传输层安全（TLS）

思杰虚拟应用和桌面は，コンポーネント间のTCPベースの接続でTLS（传输层安全）プロトコルをサポートしています.Citrix虚拟应用和桌面は，アダプティブトランスポートを使用して,UDPベースのICA / HDX接続用の迪泰(数据报传输层安全性)プロトコルもサポートしています。

TLSとDTLSは似ており，同じデジタル证明书をサポートします的.tlsを使用するように思杰虚拟应用サイトまたは思杰虚拟桌面サイトを设定すると，DTLSも使用するように设定されます。次の手顺を使用します。これらの手顺は，TLSとDTLSの両方に共通していますが，以下の点が异なります。

• サーバー证明书を入手して，すべての交付控制器上にインストールして登录します。さらに，TLS证明书のポート构成を行います。详しくは，「TLSサーバー证明书の控制器へのインストール“を参照してください。

  必要な場合は、控制器で超文本传输协议およびHTTPSトラフィック用に使用されるポートを変更することもできます。

• Citrix工作区アプリと虚拟投递代理(VDA)間のTLS接続を有効にします。これを行うには,以下のタスクを実行する必要があります:

  • VDAがインストールされたマシン上でTLSを构成します（便宜上，VDAがインストールされたマシンをここでは「VDA」と呼びます）。概要については，「VDA上のTLS設定“を参照してください。TLS /迪泰を設定するには,Citrix提供のPowerShellスクリプトを使用することを強くお勧めします。詳しくは。”VDA上のTLS構成：动力壳スクリプトの使用“を参照してください。ただしTLS /迪泰を手動で構成する場合は,”VDA上のTLS構成：手作業による構成“を参照してください。

  • VDAが追加されているデリバリーグループでTLSを構成します。これを行うには、演播室でいくつかの动力壳コマンドレットを実行します。詳しくは、「デリバリーグループのTLSの构成“を参照してください。

    以下の要件および考虑事项があります：

    • ユーザーとVDA間のTLS接続を有効にするのは、XenApp 7.6サイト、XenDesktop 7.6サイト、およびこれ以降のリリースでのみ必要です。
    • デリバリーグループおよびVDA上のTLSは、コンポーネントのインストール、サイトの作成、およびマシンカタログとデリバリーグループの作成を行った後で構成します。
    • デリバリーグループでTLSを構成するには、控制器のアクセス規則を変更するための権限が必要です。すべての管理権限を実行できる管理者には必要な権限が付与されています。
    • VDA上のTLSを構成するには、そのマシン上の窗户管理者権限が必要です。
    • 机创建服务または供应服务によってプロビジョニングされたプールされたVDAでは,VDAマシンイメージは再起動時にリセットされ,以前のTLS設定は失われます。VDAを再起動するたびにPowerShellスクリプトを実行して,TLS設定を再構成してください。

警告：

窗户レジストリの編集を含むタスクの場合：レジストリの編集を誤ると、深刻な問題が発生する可能性があり、オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディターの誤用による障害に対して、シトリックスでは一切責任を負いません。レジストリエディターは、お客様の責任と判断の範囲でご使用ください。また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。

サイトデータベースのTLSを有効にする方法については,CTX137556を参照してください。

TLSサーバー证明书の控制器へのインストール

HTTPS接続を使用する場合,XML服务はサーバー証明書を使用することでTLS機能をサポートしますが,クライアント証明書はサポートしません。このセクションでは,交付控制器でのTLS証明書の取得とインストールについて説明します。同じ手順を云连接器に適用して,STAおよびXMLトラフィックを暗号化できます。

証明機関にはさまざまな種類があり,そこに証明書を要求する方法もさまざまですが,この資料では微软証明機関について説明します。微软証明機関は,サーバー認証の目的で発行された証明書テンプレートを保有している必要があります。

微软証明機関が,Active Directoryドメインまたは交付控制器が参加している信頼されたフォレストに統合されている場合は,証明書MMCスナップインの証明書登録ウィザードから証明書を取得できます。

