セキュリティキーの制剂

注：

• 1912年店面この機能はLTSR CU2以降とともに使用する必要があります。

• 安全XML机能は，思杰ADCおよび思杰网关リリース12.1以降でのみサポートされます。

この機能により,承認された店面およびCitrix网关マシンのみがCitrix云と通信できるようになります。この機能を有効にすると,キーが含まれていないすべての要求がブロックされます。この機能を使用して,内部ネットワークの攻撃から保護するセキュリティ層を追加します。

この機能を使用するための一般的なワークフローは次のとおりです:

1. PowerShell的SDKを使用して，工作室でこの机能を有效にします。

2. 演播室で設定を構成します（工作室）コンソールまたは动力壳を使用します）。

3. 店面で設定を構成します(PowerShellを使用します)。

4. Citrix ADCで設定を構成します。

セキュリティキー機能の有効化

デフォルトでは、この機能は無効になっています。これを有効にするには、远程PowerShell SDKを使用します。远程PowerShell SDKについて詳しくは、「SDKおよびAPI.」を参照してください。

この機能を有効にするには,次の手順を実行します:

1. 思杰虚拟应用和桌面远程PowerShell SDKを実行します。
2. コマンドウィンドウで,次のコマンドを実行します:
   • 在Citrix中添加PSSnapIn*。このコマンドは，思杰スナップインを追加します。
   • 设置ConfigSiteMetadata -Name“Citrix_DesktopStudio_SecurityKeyManagementEnabled”值“真”

演播室での設定の構成

工作室コンソールまたはPowerShell的を使用して，工作室で设定を构成できます。

工作室コンソールの使用

この機能を有効にした後,[Studio]>[設定］>［セキュリティキーの管理］に移动し，[编集]をクリックします。[セキュリティキーの管理)ウィンドウが開きます。［保存］をクリックして変更を適用し,ウィンドウを終了します。

重要：

• 2.つのキーを使用できます。XMLポートとSTAポートを介した通信に、同じキーまたは異なるキーを使用できます。一度に1.つのキーのみを使用することをお勧めします。未使用のキーは、キーの交換にのみ使用されます。
• 既に使用中のキーを更新するために［更新］アイコンをクリックしないでください。クリックした場合、サービスが中断されます。

更新アイコンをクリックしてキーを生成します。

XMLポート経由の通信にキーが必須とする（店面のみ）。選択されている場合、XMLポート経由での通信を認証するためにキーを必要とするかを示します。店面は、このポートを介してCitrix云と通信します。XMLポートの変更について詳しくは、知识中心のCTX127945を参照してください。

STAポート経由の通信にキーが必須とする。選択されている場合、STAポート経由での通信を認証するためにキーを必要とするかを示します。Citrix网关および店面は、このポートを介してCitrix云と通信します。STAポートの変更について詳しくは、知识中心のCTX101988を参照してください。

変更を适用后，[閉じる]をクリックして[セキュリティキーの管理)ウィンドウを終了します。

PowerShell中の使用

以下は,工作室の操作に相当するPowerShellの手順です。

1. 思杰虚拟应用和桌面远程PowerShell SDKを実行します。

2. コマンドウィンドウで,次のコマンドを実行します:
   • 在Citrix中添加PSSnapIn*
3. 次のコマンドを実行してキーを生成し，键1を设定します：
   • 新BrokerXmlServiceKey
   • Set-BrokerSite -XmlServiceKey1 <您生成的密钥>
4. 次のコマンドを実行してキーを生成し,Key2を設定します:
   • 新BrokerXmlServiceKey
   • Set-BrokerSite -XmlServiceKey2 <您生成的密钥>
5. 次のコマンドのいずれかまたは両方を実行して，通信の认证でキーを使用できるようにします：
   • XMLポート経由での通信を認証するには,次を実行します:
     • Set-BrokerSite -RequireXmlServiceKeyForNFuse真正的美元
   • STAポート経由での通信を认证するには，次を実行します：
     • Set-BrokerSite -RequireXmlServiceKeyForSta真正的美元

