Product Documentation

認証

Apr 27, 2017

XenMobileの動作では、複数のコンポーネントが認証に関与します。

  • XenMobileサーバー:XenMobileサーバーでは、登録ならびに登録エクスペリエンスに関係するセキュリティを定義します。導入するユーザーの選択肢には、登録を全員に公開するか招待のみにするか、および2要素または3要素認証を必須にするかなどがあります。XenMobileのクライアントプロパティを介して、Citrix PIN認証を有効化して、PINの複雑度や有効期限を構成できます。 
  • NetScaler:NetScalerはマイクロVPN SSLセッションを終了させ、ネットワーク転送中セキュリティを提供し、ユーザーがアプリにアクセスするたびに使用される認証エクスペリエンスを定義できるようにします。
  • Secure Hub:Secure Hubは、登録操作で、XenMobileサーバーと連携します。Secure HubはNetScalerと通信するデバイス上のエンティティです。セッションが期限切れになると、Secure HubはNetScalerから認証チケットを取得して、MDXアプリにチケットを渡します。中間者攻撃を防げる証明書ピン留めの使用をお勧めします。詳しくは、「Secure Hub」にある証明書ピンニングについてのセクションを参照してください。

    Secure HubではMDXセキュリティコンテナーも容易になります。Secure Hubは、ポリシーをプッシュし、アプリがタイムアウトするとNetScalerで新しいセッションを作成し、MDXタイムアウトおよび認証エクスペリエンスを定義します。Secure Hubは、ジェイルブレイク検出、地理位置情報チェック、および適用するすべてのポリシーを担当します。
  • MDX policies:MDXポリシーは、デバイス上にデータ格納場所を作成します。MDXポリシーは、マイクロVPN接続にNetScalerを参照させ、オフラインモード制限を強制し、タイムアウトなどのクライアントポリシーを強制します。

一要素、または二要素による方法の概要など、認証を構成する方法を決定する場合に検討すべき情報について詳しくは、『Deployment Handbook』のAuthenticationに関するトピックを参照してください。

XenMobileでは証明書を使用し、セキュリティで保護された接続を作成してユーザーを認証します。この記事の残りの部分では、証明書について説明します。そのほかの構成について詳しくは、以下の記事を参照してください。

証明書

XenMobileには、サーバーへの通信フローを保護するためにインストール中に生成される自己署名SSL(Secure Sockets Layer)証明書がデフォルトで含まれています。このSSL証明書を、既知のCA(Certificate Authority:証明機関)からの信頼されるSSL証明書に置き換えることをお勧めします。

XenMobileはまた、独自のPKI(Public Key Infrastructure:公開キーのインフラストラクチャ)サービスを使用するか、CAからクライアント証明書を取得します。すべてのCitrix製品でワイルドカード証明書とSAN(Subject Alternative Name:サブジェクトの別名)証明書がサポートされます。ほとんどの展開では、2つのワイルドカード証明書またはSAN証明書のみが必要です。

クライアント証明書認証を使用するとモバイルアプリのセキュリティが強化され、ユーザーはシームレスにHDXアプリにアクセスできます。クライアント証明書認証が構成されている場合、ユーザーはXenMobile準拠アプリへのシングルサインオンアクセスにはCitrix PINを入力します。またCitrix PINにより、ユーザー認証工程が簡素化されます。Citrix PINは、クライアント証明書をセキュリティで保護するため、またはActive Directory資格情報をデバイス上にローカルに保存するために使用されます。

XenMobileでiOSデバイスを登録して管理するには、AppleのApple Push Notification service(APNs)証明書を設定および作成する必要があります。手順については、「APNs証明書」を参照してください。

次の表は、各XenMobileコンポーネントの証明書の形式と種類を示しています。

XenMobileコンポーネント

証明書の形式

必要な証明書の種類

NetScaler Gateway

PEM(BASE64)

PFX(PKCS#12)

SSL、ルート

NetScaler Gatewayによって自動的にPFXがPEMに変換されます。

XenMobileサーバー

.p12(Windowsベースのコンピューターの.pfx)

SSL、SAML、APNS

XenMobileはインストール処理中に完全なPKIも生成します。

StoreFront

PFX(PKCS#12)

SSL、ルート

XenMobileはSSLリスナー証明書およびクライアント証明書をサポートします。ビット長は4096、2048および1024です。1024ビットの証明書は簡単に改ざんされることに注意してください。

