セキュリティキーの管理

注：

1912年店面この機能はLTSR CU2以降とともに使用する必要があります。

この機能により,承認された店面およびCitrix网关マシンのみがCitrix云と通信できるようになります。この機能を有効にすると,キーが含まれていないすべての要求がブロックされます。この機能を使用して,内部ネットワークの攻撃から保護するセキュリティ層を追加します。

この機能を使用するための一般的なワークフローは次のとおりです:

1. PowerShell SDKを使用して,工作室でこの機能を有効にします。

2. 工作室で設定を構成します(工作室コンソールまたはPowerShellを使用します)。

3. 店面で設定を構成します(PowerShellを使用します)。

セキュリティキー機能の有効化

デフォルトでは,この機能は無効になっています。これを有効にするには,远程PowerShell SDKを使用します。远程PowerShell SDKについて詳しくは,”SDKおよびAPI“を参照してください。

この機能を有効にするには,次の手順を実行します:

1. Citrix虚拟应用程序和桌面远程PowerShell SDKを実行します。
2. コマンドウィンドウで,次のコマンドを実行します:
   • Add-PSSnapIn Citrix *。このコマンドは,Citrixスナップインを追加します。
   • Set-ConfigSiteMetadata -Name "Citrix_DesktopStudio_SecurityKeyManagementEnabled" -Value "True"

工作室での設定の構成

工作室コンソールまたはPowerShellを使用して,工作室で設定を構成できます。

工作室コンソールの使用

この機能を有効にした後,[公司]>[構成]>[セキュリティキーの管理)に移動します。[セキュリティキーの管理)オプションを表示するには,［更新］のクリックが必要な場合があります。

[セキュリティキーの管理)をクリックすると,[セキュリティキーの管理)ウィンドウが表示されます。

重要：

• 2つのキーを使用できます。XMLポートとSTAポートを介した通信に,同じキーまたは異なるキーを使用できます。一度に1つのキーのみを使用することをお勧めします。未使用のキーは,キーの交換にのみ使用されます。
• 既に使用中のキーを更新するために[更新]アイコンをクリックしないでください。クリックした場合,サービスが中断されます。

更新アイコンをクリックしてキーを生成します。

XMLポート経由の通信にキーが必須とする(店面のみ)。選択されている場合,XMLポート経由での通信を認証するためにキーを必要とするかを示します。店面は,このポートを介してCitrix云と通信します。XMLポートの変更について詳しくは,の知识中心CTX127945を参照してください。

STAポート経由の通信にキーが必須とする。選択されている場合,STAポート経由での通信を認証するためにキーを必要とするかを示します。Citrix GatewayおよびStoreFrontは、このポートを介してCitrix Cloudと通信します。STAポートの変更について詳しくは、Knowledge CenterのCTX101988を参照してください。

変更を適用後,[閉じる]をクリックして[セキュリティキーの管理)ウィンドウを終了します。

PowerShellの使用

以下は,工作室の操作に相当するPowerShellの手順です。

1. Citrix虚拟应用程序和桌面远程PowerShell SDKを実行します。

2. コマンドウィンドウで,次のコマンドを実行します:
   • Add-PSSnapIn Citrix *
3. 次のコマンドを実行してキーを生成し,Key1を設定します:
   • New-BrokerXmlServiceKey
   • Set-BrokerSite -XmlServiceKey1 <您生成的密钥>
4. 次のコマンドを実行してキーを生成し,Key2を設定します:
   • New-BrokerXmlServiceKey
   • Set-BrokerSite -XmlServiceKey2 <您生成的密钥>
5. 次のコマンドのいずれかまたは両方を実行して,通信の認証でキーを使用できるようにします:
   • XMLポート経由での通信を認証するには,次を実行します:
     • Set-BrokerSite -RequireXmlServiceKeyForNFuse真正的美元
   • STAポート経由での通信を認証するには,次を実行します:
     • Set-BrokerSite -RequireXmlServiceKeyForSta真正的美元