ガイダンスと構文について詳しくは、动力壳コマンドのヘルプを参照してください。

店面での設定の構成

工作室での構成が完了したら,PowerShellを使って店面で関連する設定を構成する必要があります。

店面サーバーで、次の动力壳コマンドを実行します：

• XMLポート経由での通信のキーを構成するには,获取标准存储服务および设置STFStoreService。コマンドを使用します次に例を示します：
  • PS C:\> Set-STFStoreFarm $farm -Farmtype XenDesktop -Port 80 -TransportType HTTP -Servers -XMLValidationEnabled $true -XMLValidationSecret <您在Studio>中生成的密钥
• STAポート経由での通信のキーを设定するには，New-STFSecureTicketAuthorityコマンドを使用します。例：
  • PS C:\> $sta = new - stfsecureketauthority - stal < sta URL> -StaValidationEnabled $true -StavalidationSecret <您在Studio>中生成的密钥

ガイダンスと構文について詳しくは、动力壳コマンドのヘルプを参照してください。

Citrix ADCでの設定の構成

注：

ゲートウェイとして思杰ADCを使用しない限り，思杰ADCでこの机能を构成する必要はありません.Citrix ADCを使用する场合は，以下の手顺に従ってください。

1. 以下の前提条件の構成が既に設定されていることを確認してください:

   • 以下のCitrix ADC関連の知识产权アドレスが構成されている。
     • Citrix ADCコンソールにアクセスするためのCitrix ADC管理IP (NSIP)アドレス。詳しくは。”NSIPアドレスの构成」を参照してください。
     • Citrix ADCアプライアンスとバックエンドサーバー間の通信を有効にするためのサブネットIP(剪)アドレス。詳しくは。”サブネットIPアドレスの構成」を参照してください。
     • ADCアプライアンスにログインしてセッションを起动するための思杰网关仮想IPアドレスとロードバランサー仮想IPアドレス。详しくは，「仮想サーバーの作成」を参照してください。

   • Citrix ADCアプライアンスで必要なモードと機能が有効である。
     • モードを有効にするには、Citrix ADC图形用户界面で【系统】>【设置】>【配置模式】の順に移動します。
     • 机能を有效にするには，思杰ADC GUIで[系统]>[设置]>[配置基本特征)の順に移動します。
   • 証明書関連の構成が完了している。
     • 证明书署名要求（CSR：证书签名请求）が作成されていること详しくは，「。証明書の作成」を参照してください。
     • サーバー证明书とCA证明书およびルート证明书がインストールされていること。详しくは，「インストール,リンク,および更新」を参照してください。
     • Citrix虚拟桌面用にCitrix网关が作成されていること。(测试STA连接)ボタンをクリックして接続をテストし，仮想サーバーがオンラインであることを确认します。详しくは，「思杰虚拟应用和桌面用の思杰ADCのセットアップ」を参照してください。

2. 書き換えアクションを追加します。詳しくは、「書き換えアクションの構成」を参照してください。

   1. [AppExpert]>[Rewrite]>[Actions]の順に移動します。
   2. (添加)をクリックして,新しい書き換えアクションを追加します。アクションに”类型设置为INSERT_HTTP_HEADERという名前を付けることができます。
   1. (类型)で,[插入\u HTTP\u头]を選択します。
   2. [标题名]に「X-Citrix-XmlServiceKey」と入力します。
   3. [表达]に，引用符付きで「< XmlServiceKey1值>“を追加します。XmlServiceKey1の値は桌面交付控制器の構成からコピーできます。

3. 书き换えポリシーを追加します。详しくは，「書き換えポリシーの構成」を参照してください。

   1. [的AppExpert]> [重写]> [政策]の順に移動します。

   2. (添加)をクリックして,新しいポリシーを追加します。

   1. [行动]で，前の手顺で作成したアクションを选択します。
   2. [表达]に、「HTTP.REQ.是否有效」を追加します。
   3. [好的]をクリックします。