NetScaler GatewayおよびXenMobileサーバーの場合は、Verisign、DigiCert、Thawteなどの商用CAからサーバー証明書を取得することをお勧めします。NetScaler GatewayまたはXenMobile構成ユーティリティから証明書署名要求(Certificate Signing Request:CSR)を作成できます。CSRの作成後、CAへ署名のために送信します。CAから署名入り証明書を受け取ったら、NetScaler GatewayまたはXenMobileに証明書をインストールできます。

XenMobileでの証明書のアップロード

アップロードする各証明書は、[Certificates]の表で1つのエンティティとして表され、その内容がまとめられています。証明書が必要なPKI統合コンポーネントを構成するときに、サーバー証明書の一覧からコンテキスト依存の条件を満たすサーバー証明書を選択するよう求めるメッセージが表示されます。たとえば、XenMobileをMicrosoft CAと統合するように構成する場合があります。Microsoft CAへの接続はクライアント証明書を使用して認証されます。

このセクションでは、証明書をアップロードする一般的な手順について説明します。クライアント証明書の作成、アップロード、構成について詳しくは、「クライアント証明書、または証明書とドメイン認証の組み合わせ」を参照してください。

秘密キーの要件

XenMobileは、特定の証明書に対して秘密キーを所有する場合と所有しない場合があります。同様に、XenMobileは、アップロードする証明書に対して秘密キーを要求する場合と要求しない場合があります。

コンソールへの証明書のアップロード

コンソールに証明書をアップロードする場合、主に2つのオプションがあります。

  • クリックして、キーストアをインポートし、インストールするキーストアリポジトリのエントリを識別できます(PKCS#12形式をアップロードする場合を除く)。
  • クリックして証明書をインポートできます。

CAが要求に署名するために使用するCA証明書(秘密キーなし)とクライアント認証用のSSLクライアント証明書(秘密キーあり)をアップロードできます。Microsoft CAエンティティを構成する場合は、CA証明書を指定する必要があります。CA証明書であるすべてのサーバー証明書の一覧から選択できます。同様に、クライアント認証を構成する場合は、XenMobileが秘密キーを持っているすべてのサーバー証明書の一覧から選択できます。

キーストアをインポートするには

設計上、セキュリティ証明書のリポジトリであるキーストアには、複数のエントリが含まれていることがあります。このため、キーストアから読み込むときに、読み込むエントリを識別するエントリエイリアスの指定を求めるメッセージが表示されます。エイリアスを指定しない場合、ストアの最初のエントリが読み込まれます。PKCS#12ファイルに含まれるエントリは通常1つだけであるため、キーストアの種類としてPKCS#12を選択した場合、エイリアスフィールドは表示されません。

1. XenMobileコンソールで、右上の歯車アイコンをクリックします。[Settings]ページが開きます。

2.[Certificates]をクリックします。[Certificates]ページが開きます。

localized image

3.[Import]をクリックします。[Import]ダイアログボックスが開きます。

4. 次の設定を構成します。

  • Import:ボックスの一覧から、[Keystore]を選択します。[Import]ダイアログボックスが、使用可能なキーストアオプションを反映した表示に変わります。
localized image
  • Keystore type:ボックスの一覧から、[PKCS#12]を選択します。
  • Use as:一覧から、証明書の使用方法を選択します。以下の種類から選択できます。
    • Server。サーバー証明書はXenMobileサーバーで機能上使用される証明書で、XenMobile Webコンソールにアップロードされます。サーバー証明書には、CA証明書、RA証明書、およびインフラストラクチャのほかのコンポーネントでのクライアント認証用の証明書が含まれます。また、デバイスに展開する証明書のストレージとしてサーバー証明書を使用することができます。これは特に、デバイスで信頼性を確立するために使用されるCAに適用されます。
    • SAML。Security Assertion Markup Language(SAML)証明書を使用すると、サーバー、Webサイト、およびアプリケーションへのシングルサインオン(Single Sign-On:SSO)アクセスを提供できます。
    • APNs。AppleのApple Push Notificationサービス(APNs)証明書を使用すると、Apple Push Networkを使用してモバイルデバイスを管理できます。
    • SSL Listener。SSL(Secure Sockets Layer)リスナーは、XenMobileにSSL暗号化アクティビティを通知します。
  • Keystore file:インポートするファイル形式.p12(または、Windowsベースのコンピューターで.pfx)のキーストアを参照して指定します。
  • Password:証明書に割り当てられたパスワードを入力します。
  • Description:任意で、キーストアの説明を入力します。この説明は、ほかのキーストアと区別するときに役立ちます。

