This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
PKI エンティティ
XenMobile® 公開鍵インフラストラクチャ (PKI) エンティティ構成は、実際の PKI 操作(発行、失効、ステータス情報)を実行するコンポーネントを表します。これらのコンポーネントは、XenMobile の内部または外部にあります。内部コンポーネントは裁量的(discretionary)と呼ばれます。外部コンポーネントは企業のインフラストラクチャの一部です。
XenMobile は次の種類の PKI エンティティをサポートしています。
-
Microsoft 証明書サービス
-
裁量的証明機関 (CA)
XenMobile は次の CA サーバーをサポートしています。
- Windows Server 2019
- Windows Server 2016
注:
Windows Servers 2012 R2、2012、および 2008 R2 は、サポート終了に達したため、サポートされなくなりました。詳細については、Microsoft 製品のライフサイクルに関するドキュメントを参照してください。
一般的な PKI の概念
種類にかかわらず、すべての PKI エンティティには次の機能のサブセットがあります。
- 署名: 証明書署名要求 (CSR) に基づいて新しい証明書を発行
- フェッチ: 既存の証明書とキーペアを回復
- 失効: クライアント証明書を失効
CA 証明書について
PKI エンティティを構成するときは、そのエンティティによって発行された(または回復された)証明書の署名者である CA 証明書を XenMobile に示します。その PKI エンティティは、任意の数の異なる CA によって署名された証明書(フェッチされたものまたは新しく署名されたもの)を返すことができます。
これらの各 CA の証明書を PKI エンティティ構成の一部として提供します。これを行うには、証明書を XenMobile にアップロードし、PKI エンティティでそれらを参照します。裁量的 CA の場合、証明書は暗黙的に署名 CA 証明書です。外部エンティティの場合、証明書を手動で指定する必要があります。
重要:
Microsoft Certificate Services エンティティテンプレートを作成する際は、登録済みデバイスで発生する可能性のある認証の問題を回避してください。テンプレート名に特殊文字を使用しないでください。たとえば、
! : $ ( ) # % + * ~ ? | { } [ ]は使用しないでください。
Microsoft 証明書サービス
XenMobile は、Web 登録インターフェイスを介して Microsoft Certificate Services と連携します。XenMobile は、そのインターフェイスを介した新しい証明書の発行のみをサポートしています。Microsoft CA が Citrix Gateway ユーザー証明書を生成する場合、Citrix Gateway はそれらの証明書の更新と失効をサポートします。
XenMobile で Microsoft CA PKI エンティティを作成するには、Certificate Services Web インターフェイスのベース URL を指定する必要があります。必要に応じて、SSL クライアント認証を使用して、XenMobile と Certificate Services Web インターフェイス間の接続を保護します。
Microsoft Certificate Services エンティティの追加
-
XenMobile コンソールで、コンソールの右上隅にある歯車アイコンをクリックし、[PKI エンティティ] をクリック
-
[PKI エンティティ] ページで、[追加] をクリック
PKI エンティティタイプのメニューが表示されます。
-
[Microsoft Certificate Services エンティティ] をクリック
[Microsoft Certificate Services エンティティ: 一般情報] ページが表示されます。
-
[Microsoft Certificate Services エンティティ: 一般情報] ページで、次の設定を構成します。
- 名前: 新しいエンティティの名前を入力します。この名前は後でそのエンティティを参照するために使用します。エンティティ名は一意である必要があります
-
Web 登録サービスのルート URL: Microsoft CA Web 登録サービスのベース URL を入力します。例:
https://192.0.2.13/certsrv/。URL はプレーン HTTP または HTTP-over-SSL を使用できます - certnew.cer ページ名: certnew.cer ページの名称。何らかの理由で名前を変更していない限り、デフォルト名を使用します