4. 負荷分散を設定します。STAサーバーごとに1つの負荷分散仮想サーバーを構成する必要があります。そうしない場合,セッションの起動が失敗します。

   詳しくは。”基本的な负荷分散の设定」を参照してください。

   1. 负荷分散仮想サーバーを作成します。
      • (交通管理)>(负载平衡)>(服务器)の順に移動します。
      • 〔虚拟服务器〕ページで(添加)をクリックします。
      • 〔议定书〕で,[HTTP]を選択します。
      • 負荷分散仮想IPアドレスを追加し,(港口)で[80]を選択します。
      • [好的]をクリックします。
   2. 負荷分散サービスを作成します。
      • 【流量管理】>【负载平衡】>【服务】の順に移動します。
      • [现有的服务器]で,前の手順で作成した仮想サーバーを選択します。
      • 〔议定书〕で[HTTP]を选択し，(港口)で[80]を選択します。
      • [好的]をクリックし，[完毕]をクリックします。
   3. サービスを仮想サーバーにバインドします。
      • 以前に作成した仮想サーバーを選択し、〔编辑〕をクリックします。
      • [服务和服务组]の[无负载均衡虚拟服务器业务绑定]をクリックします。
      • [服务绑定]で,前に作成したサービスを選択します。
      • [バインド]をクリックします。
   4. 以前に作成した書き換えポリシーを仮想サーバーにバインドします。
      • 以前に作成した仮想サーバーを選択し、〔编辑〕をクリックします。
      • 【高级设置】で(政策)をクリックし，(政策)セクションで［+］をクリックします。
      • (选择政策)で〔重写〕を选択し，(选择类型)で(请求)を選択します。
      • ［続行］をクリックします。
      • (选择政策)で,前に作成した書き換えポリシーを選択します。
      • [バインド]をクリックします。
      • ［完了］をクリックします。
   5. 必要に応じて,仮想サーバーの永続性を設定します。
      • 以前に作成した仮想サーバーを選択し、〔编辑〕をクリックします。
      • 【高级设置】で,(坚持)をクリックします。
      • 永続性タイプを[其他]にします。
      • 仮想サーバーによって選択されたサービスの知识产权アドレス（宛先知识产权アドレス）に基づいて、永続セッションを作成するには、(DESTIP)を選択します。
      • [IPv4的网络掩码]で，DDCと同じネットワークマスクを追加します。
      • [好的]をクリックします。
   6. 他の仮想サーバーについても，これらの手顺を缲り返します。

Citrix ADCアプライアンスが既にCitrix虚拟桌面により構成されている場合の構成の変更

思杰虚拟桌面を使用して思杰ADCアプライアンスを既に构成している场合，安全XML机能を使用するには，次の构成変更を行う必要があります。

• セッションを起動する前に、ゲートウェイの安全票证授权地址を変更して,負荷分散仮想サーバーのFQDN(完全修飾ドメイン名)を使用します。
• TrustRequestsSentToTheXmlServicePortパラメーターが假に設定されていることを確認してください。デフォルトでは,TrustRequestsSentToTheXmlServicePortパラメーターは假に設定されています。ただし,顧客がCitrix虚拟桌面用にCitrix ADCを既に構成している場合は,TrustRequestsSentToTheXmlServicePortが符合事实的に設定されています。

1. 思杰ADC GUIで，[配置]>[与Citrix产品集成]の順に移動し、(XenApp和XenDesktop)をクリックします。

2. ゲートウェイインスタンスを选択し，编集アイコンをクリックします。

3. 店面ペインで、編集アイコンをクリックします。

4. [安全票务机构URL]を追加します。
   • 安全XML机能が有效になっている场合，STA URLは负荷分散サービスのURLである必要があります。
   • 安全XML机能が无效になっている场合，STA URLはSTAのURL（DDCのアドレス）である必要があり，DDCのTrustRequestsSentToTheXmlServicePortパラメーターは真に设定されている必要があります。