5.[Import]をクリックします。キーストアが[Certificates]の表に追加されます。

証明書をインポートするには

ファイルまたはキーストアエントリから証明書をインポートするときに、XenMobileは入力から証明書チェーンの作成を試行し、そのチェーンのすべての証明書をインポートします(各証明書のサーバー証明書エントリを作成します)。この操作は、チェーン内の連続する各証明書が前の証明書の発行者である場合など、ファイルまたはキーストアエントリの証明書が実際にチェーンを形成している場合にのみ機能します。

発見目的でインポートされた証明書にオプションで説明を追加できます。説明はチェーンの1つ目の証明書にのみ追加されます。ほかの証明書の説明は後から更新できます。

1. XenMobileコンソールで、右上の歯車アイコンをクリックした後、[Certificates]をクリックします。

2.[Certificates]ページで、[Import]をクリックします。[Import]ダイアログボックスが開きます。

3.[Import]ダイアログボックスの[Import]の一覧から、まだ選択していない場合は[Certificate]を選択します。

4.[Import]ダイアログボックスが、使用可能な証明書オプションを反映した表示に変わります。[Use as]の一覧から、キーストアの使用方法を選択します。以下の種類から選択できます。

  • Server。サーバー証明書はXenMobileサーバーで機能上使用される証明書で、XenMobile Webコンソールにアップロードされます。サーバー証明書には、CA証明書、RA証明書、およびインフラストラクチャのほかのコンポーネントでのクライアント認証用の証明書が含まれます。また、デバイスに展開する証明書のストレージとしてサーバー証明書を使用することができます。このオプションは特に、デバイスで信頼性を確立するために使用されるCAに適用されます。
  • SAML。Security Assertion Markup Language(SAML)証明書を使用すると、サーバー、Webサイト、およびアプリケーションへのシングルサインオン(Single Sign-On:SSO)アクセスを提供できます。
  • SSL Listener。SSL(Secure Sockets Layer)リスナーは、XenMobileにSSL暗号化アクティビティを通知します。

5. インポートするファイル形式.p12(または、Windowsベースのコンピューターで.pfx)のキーストアを参照して指定します。

6. 任意で、証明書の秘密キーファイルを参照して指定します。秘密キーは、証明書と組み合わせて暗号化と復号化で使用されます。

7. 任意で、証明書の説明を入力します。この説明は、ほかの証明書と区別するときに役立ちます。

8.[Import]をクリックします。証明書が[Certificates]の表に追加されます。

証明書の更新

XenMobileで同時に存在できるのは1つの公開キーにつき1つの証明書のみです。既にインポートされている証明書と同じキーペアの証明書をインポートしようとする場合、既存のエントリを置き換えるか、または削除するかを選択できます。

証明書を最も効率よく更新するには、XenMobileコンソールで右上の歯車アイコンをクリックして[Settings]ページを開き、[Certificates]をクリックします。[Import]ダイアログボックスで、新しい証明書をインポートします。

サーバー証明書を更新すると、以前の証明書を使用していたコンポーネントが新しい証明書を使用するように自動的に切り替わります。同様に、デバイスにサーバー証明書を展開している場合、証明書は次回展開するときに自動的に更新されます。

XenMobile証明書の管理

XenMobile環境で使用する証明書の情報、特に有効期限と関連パスワードを把握することをお勧めします。このセクションは、XenMobileで証明書をより簡単に管理する方法について説明します。

ご使用の環境には以下の一部、またはすべての証明書が含まれている可能性があります。

XenMobileサーバー
MDM FQDN用のSSL証明書
SAML証明書(ShareFile用)
前記証明書およびその他の内部リソース(StoreFront/Proxyなど)用のルートおよび中間CA証明書
iOSデバイス管理用のAPNs証明書
XenMobileサーバーのSecure Hub通知用の内部APNs証明書
PKIに接続するためのPKIユーザー証明書

MDX Toolkit
Apple Developer証明書
Appleプロビジョニングプロファイル(アプリケーションごと)
Apple APNs証明書(Citrix Secure Mail用)
Android KeyStoreファイル
Windows Phone – Symantec証明書

NetScaler
MDM FQDN用のSSL証明書
Gateway FQDN用のSSL証明書
ShareFile SZC FQDN用のSSL証明書
Exchangeでの負荷分散用のSSL証明書(オフロード構成)
StoreFrontでの負荷分散用のSSL証明書
前記証明書用のルートおよび中間CA証明書