- certfnsh.asp: certfnsh.asp ページの名称。何らかの理由で名前を変更していない限り、デフォルト名を使用します
-
認証タイプ: 使用する認証方法を選択します
- なし
- HTTP Basic: 接続に必要なユーザー名とパスワードを入力します
- クライアント証明書: 正しい SSL クライアント証明書を選択します
-
[接続のテスト] をクリックして、サーバーにアクセスできることを確認します。アクセスできない場合は、接続に失敗したことを示すメッセージが表示されます。構成設定を確認してください。
-
[次へ] をクリック
[Microsoft Certificate Services エンティティ: テンプレート] ページが表示されます。このページでは、Microsoft CA がサポートするテンプレートの内部名を指定します。資格情報プロバイダーを作成するときは、ここで定義されているリストからテンプレートを選択します。このエンティティを使用するすべての資格情報プロバイダーは、そのようなテンプレートを正確に 1 つ使用します。
Microsoft Certificate Services テンプレートの要件については、お使いの Microsoft Server バージョンに関する Microsoft ドキュメントを参照してください。XenMobile は、証明書に記載されている証明書形式以外の、配布する証明書に関する要件はありません。
-
[Microsoft Certificate Services エンティティ: テンプレート] ページで、[追加] をクリックし、テンプレートの名前を入力して、[保存] をクリックします。追加する各テンプレートについて、この手順を繰り返します。
-
[次へ] をクリック
[Microsoft Certificate Services エンティティ: HTTP パラメーター] ページが表示されます。このページでは、XenMobile が Microsoft Web 登録インターフェイスへの HTTP リクエストに追加するカスタムパラメーターを指定します。カスタムパラメーターは、CA で実行されているカスタマイズされたスクリプトにのみ役立ちます。
-
[Microsoft Certificate Services エンティティ: HTTP パラメーター] ページで、[追加] をクリックし、追加する HTTP パラメーターの名前と値を入力して、[次へ] をクリック
[Microsoft Certificate Services エンティティ: CA 証明書] ページが表示されます。このページでは、システムがこのエンティティを介して取得する証明書の署名者を XenMobile に通知する必要があります。CA 証明書が更新されたら、XenMobile で更新します。XenMobile は、変更をエンティティに透過的に適用します。
-
[Microsoft Certificate Services エンティティ: CA 証明書] ページで、このエンティティに使用する証明書を選択します。
-
[保存] をクリック
エンティティが PKI エンティティテーブルに表示されます。
Citrix ADC 証明書失効リスト (CRL)
XenMobile は、サードパーティの証明機関に対してのみ証明書失効リスト (CRL) をサポートしています。Microsoft CA が構成されている場合、XenMobile は Citrix ADC を使用して失効を管理します。
クライアント証明書ベースの認証を構成するときは、Citrix ADC 証明書失効リスト (CRL) 設定の [CRL 自動更新を有効にする] を構成するかどうかを検討してください。この手順により、MAM 専用モードのデバイスのユーザーが、デバイス上の既存の証明書を使用して認証できないようにします。
XenMobile は、ユーザーが失効後にユーザー証明書を生成することを制限しないため、新しい証明書を再発行します。この設定は、CRL が期限切れの PKI エンティティをチェックする際に、PKI エンティティのセキュリティを向上させます。
裁量的 CA
裁量的 CA は、XenMobile に CA 証明書と関連する秘密鍵を提供するときに作成されます。XenMobile は、指定したパラメーターに従って、証明書の発行、失効、およびステータス情報を内部的に処理します。
裁量的 CA を構成するときに、その CA のオンライン証明書ステータスプロトコル (OCSP) サポートをアクティブ化できます。OCSP サポートを有効にした場合にのみ、CA は CA が発行する証明書に拡張機能 id-pe-authorityInfoAccess を追加します。この拡張機能は、次の場所にある XenMobile 内部 OCSP レスポンダーを指します。
