ユニバ,サルプリントサ,バ,の传输层安全(TLS)
传输层安全性(Transport Layer Security, TLS)プロトコルは,虚拟投递代理(VDA)とユニバーサルプリントサーバーとの間のTCPベースの接続でサポートされています。
警告:
Windowsレジストリの編集を含むタスクの場合:レジストリの編集を誤ると,深刻な問題が発生する可能性があり,オペレーティングシステムの再インストールが必要になる場合もあります。レジストリエディタ,の誤用による障害に対して,シトリックスでは一切責任を負いません。レジストリエディタ,は,お客様の責任と判断の範囲でご使用ください。また,レジストリファaaplルのバックアップを作成してから,レジストリを編集してください。
vdaとユニバ,サルプリントサ,バ,間の印刷接続の種類
クリアテキスト接続
印刷に関連する次の接続はvdaから開始され,ユニバサルプリントサバのポトに接続します。これらの接続は,[sslが有効]ポリシ,設定が禁用(デフォルト)に設定されている場合のみ確立されます。
- クリアテキスト印刷Webサビス接続(TCPポト:8080)
- クリアテキスト印刷デ,タストリ,ム(cgp)接続(tcp,ポ,ト:7229)
Microsoft Windows印刷スプーラーサービスで使用されるポートについては,微软のサポート記事Windows业务概述及网口要求を参照してください。このドキュメントのSSL / TLS設定は,NETBIOSおよびWindows印刷スプーラーサービスで確立されたRPC接続には適用されません。[ユニバ,サルプリントサ,バ,の有効化]ポリシ,設定が[有効。Windowsのリモ,ト印刷機能にフォ,ルバックする]に設定されている場合,VDAはWindowsネットワーク印刷プロバイダー(win32spl.dll)をフォールバックとして使用します。
暗号化された接続
印刷に関連するSSL / TLS接続は,VDAから開始されユニバーサルプリントサーバーのポートに接続します。これらの接続は,[sslが有効]ポリシ,設定が启用に設定されている場合のみ確立されます。
- 暗号化印刷Webサビス接続(TCPポト:8443)
- 暗号化印刷デ,タストリ,ム(cgp)接続(tcp,ポ,ト:443)
ssl / tlsクラescアント構成
vdaはssl / tlsクラescアントとして機能します。
微软のグループポリシーとレジストリを使用して,暗号化印刷网页サービス接続(TCPポート:8443)で微软SCHANNEL SSPを構成します。微软SCHANNEL SSPのレジストリ設定については,微软のサポート記事TLS注册表设置を参照してください。
グループポリシーエディターを使用するVDA (Windows Server 2016またはWindows 10)上で,[コンピューターの構成]>[管理用テンプレート]>[ネットワーク]> [SSL構成設定]> [SSL暗号の順位)と移動します。以下の順に選択します:
tls_ecdhe_rsa_with_aes_256_gcm_sha384_p256 tls_ecdhe_rsa_with_aes_256_cbc_sha384_p384 tls_ecdhe_rsa_with_aes_128_cbc_sha_p384 tls_ecdhe_rsa_with_aes_128_cbc_sha_p256
注:
このグループポリシー設定が構成されている場合,暗号化印刷网页サービス接続(デフォルトポート:8443)が両方のSSL暗号の組み合わせ一覧に表示されているときのみ,VDAは暗号の組み合わせを選択します:
- グル,プポリシ,の,ssl暗号の組み合わせ順一覧
- 選択したssl暗号の組み合わせポリシ設定(com, gov,またはall)に関連した一覧
このグルプポリシ構成は,vda上の他のtlsアプリケションおよびサビスにも影響します。アプリケ,ションが特定の暗号の組み合わせを必要とする場合、このグループポリシーの暗号の組み合わせ順一覧に追加することが必要な場合があります。
重要:
tls構成のグル,プポリシ,の変更は,オペレ,ティングシステムの再起動後にのみ有効になります。
Citrixポリシーを使用して暗号化印刷データストリーム(本金保证产品)接続(TCPポート:443)のSSL / TLS設定を構成します。
ssl / tlsサバ構成
ユニバサルプリントサバは,ssl / tlsサバとして機能します。
Enable-UpsSsl.ps1
PowerShellスクリプトを使用してSSL/TLS設定を構成します。
ユニバサルプリントサバにtlsサバ証明書をンストルする
HTTPS接続を使用する場合,ユニバーサルプリントサーバーはサーバー証明書を使用することでTLS機能をサポートします。クラ▪▪アント証明書はサポ▪▪トしません。Microsoft Active Directory証明書サービスまたは他の証明機関を使用して,ユニバーサルプリントサーバーの証明書を要求します。
証明書サ,ビスを使用して証明書を登録/要求する場合,次の点に注意してください:
- 証明書をロ,カルコンピュ,タ,の個人証明書ストアに配置します。
- 証明書のサブジェクト識別名(主题DN)のコモンネ,ム属性をユニバサルプリントサバの完全修飾ドメン名(fqdn)に設定します。証明書テンプレ,トでこれを指定します。
- 証明書要求や秘密キの生成に使用される暗号化サビスプロバダ(csp)をMicrosoft Enhanced RSAおよびAES Cryptographic Provider(暗号)に設定します。証明書テンプレ,トでこれを指定します。
- キサズを2048ビット以上に設定します。証明書テンプレ,トでこれを指定します。
ユニバサルプリントサバでsslを構成する
ユニバ,サルプリントサ,バ,上のxteサ,ビスは,受信接続を待機します。sslが有効な場合は,sslサバとして機能します。受信接続には,印刷コマンドを含む印刷网页サービス接続と,印刷ジョブを含む印刷データストリーム接続の2種類があります。これらの接続でsslを有効にできます。sslはこれらの接続の機密性と完全性を保護します。デフォルトでは,sslは無効になっています。
SSLの構成に使用されるPowerShellスクリプトはインストールメディアにあり,次のファイル名です:\ \ \ SslSupport \ Enable-UpsSsl.ps1工具的支持。
ユニバ,サルプリントサ,バ,でリスニングポ,ト番号を構成する
以下はxteサ,ビス用のデフォルトのポ,トです:
- クリアテキスト印刷Webサビス(HTTP)TCPポト:8080
- クリアテキスト印刷デ,タストリ,ム(cgp) tcpポ,ト:7229
- 暗号化印刷Webサビス(HTTPS)TCPポト:8443
- 暗号化印刷デタストリム(cgp) tcpポト:443
ユニバーサルプリントサーバー上のXTEサービスで使用されるポートを変更するには,管理者として次のPowerShellコマンドを実行します(Enable-UpsSsl。ps1 PowerShellスクリプトの使用に関する注意事項にいては後述を参照してください
Stop-Service CitrixXTEServer, UpSvc
Enable-UpsSsl.ps1-Enable -HTTPSPort
または-CGPSSLPort Enable-UpsSsl.ps1-Disable -HTTPPort
-CGPPort 开始营运CitrixXTEServer
ユニバサルプリントサバのtls設定
負荷分散構成で複数のユニバーサルプリントサーバーがある場合,すべてのユニバーサルプリントサーバー上で一貫したTLS設定を構成するようにしてください。
ユニバーサルプリントサーバー上にTLSを構成すると,インストールされているTLS証明書の権限が変更され,その証明書の秘密キーに対する読み取り権限がユニバーサルプリントサーバーに付与されます。ユニバ,サルプリントサ,バ,には,以下の情報が提供されます:
- tlsで使用される証明書ストア内の証明書。
- tls接続でどのtcpポ,トが使用されるのか。
Windowsファイアウォールを使用する環境では,これらのTCPポートでの受信接続が許可されている必要があります.Enable-UpsSsl。ps1 PowerShellスクリプトを使用する場合は,このファイアウォール規則が自動的に構成されます。
- どのバジョンのtlsプロトコルが許可されるのか。
ユニバーサルプリントサーバーはTLSプロトコルバージョン1.2,1.1,1.0をサポートしています。許可する最小バ,ジョンを指定します。
デフォルトのtlsプロトコルバジョンは1.2です。
- どのtls暗号の組み合わせが許可されるのか。
暗号の組み合わせにより,接続において使用する暗号化アルゴリズムが選択されます。vdaとユニバ,サルプリントサ,バ,は,暗号の組み合わせのさまざまなセットをサポ,トできます。VDAが接続を開始して,サポートするTLS暗号の組み合わせの一覧を送信すると,ユニバーサルプリントサーバー側では,構成済みの暗号の組み合わせの一覧内にVDAのいずれかの暗号の組み合わせと一致するものがあるかどうかがチェックされます。一致した場合,接続が確立されます。一致する暗号の組み合わせがない場合,ユニバ,サルプリントサ,バ,は接続を拒否します。
ユニバーサルプリントサーバーは,开放,FIPS,およびSP800-52ネイティブ暗号キットモードに対し,政府(政府),COM(商業),所有という以下の暗号の組み合わせをサポートします。使用できる暗号の組み合わせは,SSL fipsモ,ドポリシ,設定やWindowsの,FIPS,モ,ドによっても異なります。Windows FIPSモドにいて詳しくは,微软のサポ,ト記事を参照してください。
暗号の組み合わせ(優先度の高い順) | 打开所有 | 打开COM | 开放的政府 | FIPS所有 | FIPS COM | FIPS政府 | SP800-52所有 | SP800-52 COM | SP800-52政府 |
---|---|---|---|---|---|---|---|---|---|