証明書の要求とインストール

1. 传送控制器で、MMCコンソールを開き、証明書スナップインを追加します。プロンプトが表示されたら、［コンピューターアカウント］を選択します。

2. ［個人］>［証明書］を展開し、[すべてのタスク]>[新しい証明書の要求)コンテキストメニューコマンドを使用します。

3. (次へ]をクリックして開始し、(次へ]をクリックして,Active Directoryの登録から証明書を取得していることを確認します。

4. サーバー認証証明書のテンプレートを選択します。(件名]の値が自動的に入力されるようにテンプレートが設定されている場合は,詳細を指定せずに［登録］をクリックできます。

5. 证明书テンプレートの详细情报を入力するには，[详细]矢印ボタンをクリックし,次の項目を構成します:

   サブジェクト名：共通名を选択し，交付控制器の完全修饰ドメイン名を追加します。

   代替名：域名服务器を選択し、传送控制器の完全修飾ドメイン名を追加します。

SSL/TLSリスナーポートの構成

1. マシンの管理者としてPowerShell的コマンドウィンドウを开きます。

2. ブローカーサービスアプリケーションGUIDを取得するには，次のコマンドを実行します：

   新PSDrive来-姓名香港华润-PSProvider注册表-根HKEY_CLASSES_ROOT$Service\u Guid=Get-ChildItemHKCR: \安装\产品-Recurse-Ea0|何处物体{美元的关键=$\ _;$\_.GetValueNames()|ForEach-Object{美元的关键.的GetValue($\ _)}|何处物体{$\ _例如Citrix代理服务的}}|选择对象的名字$Service\u Guid.的名字-比赛“[A-Z0-9] *美元”$的Guid=$Matches[0][GUID]$ Formatted_Guid=$的Guid卸下PSDrive-姓名香港华润写主机“代理服务应用程序GUID:$($ Formatted_Guid)"-前景色黄的<!--NeedCopy-->

3. 同じPowerShellウィンドウで次のコマンドを実行して,以前にインストールした証明書の拇印を取得します:

   美元的主机的名字=([System.Net。域名系统]::GetHostByName(($环境:COMPUTERNAME）））.主机名$Thumbprint=(Get-ChildItem-小路证书：\LocalMachine\My|何处物体{$_.主题-比赛(“CN=”+美元的主机的名字)}).拇指指纹-加入';'写主机-反对“证书指纹的$(美元的主机的名字):$($Thumbprint)"-前景黄的<!--NeedCopy-->

4. 同じ动力壳ウィンドウで次のコマンドを実行して、ブローカーサービスのSSL/TLSポートを構成し、暗号化用の証明書を使用します：

   $IPV4\u地址=测试连接-计算机名美元的主机的名字-计数1.|选择对象-膨胀性IPV4地址IPPort美元="$($IPV4\u地址)：443"$SSLxml=“http添加sslcert ipport=IPPort美元certhash =$ThumbprintAPPID = {$ Formatted_Guid}”$SSLxml|netsh.netshhttp展示sslcert<!--NeedCopy-->

正しく構成された場合、最後のコマンド.netsh HTTP显示的sslcertの出力に，リスナーが正しいIP：端口を使用していること、および应用程序IDがブローカーサービスアプリケーションGUIDと一致していることが示されます。

サーバーが传送控制器にインストールされた証明書を信頼している場合、店面送货控制器およびCitrix网关STAバインディングで、超文本传输协议ではなくHTTPSを使用するように構成できます。

注：

控制器をWindows Server 2016にインストールし、店面をWindows Server 2012 R2にインストールする場合は、TLSの暗号の組み合わせ順を変更するために、控制器で構成を変更する必要があります。この構成の変更は、他のバージョンのWindows服务器の組み合わせの控制器と店面では必要ありません。

