传输层安全（TLS）

XenAppまたはXenDesktopのサイトのTLS(传输层安全)プロトコルを構成するには,以下の手順が必要です:

• サーバー证明书を入手して，すべての交付控制器上にインストールして登录します。さらに，TLS证明书のポート构成を行います。详しくは，「TLSサーバー证明书の控制器へのインストール“を参照してください。

  必要な場合は、控制器で超文本传输协议およびHTTPSトラフィック用に使用されるポートを変更することもできます。

• ユーザーと虚拟交付代理（VDA）間のTLS接続を有効にします。これを行うには、以下のタスクが必要です：

  • VDAがインストールされたマシン上でTLSを構成します(便宜上,VDAがインストールされたマシンをここでは“共识”と呼びます)。提供されているPowerShellスクリプトを使用したり,手作業で構成したりすることができます。全般的な情報については,”VDA上のTLS設定について」を参照してください。详しくは，「VDA上のTLS構成：动力壳スクリプトの使用“および”VDA上のTLS構成：手作業による構成“を参照してください。
  • VDAが追加されているデリバリーグループでTLSを構成します。これを行うには、演播室でいくつかの动力壳コマンドレットを実行します。詳しくは、「デリバリーグループのTLSの构成“を参照してください。

  以下の要件および考慮事項があります:

  • ユーザーとVDA間のTLS接続を有効にするのは、XenApp 7.6サイト、XenDesktop 7.6サイト、およびこれ以降のリリースでのみ必要です。
  • デリバリーグループおよびVDA上のTLSは，コンポーネントのインストール，サイトの作成，およびマシンカタログとデリバリーグループの作成を行った后で构成します。
  • デリバリーグループでTLSを構成するには、控制器のアクセス規則を変更するための権限が必要です。すべての管理権限を実行できる管理者には必要な権限が付与されています。
  • VDA上のTLSを構成するには、そのマシン上の窗户管理者権限が必要です。
  • VDAを以前のバージョンからアップグレードしてTLSを构成する场合は，アップグレード前にすべてのSSLリレーソフトウェアをアンインストールしておく必要があります。
  • PowerShellスクリプトでは,静的に割り当てられるVDA上のTLSを構成できます。机创建服务または供应服务でプロビジョニングされてプールされるVDAは再起動時にマシンイメージがリセットされるため,PowerShellスクリプトでTLSを構成することはできません。

警告：

视窗レジストリの编集を含むタスクの场合：レジストリの编集を误ると，深刻な问题が発生する可能性があり，オペレーティングシステムの再インストールが必要になる场合もありますレジストリエディターの误用による障害に対して，シトリックスでは一切责任を负いません。レジストリエディターは，お客様の责任と判断の范囲でご使用ください。また，レジストリファイルのバックアップを作成してから，レジストリを编集してください。

サイトデータベース接続のTLSを有效にする方法については，CTX139664を参照してください。

注：

TLSとUDTが両方ともVDAで有效な场合：

• 思杰主任は，VDAへの直接アクセスに常にTLS通过TCP（UDPやUDTではなく）を使用します。
• NetScaler的网关を使用してVDAに间接的にアクセスする场合，Citrix Receiver的は，NetScaler的网关との通信にDTLS通过UDPを使用します.NetScaler网关とVDA间の通信には，DTLSなしのUDPが使用されます。UDTが使用されます。

TLSサーバー证明书の控制器へのインストール

HTTPS接続を使用する场合，XML服务はサーバー证明书を使用することでTLS机能をサポートしますが，クライアント证明书はサポートしません。このセクションでは，交付控制器でのTLS证明书の取得とインストールについて说明します。同じ手顺を云连接器に适用して，STAおよびXMLトラフィックを暗号化できます。

証明機関にはさまざまな種類があり,そこに証明書を要求する方法もさまざまですが,この資料では微软証明機関について説明します。微软証明機関は,サーバー認証の目的で発行された証明書テンプレートを保有している必要があります。

微软证明机关が，活动目录ドメインまたは交付控制器が参加している信頼されたフォレストに统合されている场合は，证明书MMCスナップインの证明书登录ウィザードから证明书を取得できます。