TLS_ECDHE_RSA_ AES256_GCM_SHA384 | ○ | ○ | ○ | ○ | ○ | ○ | |||
TLS_ECDHE_RSA_ AES256_CBC_SHA384 | ○ | ○ | ○ | ○ | ○ | ○ | |||
TLS_ECDHE_RSA_ AES256_CBC_SHA | ○ | ○ | ○ | ○ | ○ | ○ |
PowerShellスクリプトを使用したユニバ,サルプリントサ,バ,上のTLS構成
証明書ストアの[ロ,カルコンピュ,タ,]>[個人]>[証明書]領域にあるtls証明書をンストルします。その場所に複数の証明書が存在する場合は,証明書の拇印をEnable-UpsSsl.ps1
PowerShellスクリプトに指定します。
注:
PowerShellスクリプトは,ユニバーサルプリントサーバーの完全修飾ドメイン名を基にして正しい証明書を見つけます。ユニバーサルプリントサーバーの完全修飾ドメイン名に1つの証明書のみが存在する場合は,証明書の拇印を指定する必要はありません。
Enable-UpsSsl.ps1
スクリプトはvdaからユニバサルプリントサバへのtls接続を有効または無効にします。このスクリプトは,支持> Tools > SslSupportフォルダ,に収録されています。
TLSを有効にすると,スクリプトはユニバーサルプリントサーバーのTCPポートで既存のWindowsファイアウォール規則をすべて無効にします。その後,XTEサービスがTLS TCPおよびUDPポートでのみ受信接続を受け入れることを許可する新しい規則を追加します。また,スクリプトにより以下のWindowsファWindowsアウォ,ル規則が無効になります:
- クリアテキスト印刷Webサ,ビス接続(デフォルト:8080)
- クリアテキスト印刷デ,タストリ,ム(cgp)接続(デフォルト:7229)
その結果,vdaはtlsを使用している場合にのみこれらの接続を確立できます。
注:
TLSを有効にしても,VDAからユニバーサルプリントサーバーへのWindows印刷スプーラーのRPC / SMB接続には影響しません。
重要:
最初のパラメ,タ,として,启用か禁用のどらかを指定します。CertificateThumbprintパラメーターは、ローカルコンピューターの個人証明書ストアの1つの証明書のみがユニバーサルプリントサーバーの完全修飾ドメイン名を持つ場合、オプションです。その他のパラメーターはオプションです。
構文
Enable-UpsSSL。ps1 -Enable [-HTTPPort ] [-CGPPort ] [-HTTPSPort ] [-CGPSSLPort ] [-SSLMinVersion ] [-SSLCipherSuite ] [-CertificateThumbprint ] [-FIPSMode ] [- complancemode ]启用- upsssl。ps1 -禁用[-HTTPPort ] [-CGPPort ]
パラメタ | 説明 |
---|---|
有効化 | xteサバでssl / tlsを有効にします。このパラメタまたは禁用パラメタのいずれかを指定する必要があります。 |
無効化 | xteサバ上でssl / tlsを無効にします。このパラメタまたは启用パラメタのいずれかを指定する必要があります。 |
CertificateThumbprint“<拇指指纹>” |
ロカルコンピュタの個人証明書ストア内にあるtls証明書の拇印を二重引用符で囲んで指定します。スクリプトは,指定された拇印によって使用する証明書を選択します。 |
HTTPPort<口> |
クリアテキスト印刷Webサビス(HTTP/SOAP)ポト。デフォルト:8080 |
CGPPort<口> |
クリアテキスト印刷デ,タストリ,ム(cgp)ポ,ト。デフォルト:7229 |
HTTPSPort<口> |
暗号化印刷Webサビス(HTTPS/SOAP)ポト。デフォルト:8443 |
CGPSSLPort<口> |
暗号化印刷デ,タストリ,ム(cgp)ポ,ト。デフォルトは以下のとおりです。443 |
SSLMinVersion“<版本>” |
許可されるtlsプロトコルの最低バジョンを二重引用符で囲んで指定します。有効な値:“tls_1.0”,“tls_1.1”,“tls_1.2”。デフォルト:tls_1.2。 |
SSLCipherSuite“<名称>” |
tls暗号の組み合わせパッケジの名前。二重引用符で囲みます。有効な値:" gov ", " com ", " all "(デフォルト)。 |
FIPSMode布尔> < |
Xteサ,バ,でfips 140モ,ドを有効または無効にします。有効な値:美元真的でFIPS 140モードを有効にし,140 falseFIPSモードを無効にします。 |
例
次のスクリプトはtlsを有効にします。拇印(この例の場合,“12345678987654321”)を指定して,使用する証明書を選択します。
Enable-UpsSsl.ps1–Enable -CertificateThumbprint "12345678987654321"