暗号の组み合わせの顺序一覧には，TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384またはTLS_ECDHE_RSA_与_AES_128_CBC_SHA256の暗号の組み合わせ（またはこの両方）を含める必要があります。これらの暗号の組み合わせは、TLS_DHE_の暗号の組み合わせより前に配置する必要があります。

1. 微软のグループポリシーエディターを使用して，[コンピューターの構成]>[管理用テンプレート]>[ネットワーク]> [SSL構成設定)の顺に参照します。
2. “SSL暗号の順位“ポリシーを編集します。デフォルトでは,このポリシーは[未構成]に設定されています。このポリシーを[有効]に設定します。
3. 暗号の组み合わせを适切な顺序に并び替え，使用しない暗号の组み合わせを削除します。

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384またはTLS_ECDHE_RSA_与_AES_128_CBC_SHA256のどちらかがすべてのTLS_DHE_暗号の組み合わせより前に配置されていることを確認します。

微软MSDNの「优先级通道密码套件」も参照してください。

HTTPまたはHTTPSポートの変更

デフォルトでは、XML服务は超文本传输协议トラフィックにはポート80を、HTTPSトラフィックにはポート443を使用します。これらのポート番号を変更することもできますが、信頼されないネットワークに控制器を露出させる場合のセキュリティ上のリスクについて考慮してください。デフォルト構成を変更する場合は、スタンドアロンの店面サーバーを使用することをお勧めします。

控制器で使用されるデフォルトのHTTPまたはHTTPSポートを変更するには,工作室で次のコマンドを実行します:

BrokerService.exe-WIPORT\-WISSLPORT\

ここで、< http端口>はHTTPトラフィックのポート番号で,はHTTPSトラフィックのポート番号です。

注：

ポートが変更されると,ライセンスの互換性およびアップグレードに関するメッセージが工作室に表示されます。この問題を解決するには,以下のPowerShellコマンドレットを順に実行してサービスインスタンスを再登録してください:

GET-ConfigRegisteredServiceInstance -servicetype经纪人 - 结合XML_HTTPS |注销-ConfigRegisteredServiceInstance GET-BrokerServiceInstance |其中绑定当量“XML_HTTPS” |注册-ConfigServiceInstance <！ -  NeedCopy  - >

HTTPSトラフィックのみに制限する

超文本传输协议トラフィックがXML服务で無視されるように構成するには、控制器上の HKLM\Software\Citrix\DesktopServer\で以下のレジストリ設定を作成してから经纪服务を再起動します。

超文本传输协议トラフィックを無視するには、DWORD XMLServicesEnableNonSLを作成して0に設定します。

同様に,HTTPSトラフィックを無視するために作成できるレジストリのDWORD値も存在します:DWORD XmlServicesEnableSslこれは0に設定しないでください。

VDA上のTLS設定

TLSを構成したVDAと構成していないVDAを同一デリバリーグループ内で混在させることはできません。デリバリーグループのTLSを構成する前に、そのグループに属しているすべてのVDA上でTLS構成を完了しておいてください。

VDA上にTLSを构成すると，インストールされているTLS证明书の権限が変更され，その证明书の秘密キーに対する読み取り権限がICA服务に付与されます.ICA服务には，以下の情报が提供されます：

• TLSで使用される証明書ストア内の証明書。

• どの传输控制协议ポートがTLS接続で使用されるのか。

  窗户ファイアウォールを使用する環境では、この传输控制协议での着信接続が許可されている必要があります。动力壳スクリプトを使用する場合は、このファイアウォール規則が自動的に構成されます。

• どのバージョンのTLSプロトコルが許可されるのか。

  重要：

  SSLv3の使用状況を確認し,必要に応じ,それらの展開を再構成してSSLv3のサポートを削除することをCitrixではお勧めします。「CTX200238“を参照してください。

  サポートされるTLSプロトコルのバージョンは次の通りです：（低いものから）ssl3.0、tls1.0、tls1.1、tls1.2サポートされるSSLプロトコルを指定するときは、許可する最低バージョンを指定します。

