XenMobile Server

PKIエンティティ

XenMobileのPKI(Public Key Infrastructure:公開キーのインフラストラクチャ)エンティティ構成は、実際のPKI処理(発行、失効、状態情報)を実行するコンポーネントを表します。これらのコンポーネントは、XenMobileに対して内部または外部のどちらかです。内部コンポーネントは、任意として参照されます。外部コンポーネントは企業インフラストラクチャの一部です。

XenMobileは次の種類のPKIエンティティをサポートします。

  • Microsoft証明書サービス

  • 任意CA(Certificate Authority:証明機関)

XenMobileでは、次のCAサーバーがサポートされます。

  • Windows Server 2019
  • Windows Server 2016

注:

Windows Server 2012 R2、2012、および2008 R2は製品終了(EOL)となったため、サポートされなくなりました。詳しくは、Microsoft社の製品に関するライフサイクルドキュメントを参照してください。

共通のPKI概念

種類に関係なく、すべてのPKIエンティティには以下の機能のサブセットがあります。

  • 署名: 証明書署名要求(CSR)に基づく新しい証明書の発行
  • フェッチ: 既存の証明書とキーペアの回収
  • 失効: クライアント証明書の失効

CA証明書

PKIエンティティを構成するときに、そのエンティティにより発行される(またはそのエンティティから回収される)証明書の署名者であるCA証明書をXenMobileに示します。そのPKIエンティティから、複数の異なるCAが署名した、(フェッチされたか、または新たに署名された)証明書が返されることがあります。

これらのCAそれぞれの証明書を、PKIエンティティ構成の一部として提供します。これを行うために、証明書をXenMobileにアップロードして、PKIエンティティでそれらを参照します。任意CAの場合、証明書は暗黙的に署名CA証明書です。外部エンティティの場合は、証明書を手動で指定する必要があります。

重要:

Microsoft証明書サービスのエンティティテンプレートを作成する場合は、登録済みデバイスの認証に関する問題を避けるため、テンプレート名に特殊文字を使用しないでください。たとえば、以下は使用しないでください: ! : $ ( ) # % + * ~ ? | { } [ ]

Microsoft証明書サービス

XenMobileは、Web登録インターフェイスを通じてMicrosoft Certificate Servicesと連携します。XenMobileはこのインターフェイスを使用した新しい証明書の発行のみをサポートします。Microsoft CAがCitrix Gatewayユーザー証明書を生成する場合、Citrix Gatewayはこれらの証明書の更新と失効をサポートします。

XenMobileでMicrosoft CA PKIエンティティを作成するには、Certificate ServicesのWebインターフェイスのベースURLを指定する必要があります。選択した場合、SSLクライアント認証によって、XenMobileとCertificate ServicesのWebインターフェイスとの間の接続が保護されます。

Microsoft Certificate Servicesエンティティを追加する

  1. XenMobileコンソールで、右上の歯車アイコンをクリックした後、[PKIエンティティ] をクリックします。

  2. [PKIエンティティ] ページで、[追加] をクリックします。

    PKIエンティティタイプのメニューが表示されます。

  3. [Microsoft証明書サービスエンティティ] をクリックします。

    [Microsoft証明書サービスエンティティ: 一般的な情報] ページが開きます。

  4. [Microsoft証明書サービスエンティティ: 一般的な情報] ページで次の設定を構成します。

    • 名前: 新しいエンティティの名前を入力します。この名前は後でそのエンティティを参照するために使用します。エンティティ名は一意の名前にする必要があります。
    • Web登録サービスルートURL: Microsoft CA Web登録サービスのベースURL(https://192.0.2.13/certsrv/など)を入力します。URLには、HTTPまたはHTTP-over-SSLを使用します。
    • certnew.cerページ名: certnew.cerページの名前。何らかの理由で名前を変更した場合を除き、デフォルト名を使用します。
    • certfnsh.asp: certfnsh.aspページの名前。何らかの理由で名前を変更した場合を除き、デフォルト名を使用します。
    • 認証の種類: 使用する認証方法を選択します。
      • なし
      • HTTP基本: 接続に必要なユーザー名とパスワードを指定します。
      • クライアント証明書: 適切なSSLクライアント証明書を選択します。
  5. [接続のテスト] をクリックして、サーバーにアクセスできることを確認します。アクセスできない場合は、接続が失敗したことを示すメッセージが表示されます。構成設定を確認してください。

  6. [次へ] をクリックします。

    [Microsoft証明書サービスエンティティ:テンプレート] ページが開きます。このページで、Microsoft CAがサポートするテンプレートの内部名を指定します。資格情報プロバイダーを作成するとき、ここで定義したテンプレートを一覧で選択します。このエンティティを使用するすべての資格情報プロバイダーが、このようなテンプレートを1つだけ使用します。

    Microsoft Certificate Servicesテンプレートの要件については、お使いのMicrosoft ServerバージョンのMicrosoftドキュメントを参照してください。XenMobileには、「証明書」 で説明している証明書の形式以外、配布する証明書の要件はありません。

  7. [Microsoft証明書サービスエンティティ:テンプレート] ページで [追加] をクリックし、テンプレートの名前を入力して、[保存] をクリックします。追加する各テンプレートについて、この手順を繰り返します。

  8. [次へ] をクリックします。

    [Microsoft証明書サービスエンティティ:HTTPパラメーター] ページが開きます。このページで、Microsoft Web登録インターフェイスに対するHTTP要求にXenMobileが追加するカスタムパラメーターを指定します。カスタムパラメーターは、CAで実行されているカスタマイズされたスクリプトでのみ有効です。

  9. [Microsoft証明書サービスエンティティ:HTTPパラメーター] ページで [追加] をクリックし、追加するHTTPパラメーターの名前と値を入力して、[次へ] をクリックします。