証明書の要求とインストール

1. 传送控制器で、MMCコンソールを開き、証明書スナップインを追加します。プロンプトが表示されたら、［コンピューターアカウント］を選択します。

2. ［個人］>［証明書］を展開し、[すべてのタスク]>[新しい証明書の要求)コンテキストメニューコマンドを使用します。

3. (次へ]をクリックして開始し、(次へ]をクリックして，Active Directory中の登录から证明书を取得していることを确认します。

4. サーバー認証証明書のテンプレートを選択します。(件名]の値が自動的に入力されるようにテンプレートが設定されている場合は,詳細を指定せずに[登录]をクリックできます。

5. 证明书テンプレートの详细情报を入力するには，［詳細］矢印ボタンをクリックし,次の項目を構成します:

   サブジェクト名：共通名を選択し,交付控制器の完全修飾ドメイン名を追加します。

   代替名：域名服务器を選択し、传送控制器の完全修飾ドメイン名を追加します。

SSL/TLSリスナーポートの構成

1. マシンの管理者としてPowerShell的コマンドウィンドウを开きます。

2. ブローカーサービスアプリケーションGUIDを取得するには，次のコマンドを実行します：

   新PSDrive来- name香港华润-PSProvider注册表-根HKEY_CLASSES_ROOT$ Service_Guid=GET-ChildItemHKCR: \安装\产品-Recurse-ea0|位置对象{$关键=$\ _;$\_.GetValueNames()|ForEach-Object{$关键.的GetValue($\ _)}|位置对象{$\ _例如“思杰代理服务”}}|选择-对象的名字$ Service_Guid.的名字-比赛“[A-Z0-9] * $”$的Guid=$匹配[0][GUID]$ Formatted_Guid=$的Guid卸下PSDrive- name香港华润写主机“代理服务应用程序GUID：$($ Formatted_Guid)"-前景色黄色<!——NeedCopy->

3. 同じPowerShellウィンドウで次のコマンドを実行して,以前にインストールした証明書の拇印を取得します:

   美元的主机的名字=（[System.Net。域名系统]::GetHostByName(($环境:COMPUTERNAME）））.主机名$Thumbprint=(GET-ChildItem-小路证书：\ LOCALMACHINE \我的|位置对象{$_.主题-比赛(“CN =”+美元的主机的名字）}）.拇指指纹-加入';'写主机-反对“证书指纹的$(美元的主机的名字）：$($Thumbprint)"-前景黄色<!——NeedCopy->

4. 同じ动力壳ウィンドウで次のコマンドを実行して、ブローカーサービスのSSL/TLSポートを構成し、暗号化用の証明書を使用します：

   $IPV4\u地址=测试连接-计算机名美元的主机的名字-计数1.|选择-对象-膨胀性IPV4AddressIPPort美元="$($IPV4\u地址)：443"$ SSLxml=“HTTP添加的sslcert ipport =IPPort美元CERTHASH =$ThumbprintAPPID = {$ Formatted_Guid}”$ SSLxml|netsh.netshhttp显示sslcert<!——NeedCopy->

正しく構成された場合、最後のコマンド.netsh HTTP show sslcert .netの出力に，リスナーが正しいIP：端口を使用していること、および应用IDがブローカーサービスアプリケーションGUIDと一致していることが示されます。

サーバーが传送控制器にインストールされた証明書を信頼している場合、店面送货控制器およびCitrix网关STAバインディングで、超文本传输协议ではなくHTTPSを使用するように構成できます。

注：

この构成の変更は，他のバージョンの的Windows Serverの组み合わせのと控制器店面では必要ありません。

暗号の组み合わせの顺序一覧には，TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384またはTLS_ECDHE_RSA_与_AES_128_CBC_SHA256の暗号の組み合わせ（またはこの両方）を含める必要があります。これらの暗号の組み合わせは、TLS_DHE_の暗号の组み合わせより前に配置する必要があります。

注：

Windows Server 2012では,GCMの暗号の組み合わせTLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384およびTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256はサポートされません。

1. 微软のグループポリシーエディターを使用して，[コンピューターの构成]> [管理用テンプレート]> [ネットワーク]> [SSL构成设定]の順に参照します。
2. [SSL暗号の顺位]ポリシーを编集します。デフォルトでは，このポリシーは[未构成]に设定されています。このポリシーを［有効］に設定します。
3. 暗号の组み合わせを适切な顺序に并び替え，使用しない暗号の组み合わせを削除します。

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384またはTLS_ECDHE_RSA_与_AES_128_CBC_SHA256のどちらかがすべてのTLS_DHE_暗号の組み合わせより前に配置されていることを確認します。