  たとえば，最低バージョンとしてTLS 1.1を指定すると，TLS 1.1およびTLS 1.2のプロトコルを使用した接続が许可されます。最低バージョンとしてSSL 3.0を指定すると，サポートされるSSLプロトコルのすべてのバージョンが许可されます。最低バージョンとしてTLS 1.2を指定すると，TLS 1.2の接続のみが许可されます。

  DTLS 1.0はTLS 1.1に対応し、DTLS 1.2はTLS 1.2に対応します。

• どのTLS暗号の組み合わせが許可されるのか。

  暗号の組み合わせにより,この接続において使用する暗号化が選択されます。クライアントとVDAは,暗号スイートの異なる組み合わせをサポートできます。クライアント(Citrix工作区アプリまたは店面)がVDAに接続するときは,そのクライアントがサポートするTLS暗号スイートの一覧をVDAに送信します。VDA側では,構成済みの暗号スイートの独自の一覧内にクライアントのいずれかの暗号スイートと一致するものがあるかどうかがチェックされ,あった場合にのみ接続が確立されます。一致する暗号スイートがない場合,その接続はVDAにより拒否されます。

  VDAは,政府(列出),COM (mercial)およびの3つの暗号の組み合わせ(コンプライアンスモードとも呼ばれます)をサポートします。確立できる暗号スイートは,WindowsのFIPSモードによっても異なります。WindowsのFIPSモードについては,http://support.microsoft.com/kb/811833を参照してください。次の表は,各セットの暗号の組み合わせを示しています:

* Windows Server 2012 R2ではサポートされていません。

注：

VDAでは,她暗号スイート(例:TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 TLS_DHE_RSA_WITH_AES_256_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_GCM_SHA256, TLS_DHE_RSA_WITH_AES_128_CBC_SHA)はサポートされません。これらの暗号スイートがWindowsで選択されても,Citrix接收机では使用できません。

Citrix网关を使用している場合,バックエンド通信に対する暗号の組み合わせのサポートについては,Citrix ADCのドキュメントを参照してください。TLSがサポートする暗号の組み合わせについては,”思杰ADCアプライアンスで利用可能な暗号」を参照してください.DTLSがサポートする暗号の组み合わせについては，「DTLS暗号サポート“を参照してください。

VDA上のTLS構成：动力壳スクリプトの使用

証明書ストアの[ローカルコンピューター]>[個人]>[証明書]領域にあるTLS証明書をインストールします。その場所に複数の証明書が存在する場合は,証明書の拇印をPowerShellスクリプトに指定します。

注：

PowerShell的スクリプトは，XenApp的および的XenDesktop 7.16 LTSRから，VDAの完全修饰ドメイン名に基づいて正しい证明书を検索します.VDAの完全修饰ドメイン名に1つの证明书のみが存在する场合は，拇印を指定する必要はありません。

VDA上で启用-VdaSSL.ps1スクリプトを実行すると、そのVDAでのTLSリスナーを有効または無効にできます。このスクリプトは、インストールメディアの支持>工具>SSL支持フォルダーに收录されています。

TLSを有效にすると，DHEの暗号の组み合わせは无效になります。ECDHEの暗号の组み合わせは影响を受けません。

TLSを有効にすると、スクリプトは指定された传输控制协议ポートの既存の窗户ファイアウォール規則をすべて無効にします。その後、伊卡サービスがTLS TCPおよびUDPポートでのみ着信接続を受け入れることを許可する新しい規則を追加します。また、スクリプトにより以下の窗户ファイアウォール規則が無効になります：

• 枸橼酸(デフォルトで1494）
• 思杰CGP（デフォルトで2598）
• Citrix WebSocket(デフォルトで8008)

ユーザーはTLSまたは迪泰を使用した場合にのみ接続できるようになります。TLSまたは迪泰を使用しないと,ICA / HDXセッション画面を保持したICA / HDX WebSocketを介したHDXを使用することはできません。