https://<server>/<instance>/ocsp
OCSP サービスを構成するときは、該当する裁量的エンティティの OCSP 署名証明書を指定します。CA 証明書自体を署名者として使用できます。CA 秘密鍵の不必要な露出を避けるため(推奨):CA 証明書によって署名された委任 OCSP 署名証明書を作成し、この拡張機能 id-kp-OCSPSigning extendedKeyUsage を含めます。
XenMobile OCSP レスポンダーサービスは、基本的な OCSP 応答と、リクエストにおける次のハッシュアルゴリズムをサポートしています。
- SHA-1
- SHA-224
- SHA-256
- SHA-384
- SHA-512
応答は SHA-256 と署名証明書キーアルゴリズム(DSA、RSA、または ECDSA)で署名されます。
裁量的 CA の追加
-
XenMobile コンソールで、コンソールの右上隅にある歯車アイコンをクリックし、[その他] > [PKI エンティティ] をクリック
-
[PKI エンティティ] ページで、[追加] をクリック
PKI エンティティタイプのメニューが表示されます。
-
[裁量的 CA] をクリック
[裁量的 CA: 一般情報] ページが表示されます。
-
[裁量的 CA: 一般情報] ページで、次の操作を行います。
- 名前: 裁量的 CA の説明的な名前を入力します
- 証明書要求に署名する CA 証明書: 裁量的 CA が証明書要求に署名するために使用する証明書をクリックします
この証明書リストは、[構成] > [設定] > [証明書] で XenMobile にアップロードした秘密鍵を持つ CA 証明書から生成されます。
-
[次へ] をクリック
[裁量的 CA: パラメーター] ページが表示されます。
-
[裁量的 CA: パラメーター] ページで、次の操作を行います。
- シリアル番号ジェネレーター: 裁量的 CA は、発行する証明書のシリアル番号を生成します。このリストから、番号の生成方法を決定するために [シーケンシャル] または [非シーケンシャル] をクリック
- 次のシリアル番号: 次に発行される番号を決定する値を入力
- 証明書の有効期間: 証明書が有効な日数を入力
- キー使用法: 裁量的 CA によって発行される証明書の目的を、適切なキーを [オン] に設定することで識別します。設定すると、CA はそれらの目的の証明書の発行に制限
- 拡張キー使用法: さらにパラメーターを追加するには、[追加] をクリックし、キー名を入力して、[保存] をクリック
-
[次へ] をクリック
[裁量的 CA: 配布] ページが表示されます。
-
[裁量的 CA: 配布] ページで、配布モードを選択します。
- 集中型: サーバー側キー生成。Citrix は集中型オプションを推奨しています。秘密鍵はサーバー上で生成および保存され、ユーザーデバイスに配布されます
-
分散型: デバイス側キー生成。秘密鍵はユーザーデバイス上で生成されます。この分散モードでは SCEP を使用し、
keyUsage keyEncryption拡張機能を持つ RA 暗号化証明書と、keyUsage digitalSignature拡張機能を持つ RA 署名証明書が必要です。同じ証明書を暗号化と署名の両方に使用できます
-
[次へ] をクリック
[裁量的 CA: オンライン証明書ステータスプロトコル (OCSP)] ページが表示されます。
[裁量的 CA: オンライン証明書ステータスプロトコル (OCSP)] ページで、次の操作を行います。
- この CA によって署名された証明書に
AuthorityInfoAccess(RFC2459) 拡張機能を追加する場合は、[この CA の OCSP サポートを有効にする] を [オン] に設定します。この拡張機能は、https://<server>/<instance>/ocspにある CA OCSP レスポンダーを指します - OCSP サポートを有効にした場合は、OCSP 署名 CA 証明書を選択します。この証明書リストは、XenMobile にアップロードした CA 証明書から生成されます
- この CA によって署名された証明書に
-
[保存] をクリック
裁量的 CA が PKI エンティティテーブルに表示されます。
共有
共有
This Preview product documentation is Citrix Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Citrix Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Citrix product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.