    [Microsoft証明書サービスエンティティ:CA証明書] ページが開きます。このページでは、このエンティティを通じてシステムが取得する証明書の署名者をXenMobileに通知する必要があります。CA証明書が更新されたら、XenMobileで更新します。XenMobileは変更をエンティティに透過的に適用します。

  10. [Microsoft証明書サービスエンティティ:CA証明書] ページで、このエンティティで使用する証明書を選択します。

  11. [保存] をクリックします。

    [PKIエンティティ]の表にエンティティが表示されます。

Citrix ADC証明書失効一覧(CRL)

XenMobileは、サードパーティ証明機関でのみ証明書失効一覧(CRL)をサポートします。Microsoft CAが構成されている場合、XenMobileはCitrix ADCを使用して失効を管理します。

クライアント証明書ベースの認証を構成する場合、Citrix ADC証明書失効一覧(CRL)設定 [Enable CRL Auto Refresh] を構成するかどうか検討します。この手順を使用すると、MAMのみモードのデバイスのユーザーがデバイス上の既存の証明書を使用して認証できなくなります。

ユーザー証明書が失効してもユーザーによる生成が制限されるわけではないため、XenMobileは新しい証明書を再発行します。この設定は、CRLが期限切れのPKIエンティティを確認する場合、PKIエンティティのセキュリティを強化します。

任意CA

任意CAは、CA証明書と関連の秘密キーをXenMobileに提供したときに作成されます。XenMobileは、管理者が指定したパラメーターに従って、証明書の発行、失効、および状態情報を内部で処理します。

任意CAを構成するときに、そのCAに対してOCSP(Online Certificate Status Protocol)サポートをアクティブにできます。OCSPサポートを有効にした場合に限り、CAは発行する証明書にid-pe-authorityInfoAccess拡張を追加します。この拡張は、次の場所にあるXenMobileの内部OCSPレスポンダーを参照します:

https://<server>/<instance>/ocsp

OCSPサービスを構成するときに、該当の任意エンティティのOCSP署名証明書を指定する必要があります。CA証明書そのものを署名者として使用できます。CA秘密キーの不必要な漏えいを防ぐには(推奨):CA証明書で署名された、委任OCSP署名証明書を作成し、id-kp-OCSPSigning extendedKeyUsage拡張を含めます。

XenMobile OCSPレスポンダーサービスは、基本のOCSP応答と要求の以下のハッシュアルゴリズムをサポートします。

  • SHA-1
  • SHA-224
  • SHA-256
  • SHA-384
  • SHA-512

応答はSHA-256および署名証明書キーアルゴリズム(DSA、RSAまたはECDSA)で署名されます。

任意CAを追加する

  1. XenMobileコンソールで、右上の歯車アイコンをクリックした後、[詳細]の[PKIエンティティ] をクリックします。

  2. [PKIエンティティ] ページで、[追加] をクリックします。

    PKIエンティティタイプのメニューが表示されます。

  3. [任意CA] をクリックします。

    [随意CA:一般情報] ページが開きます。

  4. [随意CA:一般情報] ページで以下を行います。

    • 名前: 任意CAの説明的な名前を入力します。
    • 証明書要求に署名するためのCA証明書: 一覧から、証明書要求に署名するために使用する任意CAの証明書を選択します。

      この証明書の一覧は、[構成]>[設定]>[証明書] からXenMobileにアップロードした、秘密キー付きのCA証明書から生成されます。

  5. [次へ] をクリックします。

    [随意CA:パラメーター] ページが開きます。

  6. [随意CA:パラメーター]ページで、以下を行います:

    • シリアル番号ジェネレーター: 任意CAは発行する証明書のシリアル番号を生成します。一覧で [シーケンシャル] または [非シーケンシャル] を選択して、番号の生成方法を指定します。
    • 次のシリアル番号: 値を入力して、次に発行される番号を指定します。
    • 証明書の有効期限: 証明書の有効期間(日数)を入力します。
    • キー使用法: 適切なキーを [オン] に設定して、任意CAが発行する証明書の目的を指定します。設定すると、CAによる証明書の発行がそれらの目的に限定されます。
    • 拡張キー使用法: さらにパラメーターを追加するには、[追加] をクリックし、キー名を入力して [保存] をクリックします。
  7. [次へ] をクリックします。

    [随意CA:ディストリビューション] ページが開きます。

  8. [任意CA:ディストリビューション] ページで、配布モードを選択します:

    • 集中:サーバー側のキー生成。Citrixではこの集中管理オプションをお勧めします。サーバー上で秘密キーが生成および保存され、ユーザーデバイスに配布されます。
    • 分散:デバイス側のキー生成。ユーザーデバイス上で秘密キーが生成されます。この分散モードはSCEPを使用し、keyUsage keyEncryption拡張によるRA暗号化証明書とkeyUsage digitalSignature拡張によるRA署名証明書が必要です。暗号化と署名で同じ証明書を使用できます。
  9. [次へ] をクリックします。

    [随意CA:Online Certificate Status Protocol(OCSP)] ページが開きます。

    [随意CA:Online Certificate Status Protocol (OCSP)] ページで、以下を行います:

    • このCAが署名する証明書にAuthorityInfoAccess(RFC2459)拡張を追加する場合は、[このCAのOCSPサポートを有効にする][オン] に設定します。この拡張は、CAのOCSPレスポンダー(https://<server>/<instance>/ocsp)を参照します。
    • OCSPサポートを有効にした場合は、OSCP署名CA証明書を選択します。この証明書一覧は、XenMobileにアップロードしたCA証明書から生成されます。
  10. [保存] をクリックします。

    [PKIエンティティ]の表に任意CAが表示されます。

PKIエンティティ