注：

迪泰はICA / HDXのUDPでのオーディオリアルタイムトランスポート,またはICA / HDX Framehawkではサポートされていません。

「ネットワークポート“を参照してください。

このスクリプト内には，以下の构文および使用例が记载されています.Notepad ++などのツールを使用してこれらを参照できます。

重要：

使または禁用パラメーターとCertificateThumbPrintパラメーターを指定します。その他のパラメーターはオプションです。

構文

启用VdaSSL{-Enable |-Disable}-CertificateThumbPrint“”[-SSLPort][-SSLMinVersion”“][-SSLCipherSuite”\“]

例

次のスクリプトでは、TLSプロトコルバージョン値をインストールして有効にします。拇印（この例の場合、「12345678987654321」）を指定して、使用する証明書を選択します。

启用-VdaSSL -Enable -CertificateThumbPrint “12345678987654321”

次のスクリプトでは、TLSリスナーをインストールして有効化し、TLSポートとして400、暗号スイート政府:およびSSLプロトコルの最低バージョンとしてTLS 1.2を設定します。拇印（この例の場合、「12345678987654321」）を指定して、使用する証明書を選択します。

启用-VdaSSL -Enable -CertificateThumbPrint “12345678987654321” -SSLPort 400 -SSLMinVersion “TLS_1.2” -SSLCipherSuite “全部”

次のスクリプトでは、VDA上のTLSリスナーを無効にします。

启用VdaSSL-禁用

VDA上のTLS構成：手作業による構成

VDA上のTLSを手作業で構成するには、TLS証明書の秘密キーに対する読み取り権限をVDA上のNT服务\PorticaService（Windows）シングルセッション操作系统対応VDAの場合）またはNT服务\TermService（Windowsマルチセッション操作系统対応VDAの場合）に付与します。VDAがインストールされたマシン上で、以下の手順を行います：

手順1:微软管理コンソール(MMC)を起動します:[スタート]>[ファイル名を指定して実行]> mmc.exe。

手順2：MMCに证明书スナップインを追加します。

1. ［ファイル］>［スナップインの追加と削除］ の順に選択します。
2. [証明書]を選択して[追加]をクリックします。
3. ［このスナップインで管理する証明書］で［コンピューターアカウント］をクリックし、［次へ］をクリックします。
4. ［このスナップインで管理するコンピューター］で［ローカルコンピューター］をクリックし、［完了］をクリックします。

手順3：コンソールツリーの ［証明書（ローカルコンピューター）］>［個人］>［証明書］ で証明書を右クリックして、［すべてのタスク］>［秘密キーの管理］ の順に選択します。

手顺4：アクセス制御リストエディターで［（FriendlyName）プライベートキーのアクセス許可］ダイアログボックスが開きます。ここで（FriendlyName）は、TLS証明書の名前です。以下のいずれかのサービスを追加して、［読み取り］アクセスを許可します。

• WindowsシングルセッションOS対応VDAでは“PORTICASERVICE”
• 窗户マルチセッション操作系统対応VDAでは「术语服务」

手顺5：インストールしたTLS证明书をダブルクリックします。[证明书]ダイアログボックスの[详细]タブをクリックして，一番下までスクロールします。[拇印]をクリックします。

手顺6：注册表编辑器を実行して，HKEY_LOCAL_MACHINE \系统\ CurrentControlSet \控制\终端服务器\ WDS \ icawdを开きます。

1. SSL拇指指纹キーを編集して,TLS証明書の拇印の値をバイナリ値にコピーします。[バイナリ値の編集]ダイアログボックスでは,不明な項目(“0000”や特殊文字など)は無視して構いません。
2. 允许キーを編集して、德沃德値を1.に変更します（この德沃德値を0にするとSSLが無効になります）。