次のスクリプトはtlsを無効にします。
Enable-UpsSsl.ps1–Disable
fipsモ,ドの構成
米国の联邦信息处理标准(FIPS)モードを有効にすると,FIPS 140準拠の暗号化のみがユニバーサルプリントサーバーの暗号化接続に使用されるようにできます。
クラアントでfipsモドを構成する前に,サバでfipsモドを構成してください。
Windows FIPSモードを有効/無効にする方法については,微软のドキュメントサイトを参照してください。
クラ@ @アントで@ @ fipsモ@ @ドを有効にする
交付控制器でCitrix Studioを実行して,Citrixポリシ,設定[ssl fipsモド]を启用に設定します。Citrixポリシーを有効にします。
各vdaでこの操作を繰り返します:
- WindowsのFIPSモ,ドを有効にします。
- vdaを再起動します。
サバでfipsモドを有効にする
各ユニバ,サルプリントサ,バ,でこの操作を繰り返します:
- WindowsのFIPSモ,ドを有効にします。
- このPowerShellコマンドを管理者として実行します:
stop-service CitrixXTEServer, UpSvc . zip
Enable-UpsSsl.ps1
スクリプトを-启用-FIPSMode $true
パラメ,タ,で実行します。- ユニバ,サルプリントサ,バ,を再起動します。
クラ@ @アントで@ @ fipsモ@ @ドを無効にする
交付控制器でCitrix Studioを実行して,Citrixポリシ,設定[ssl fipsモド]を禁用に設定します。Citrixポリシーを有効にします。Citrixポリシー[ssl fipsモド]設定を削除することもできます。
各vdaでこの操作を繰り返します:
- WindowsのFIPSモ,ドを無効にします。
- vdaを再起動します。
サバでfipsモドを無効にする
各ユニバ,サルプリントサ,バ,でこの操作を繰り返します:
- WindowsのFIPSモ,ドを無効にします。
- このPowerShellコマンドを管理者として実行します:
stop-service CitrixXTEServer, UpSvc . zip
Enable-UpsSsl.ps1
スクリプトを-启用-FIPSMode $false
パラメ,タ,で実行します。- ユニバ,サルプリントサ,バ,を再起動します。
ssl / tlsプロトコルバジョンを構成する
デフォルトのssl / tlsプロトコルバジョンはtls 1.2です。TLS 1.2は,実稼働環境で推奨される唯一のssl /TLSプロトコルです。トラブルシュ,ティングのためには、実稼働環境以外で一時的にSSL/TLSプロトコルバージョンの変更が必要な場合があります。
SSL 2.0とSSL 3.0は,ユニバサルプリントサバではサポトされていません。
サバでssl / tlsプロトコルバジョンを設定する
各ユニバ,サルプリントサ,バ,でこの操作を繰り返します:
- このPowerShellコマンドを管理者として実行します:
stop-service CitrixXTEServer, UpSvc . zip
Enable-UpsSsl.ps1
スクリプトを使-SSLMinVersion
バ,ジョンパラメ,タ,で実行します。テストの終了後は,tls 1.2に戻すことを忘れないようにしてください。- ユニバ,サルプリントサ,バ,を再起動します。
クラアントでssl / tlsプロトコルバジョンを設定する
各vdaでこの操作を繰り返します:
交付控制器でポリシ,設定[sslプロトコルバジョン]を必要なプロトコルバ,ジョンに設定して,ポリシ,を有効にします。
微软SCHANNEL SSPのレジストリ設定については,微软のサポート記事TLS注册表设置を参照してください。レジストリ設定を使用して,クラTLS 1.0, TLS 1.1またはTLS 1.2を有効にします。
重要:
テストの終了後は,レジストリ設定を元の値に戻すのを忘れないでください。
vdaを再起動します。
トラブルシュ,ティング
接続エラーが発生した場合は,C: \程序文件(x86) \ Citrix \ XTE \ logs \ error.logのユニバーサルプリントサーバーのログファイルをチェックしてください。
ssl / tlsハンドシェ▪▪クが失敗した場合は,このログファ▪▪ルに"客户端SSL握手失败というメッセ,ジが表示されます。このような失敗は,VDAとユニバーサルプリントサーバーのSSL / TLSプロトコルバージョンが一致しない場合に発生することがあります。
ユニバーサルプリントサーバーのホスト名を含む次のポリシー設定でユニバーサルプリントサーバーの完全修飾ドメイン名を使用します:
- セッションプリンタ
- プリンタ,割り当て
- 負荷分散のためのユニバサルプリントサバ
ユニバーサルプリントサーバーとVDAのシステムクロック(日付,時刻,およびタイムゾーン)が正しいことを確認してください。