ガイダンスと構文について詳しくは,PowerShellコマンドのヘルプを参照してください。

店面での設定の構成

工作室での構成が完了したら,PowerShellを使って店面で関連する設定を構成する必要があります。

店面サーバーで,次のPowerShellコマンドを実行します:

• XMLポート経由での通信のキーを構成するには,Get-STFStoreServieおよびSet-STFStoreServiceコマンドを使用します。例：
  • PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers -XMLValidationEnabled $true -XMLValidationSecret <您在Studio>中生成的密钥
• STAポート経由での通信のキーを設定するには,New-STFSecureTicketAuthorityコマンドを使用します。例：
  • PS C:\> $sta = new - stfsecureketauthority - stal < sta URL> -StaValidationEnabled $true -StavalidationSecret <您在Studio>中生成的密钥

ガイダンスと構文について詳しくは,PowerShellコマンドのヘルプを参照してください。

Citrix ADCでの設定の構成

注：

ゲートウェイとしてCitrix ADCを使用しない限り,Citrix ADCでこの機能を構成する必要はありません。Citrix ADCを使用する場合は,以下の手順に従ってください。

1. 以下の前提条件の構成が既に設定されていることを確認してください:

   • 以下のCitrix ADC関連のIPアドレスが構成されている。
     • Citrix ADCコンソールにアクセスするためのCitrix ADC管理IP (NSIP)アドレス。詳しくは。”NSIPアドレスの構成“を参照してください。
     • Citrix ADCアプライアンスとバックエンドサーバー間の通信を有効にするためのサブネットIP(剪)アドレス。詳しくは。”サブネットIPアドレスの構成“を参照してください。
     • ADCアプライアンスにログインしてセッションを起動するためのCitrix网关仮想IPアドレスとロードバランサー仮想IPアドレス。詳しくは。”仮想サーバーの作成“を参照してください。

   • Citrix ADCアプライアンスで必要なモードと機能が有効である。
     • モードを有効にするには,Citrix ADC GUIで[系统]>[设置]>[配置模式)の順に移動します。
     • 機能を有効にするには,Citrix ADC GUIで[系统]>[设置]>[配置基本特征)の順に移動します。
   • 証明書関連の構成が完了している。
     • 証明書署名要求(CSR:证书签名请求)が作成されていること。詳しくは。”証明書の作成“を参照してください。
     • サーバー証明書とCA証明書およびルート証明書がインストールされていること。詳しくは。”インストール,リンク,および更新“を参照してください。
     • Citrix虚拟桌面用にCitrix网关が作成されていること。(测试STA连接)ボタンをクリックして接続をテストし,仮想サーバーがオンラインであることを確認します。詳しくは。”Citrix虚拟应用程序和桌面用のCitrix ADCのセットアップ“を参照してください。

2. 書き換えアクションを追加します。詳しくは。”書き換えアクションの構成“を参照してください。

   1. [AppExpert] >[重写]>[行动]の順に移動します。
   2. (添加)をクリックして,新しい書き換えアクションを追加します。アクションに”类型设置为INSERT_HTTP_HEADERという名前を付けることができます。
   1. (类型)で,(INSERT_HTTP_HEADER)を選択します。
   2. (标题名称)に“X-Citrix-XmlServiceKeyと入力します。
   3. (表达)に,引用符付きで”< XmlServiceKey1值>“を追加します。XmlServiceKey1の値は桌面交付控制器の構成からコピーできます。

3. 書き換えポリシーを追加します。詳しくは。”書き換えポリシーの構成“を参照してください。

   1. [AppExpert] >[重写]>[政策]の順に移動します。

   2. (添加)をクリックして,新しいポリシーを追加します。

   1. (行动)で,前の手順で作成したアクションを選択します。
   2. (表达)HTTP.REQ.IS_VALID“にを追加します。
   3. (好的)をクリックします。