3. このレジストリパスでは、必要に応じて以下のデフォルト値を変更できます。

   SSLPortのDWORD値- SSLポート番号。デフォルト:443。

   SSLM反演の德沃德値 – 1=SSL 3.0、2=TLS1.0、3=TLS1.1、4=TLS1.2デフォルト：2（TLS 1.0）

   的SSLCipherSuiteのDWORD値 - 1 = GOV，2 = COM，3 = ALLデフォルト：3（ALL）。

手順7：デフォルトの443以外のTLS TCPポートおよびUDPポートを使用する場合は、そのポートが窗户ファイアウォールで開放されていることを確認します（窗户ファイアウォールで受信規則を作成するときは、［接続を許可する］および［有効］が選択されていることを確認してください）。

手順8：ほかのアプリケーションやサービスなど（IISなど）がそのTLS TCPポートを使用していないことを确认します。

手順9：窗户マルチセッション操作系统対応VDAの場合は、変更を適用するためのマシンを再起動します（窗户シングルセッション操作系统対応VDAのマシンを再起動する必要はありません）。

重要：

VDAが、Windows Server 2012 R2、Windows Server 2016、Windows 10周年纪念版、または以降のサポートリリースにインストールされている場合は、追加の手順が必要になります。これは、用于Windows的Citrix接收器(バージョン4.6～4.9）、HTML5向けCitrix工作区アプリ、および铬向けCitrix工作区アプリからの接続に影響します。これには、Citrix网关を使用した接続も含まれます。

この手順は、Citrix网关とVDA間のTLSが設定されている場合、すべてのVDAバージョンでCitrix网关を使用するすべての接続にも必要です。これはCitrix接收器のすべてのバージョンに影響します。

グループポリシーエディターを使用するVDA（Windows Server 2012中R2和Windows Server 2016，または视窗10周年纪念版以降）上で，[コンピューターの构成]> [ポリシー]> [管理用テンプレート]> [ネットワーク]> [SSL构成设定]> [SSL暗号の顺位]と移动します以下の顺に选択します：

使用AES 256 GCM SHA384 P384 TLS ECDHE RSA用AES 256 GCM SHA384 TLS ECDHE RSA用AES 256 GCM SHA384 P256 TLS ECDHE RSA用AES 256 CBC SHA384 TLS ECDHE RSA用AES 256 CBC SHA384 TLS ECDHE RSA用AES 256 CBC SHA384 TLS ECDHE RSA用CBC SHA384 TLS ECDHE RSA

注：

最初の6.つの項目は、楕円曲線、第384页またはP256も指定します。［曲线25519]が選択されていないことを確認します。 菲普斯モードは、「曲线25519」の使用を妨げません。

このグループポリシー設定が構成されると、VDAは、暗号の組み合わせを、グループポリシーの一覧と選択されたコンプライアンスモード（COM、GOV.hk）または（全部）の一覧の両方に表示されている場合のみ選択します。また、暗号の組み合わせは、クライアント（Citrix工作区）アプリまたは（店面）が送信する一覧にも記載されている必要があります。

このグループポリシー構成は,VDA上の他のTLSアプリケーションおよびサービスにも影響します。アプリケーションが特定の暗号スイートを必要とする場合、このグループポリシーの一覧に追加する必要がある場合があります。

重要：

グループポリシーの変更が適用されたときに表示されても,TLS構成のグループポリシーの変更は,オペレーティングシステムの再起動後にのみ有効になります。したがって,プールデスクトップの場合,TLS構成のグループポリシーの変更は基本イメージに適用してください。

デリバリーグループのTLSの构成

TLS接続を構成したVDAを含んでいるすべてのデリバリーグループで,以下の手順を行います。

1. 演播室から动力壳コンソールを開きます。
2. asnp Citrix。*を実行してCitrix製品のコマンドレットをロードします。
3. Get-BrokerAccessPolicyRule -DesktopGroupName ' <delivery-group-name>“|设置BrokerAccessPolicyRule-HdxSslEnabled$trueを実行します。
4. 设置BrokerSite-DnsResolutionEnabled$trueを実行します。

