して管理するには、AppleのAPN証明書を設定および作成する必要があります。 証明書の有効期限が切れると、ユーザーはXenMobileに登録できなくなり、管理者はユーザーのiOSデバイスを管理できなくなります。 詳しくは、「APN証明書の要求」を参照してください。

APN証明書の状態と有効期限は、Apple Push Certificate Portalにログオンして確認できます。 必ず、証明書を作成したときと同じユーザーでログオンしてください。

また、有効期限の30日前と10日前に、Appleから次の情報が記載されたメール通知が送信されます。

「AppleID <CustomersID>用に作成された次のAppleプッシュ通知サービス証明書が、<Date>に失効します。 この証明書を無効にする(失効させる)と、新しいプッシュ証明書を使用した既存デバイスの再登録が必要になります。

担当ベンダーに新しい証明書署名要求(署名入りのCSR)の作成を依頼してから、https://identity.apple.com/pushcertにアクセスしてお使いのAppleプッシュ通知サービス証明書を更新してください。

よろしくお願いします。

Appleプッシュ通知サービス」

MDX Toolkit(iOS配布証明書)

物理iOSデバイス(Apple App Storeのアプリケーション以外)上で実行するアプリケーションはすべて、プロビジョニングプロファイルおよび対応する配布証明書で署名する必要があります。

既存のiOS Developer for Enterprise証明書とプロビジョニングプロファイルは、iOS 9との互換性がない可能性があります。 詳しくは、「iOS 9用のWorx Appsのラップ」を参照してください。

iOS配布証明書が有効かどうかを確認するには、次の手順を実行します。

1. Apple Enterprise Developerポータルで、MDX Toolkitを使用してラップするアプリごとに明示的なアプリIDを作成します。 適切なアプリIDは、com.CompanyName.ProductNameなどです。
2. Apple Enterprise Developerポータルで[Provisioning Profiles]>[Distribution]の順に移動し、社内用プロビジョニングプロファイルを作成します。 前の手順で作成したアプリIDごとに、この手順を繰り返します。
3. すべてのプロビジョニングプロファイルをダウンロードします。 詳しくは、「iOSモバイルアプリケーションのラップ」を参照してください。

すべてのXenMobileサーバー証明書が有効かどうかを確認するには、次の手順を実行します。

  1.  XenMobileコンソールで[Settings][Certificates]の順にクリックします。 
  2. APNs証明書、SSLリスナー証明書、ルート/中間証明書を含むすべての証明書が有効であることを確認します。

Androidキーストア

キーストアとは、Androidアプリケーションの署名に使用する証明書が含まれるファイルのことです。キーの有効期限が切れると、ユーザーは新バージョンのアプリへシームレスにアップグレードすることができなくなります。

Symantec提供のWindows Phone用エンタープライズ証明書

Symantecは、Microsoft App Hubサービス用のコード署名証明書の独占プロバイダーです。 開発者とソフトウェアパブリッシャーがWindows Marketplaceでのダウンロード向けにWindows PhoneアプリケーションおよびXbox 360アプリケーションを配布するには、App Hubに参加する必要があります。 詳しくは、Symantecのドキュメントの「Symantec Code Signing Certificates for Windows Phone」を参照してください。
 
証明書の有効期限が切れると、Windows Phoneユーザーは、会社により公開および署名されているアプリの登録とインストール、Windows Phoneにインストール済みの業務用アプリの起動ができなくなります。

NetScaler

NetScaler証明書の失効の対処方法について詳しくは、Citrix Support Knowledge Centerの「NetScalerでの証明書失効の対処方法」を参照してください。

NetScaler証明書の有効期限が切れると、ユーザーは失効した証明書に応じて、Worx Storeへの登録とアクセス、WorxMail使用時のExchange Serverへの接続、HDXアプリケーションの列挙と起動ができなくなります。 

Expiry MonitorとCommand Centerを使用すると、NetScaler証明書の状況を把握でき、証明書が失効した時に通知を受け取ることもできます。 これら2つのツールでは、次のNetScaler証明書を監視できます。

MDM FQDN用のSSL証明書
Gateway FQDN用のSSL証明書
ShareFile SZC(StorageZonesコネクタ)FQDN用のSSL証明書
Exchange負荷分散用のSSL証明書(オフロード構成)
StoreFront負荷分散用のSSL証明書
上記証明書用のルートCA証明書および中間CA証明書