XenMobile証明書の有効期限ポリシー

証明書の有効期限が切れると、証明書が無効になり、環境で安全なトランザクションを実行することや、XenMobileリソースにアクセスすることができなくなります。

注意

有効期限前に、証明機関(CA)からSSL証明書を更新するよう求められます。

Citrix Secure MailのAPN証明書

Appleプッシュ通知サービス(APNs)証明書は毎年有効期限が切れるため、期限切れ前に新しいAppleプッシュ通知サービスSSL証明書を作成し、Citrixポータルで証明書を更新してください。証明書の期限が切れた場合、Secure Mailプッシュ通知に一貫性がなくなります。また、アプリのプッシュ通知を送信することもできなくなります。

iOSデバイス管理用のAPN証明書

XenMobileでiOSデバイスを登録して管理するには、AppleのAPN(Apple Push Notification)サービス証明書を設定および作成する必要があります。証明書の期限が切れた場合、XenMobileに登録したり、iOSデバイスを管理したりできなくなります。詳しくは、「APNs証明書」を参照してください。

Apple Push Certificates Portalにログオンして、APN証明書のステータスと有効期限を表示できます。証明書を作成した時と同じユーザー名でログオンするようにしてください。

また、有効期限の30日前と10日前に、Appleから以下の情報を記載したメール通知を受信します。

「Apple IDカスタマーIDで作成した次のAppleプッシュ通知サービス証明書がまもなく期限切れです。これらの証明書を取り消した場合、または証明書が期限切れになった場合、既存のデバイスを再登録する必要があります。

ベンダーに連絡して新しい要求(署名済みCSR)を生成し、https://identity.apple.com/pushcertでAppleプッシュ通知サービス証明書を更新してください。

よろしくお願いいたします。

Appleプッシュ通知サービス」

MDX Toolkit(iOS配布証明書)

物理的iOSデバイス(Apple App Storeのアプリケーション以外)上で実行する任意のアプリケーションにプロビジョニングプロファイルおよび対応する配布証明書で署名する必要があります。

有効なiOS配布証明書があるかを確認するには、以下の操作を行います。

1. Apple Enterprise Developerポータルから、MDX Toolkitでラップする各アプリで新しいプロビジョニングプロファイルと一意で明示的なアプリIDを作成します。有効なApp IDの例:com.CompanyName.ProductName。
2. Apple Enterprise Developerポータルから、[Provisioning Profiles]>[Distribution]に移動して、社内プロビジョニングプロファイルを作成します。前述の手順で作成されたApp IDごとに、この手順を繰り返します。
3. すべてのプロビジョニングプロファイルをダウンロードします。詳しくは、「iOSモバイルアプリケーションのラップ」を参照してください。

すべてのXenMobileサーバー証明書が有効であることを確認するには、以下の操作を行います。

  1. XenMobileコンソールで、[Settings][Certificates]の順にクリックします。 
  2. APN証明書、SSL証明書、リスナー証明書、ルート証明書、中間証明書を含むすべての証明書が有効であることを確認してください。

Androidキーストア

キーストアはAndroidアプリに署名するために使用する証明書を含むファイルです。キーの有効期間が切れると、アプリの新しいバージョンにシームレスにアップグレードできなくなります。

SymantecのWindows Phone用エンタープライズ証明書

Symantecは、Microsoft App Hubサービスのコード署名証明書を提供する唯一のプロバイダーです。開発者およびソフトウェアの発行元はMicrosoft App Hubに参加して、Windows MarketplaceからダウンロードされるWindows PhoneおよびXbox 360アプリケーションを配布します。詳しくは、「Symantec Code Signing Certificates for Windows Phone」を参照してください。

証明書の有効期限が切れた場合、Windows Phoneユーザーは登録や同社が公開し署名したアプリのインストール、Windows phoneにインストールされた会社のアプリの起動ができなくなります。

NetScaler

NetScalerの証明書の有効期限について詳しくは、Citrix Support Knowledge Centerで「How to handle certificate expiry on NetScaler」を参照してください。

期限の切れたNetScaler証明書を使用すると、Storeへの登録やアクセス、Secure Mail使用中のExchangeサーバーへの接続、HDXアプリの表示や起動ができません(期限の切れた証明書の種類によります)。 

Expiry MonitorおよびCommand Centerによって、NetScaler証明書の記録を確認でき、証明書の有効期限が切れると通知が送信されます。この2つのツールは、以下のNetscaler証明書の監視に役立ちます。

MDM FQDN用のSSL証明書
Gateway FQDN用のSSL証明書
ShareFile SZC FQDN用のSSL証明書
Exchangeでの負荷分散用のSSL証明書(オフロード構成)
StoreFrontでの負荷分散用のSSL証明書
前記証明書用のルートおよび中間CA証明書