トラブルシューティング

接続エラーが発生した場合は,VDAのシステムイベントログを確認してください。

窗户向け思杰工作区アプリでTLS关连の接続エラーが発生した场合は，桌面浏览器を无效にしてから接続を再试行してください。接続エラーは解决されないままでも，TLSの问题についての情报が表示される场合があります。たとえば，证明机关に证明书を要求したときに正しくないテンプレートを使用したなどがあります。

HDXアダプティブトランスポートを使用するほとんどの構成は、DTLSで正常に機能します（最新バージョンのCitrix工作区アプリ、Citrix网关およびVDAを使用するDTLSなど）。 Citrix工作区アプリとCitrix网关との間でDTLSを使用する構成、およびCitrix网关とVDAとの間でDTLSを使用する構成には、追加で操作が必要な場合があります。

次の場合は、追加で操作が必要になります。

• HDXアダプティブトランスポートおよびDTLSをサポートする的Citrix Receiverバージョン：接收器的Windows（4.7,4.8,4.9），接收器为Mac（12.5,12.6,12.7），接收器适用于iOS（7.2,7.3.x），または接收器的Linux（13.7）

および、次のいずれかにも該当する場合：

• 思杰网关バージョンでVDAへのDTLSがサポートされていますが，VDAバージョンでDTLS（バージョン7.15以前）がサポートされていません。

• VDAバージョンでDTLS(バージョン7.16以降）がサポートされていますが、Citrix网关バージョンでVDAへのDTLSがサポートされていません。

Citrix接收机からの接続が失敗しないようにするには,次のいずれかを実行します。

• Citrix接收器を、适用于Windows 4.10版的接收器以降、mac12.8接收机以降、またはiOS版本7.5的接收器以降に更新します。または、
• 思杰网关を，VDAへのDTLSをサポートしているバージョンに更新します。または，
• VDAをバージョン7.16以降に更新します。または、
• VDAでDTLSを無効にします。または、
• HDXアダプティブトランスポートを無効にします。

注：

Linux接收机用の適切な更新プログラムは、まだ利用できません。Android接收机(バージョン3.12.3）は、HDXアダプティブトランスポート、およびCitrix网关を介したDTLSをサポートしていないため、影響を受けません。

VDAでDTLSを無効にするには、VDAファイアウォール構成を変更してUDPポート443を無効にします。 「ネットワークポート“を参照してください。

控制器とVDAの間の通信

Windows通信框架（WCF）のメッセージレベルの保護によって、控制器とVDAとの間の通信がセキュリティで保護されます。TLSを使用した追加の移送レベルの保護は必要ありません。周转基金構成では、控制器とVDA間の相互認証にKerberosが使用されます。暗号化には、CBCモードでのAESが256ビットキーで使用されます。メッセージの整合性にはSHA-1が使用されます。

微软によると,WCFで使用されるセキュリティプロトコルは、WS-SecurityPolicy 1.2を含むOASIS（结构化信息标准促进组织）による標準に準拠しています。さらに、周转基金は『1.2安全政策“に表記されているアルゴリズムスイートすべてをサポートしていることも明言されています。

控制器とVDA间の通信には，上述のアルゴリズムによるbasic256アルゴリズムスイートが使用されます。

TLSおよびHTML5ビデオリダイレクション、およびブラウザーコンテンツリダイレクト

HTML5ビデオリダイレクションおよびブラウザーコンテンツリダイレクトを使用して、HTTPS网络サイトをリダイレクトできます。これらの网状物サイトに挿入されたJavaScriptは、VDAで動作するCitrix HDX HTML5ビデオリダイレクトサービスへのTLS接続を確立する必要があります。これを達成するために、HTML5ビデオリダイレクトサービスはVDAの証明書ストアで2.つのカスタム証明書を生成します。このサービスを停止すると、証明書が削除されます。

HTML5ビデオリダイレクションポリシーはデフォルトで无效になっています。

网状物ブラウザーコンテンツリダイレクトは、デフォルトで有効になっています。

HTML5ビデオリダイレクションについて详しくは，「マルチメディアのポリシー設定“を参照してください。