4. 負荷分散を設定します。STAサーバーごとに1つの負荷分散仮想サーバーを構成する必要があります。そうしない場合,セッションの起動が失敗します。

   詳しくは。”基本的な負荷分散の設定“を参照してください。

   1. 負荷分散仮想サーバーを作成します。
      • (交通管理)>(负载平衡)>(服务器)の順に移動します。
      • (虚拟服务器)ページで(添加)をクリックします。
      • (协议)で,(HTTP)を選択します。
      • 負荷分散仮想IPアドレスを追加し,(港口)で［80］を選択します。
      • (好的)をクリックします。
   2. 負荷分散サービスを作成します。
      • [交通管理]>[负载平衡]>[服务]の順に移動します。
      • (现有的服务器)で,前の手順で作成した仮想サーバーを選択します。
      • (协议)で(HTTP)を選択し,(港口)で［80］を選択します。
      • (好的)をクリックし,(完成)をクリックします。
   3. サービスを仮想サーバーにバインドします。
      • 以前に作成した仮想サーバーを選択し,(编辑)をクリックします。
      • [服务及服务组]の[无负载均衡虚拟服务器业务绑定]をクリックします。
      • (服务绑定)で,前に作成したサービスを選択します。
      • [バインド]をクリックします。
   4. 以前に作成した書き換えポリシーを仮想サーバーにバインドします。
      • 以前に作成した仮想サーバーを選択し,(编辑)をクリックします。
      • 【高级设置】で(政策)をクリックし,(政策)セクションで［+］をクリックします。
      • (选择政策)で(重写)を選択し,(选择类型)で(请求)を選択します。
      • ［続行］をクリックします。
      • (选择政策)で,前に作成した書き換えポリシーを選択します。
      • [バインド]をクリックします。
      • ［完了］をクリックします。
   5. 必要に応じて,仮想サーバーの永続性を設定します。
      • 以前に作成した仮想サーバーを選択し,(编辑)をクリックします。
      • 【高级设置】で,(坚持)をクリックします。
      • 永続性タイプを(其他)にします。
      • 仮想サーバーによって選択されたサービスのIPアドレス(宛先IPアドレス)に基づいて,永続セッションを作成するには,(DESTIP)を選択します。
      • (IPv4网络掩码)で,DDCと同じネットワークマスクを追加します。
      • (好的)をクリックします。
   6. 他の仮想サーバーについても,これらの手順を繰り返します。

Citrix ADCアプライアンスが既にCitrix虚拟桌面により構成されている場合の構成の変更

Citrix虚拟桌面を使用してCitrix ADCアプライアンスを既に構成している場合,安全XML機能を使用するには,次の構成変更を行う必要があります。

• セッションを起動する前に,ゲートウェイの安全票证授权地址を変更して,負荷分散仮想サーバーのFQDN(完全修飾ドメイン名)を使用します。
• TrustRequestsSentToTheXmlServicePortパラメーターが假に設定されていることを確認してください。デフォルトでは,TrustRequestsSentToTheXmlServicePortパラメーターは假に設定されています。ただし,顧客がCitrix虚拟桌面用にCitrix ADCを既に構成している場合は,TrustRequestsSentToTheXmlServicePortが真正に設定されています。

1. Citrix ADC GUIで,[配置]>[与Citrix产品集成]の順に移動し,(XenApp和XenDesktop)をクリックします。

2. ゲートウェイインスタンスを選択し,編集アイコンをクリックします。

3. 店面ペインで,編集アイコンをクリックします。

4. [安全票务机构URL]を追加します。
   • 安全XML機能が有効になっている場合,STA URLは負荷分散サービスのURLである必要があります。
   • 安全XML機能が無効になっている場合,STA URLはSTAのURL (DDCのアドレス)である必要があり,DDCのTrustRequestsSentToTheXmlServicePortパラメーターは真正に設定されている必要があります。