微软MSDNの「优先级通道密码套件」も参照してください。

HTTPまたはHTTPSポートの変更

デフォルトでは，XML服务はHTTPトラフィックにはポート80を，HTTPSトラフィックにはポート443を使用します。これらのポート番号を変更することもできますが，信頼されないネットワークに控制器を露出させる场合のセキュリティ上のリスクについて考虑してください。デフォルト构成を変更する场合は，スタンドアロンの店面サーバーを使用することをお勧めします。

控制器で使用されるデフォルトのHTTPまたはHTTPSポートを変更するには,工作室で次のコマンドを実行します:

BrokerService.exe -WIPORT HTTP端口-WISSLPORT HTTPS端口

ここで、HTTP端口はHTTPトラフィックのポート番号で,https端口はHTTPSトラフィックのポート番号です。

ポートが変更されると,ライセンスの互換性およびアップグレードに関するメッセージが工作室に表示されます。この問題を解決するには,以下のPowerShellコマンドレットを順に実行してサービスインスタンスを再登録してください:

Get-ConfigRegisteredServiceInstance -ServiceType Broker -绑定XML_HTTPS|

注销，ConfigRegisteredServiceInstance

GET-BrokerServiceInstance|绑定-eq " XML_HTTPS " Register-C|onfigServiceInstance

HTTPSトラフィックのみに制限する

超文本传输协议トラフィックがXML服务で無視されるように構成するには、控制器上の HKLM\Software\Citrix\DesktopServer\で以下のレジストリ設定を作成してから经纪服务を再起動します。

超文本传输协议トラフィックを無視するには、DWORD XMLServicesEnableNonSLを作成して0に設定します。

同様に,HTTPSトラフィックを無視するために作成できるレジストリのDWORD値も存在します:DWORD XmlServicesEnableSslこれは0に設定しないでください。

VDA上のTLS設定

TLSを構成したVDAと構成していないVDAを同一デリバリーグループ内で混在させることはできません。デリバリーグループのTLSを構成する前に,そのグループに属しているすべてのVDA上でTLS構成を完了しておく必要があります。

VDA上にTLSを構成すると,インストールされているTLS証明書の権限が変更され,その証明書の秘密キーに対する読み取り権限がICA服务に付与されます。ICA服务には,以下の情報が提供されます:

• TLSで使用される証明書ストア内の証明書。
• どの传输控制协议ポートがTLS接続で使用されるのか。

窗户ファイアウォールを使用する環境では、この传输控制协议での着信接続が許可されている必要があります。动力壳スクリプトを使用する場合は、このファイアウォール規則が自動的に構成されます。

• どのバージョンのTLSプロトコルが許可されるのか。

重要

在SSLv3の使用状况を确认し，必要に応じ，それらの展开を再构成して的SSLv3のサポートを削除することを思杰ではお勧めします。CTX200238を参照してください。

サポートされるTLSプロトコルのバージョンは次の通りです:(低いものから）SSL 3.0，TLS 1.0，TLS 1.1，TLS 1.2。许可する最低バージョンを指定すると，それ以上のバージョンを使用するすべてのプロトコル接続が许可されます。

たとえば，最低バージョンとしてTLS 1.1を指定すると，TLS 1.1およびTLS 1.2のプロトコルを使用した接続が许可されます。最低バージョンとしてSSL 3.0を指定すると，サポートされるSSLプロトコルのすべてのバージョンが许可されます。最低バージョンとしてTLS 1.2を指定すると，TLS 1.2の接続のみが许可されます。

• どのTLS暗号の組み合わせが許可されるのか。

暗号スイートが、この接続において使用する暗号化を選択します。 クライアントとVDAは、暗号スイートの異なる組み合わせをサポートできます。クライアント（Citrix）接收器または（店面）がVDAに接続するときは、そのクライアントがサポートするTLS暗号スイートの一覧をVDAに送信します。VDA側では、構成済みの暗号スイートの独自の一覧内にクライアントのいずれかの暗号スイートと一致するものがあるかどうかがチェックされ、あった場合にのみ接続が確立されます。一致する暗号スイートがない場合、その接続はVDAにより拒否されます。

VDAがサポートしている暗号スイート（コンプライアンスモードとも呼ばれます）は，GOV（ernment），COM（mercial），およびALLの3つです。确立できる暗号スイートは，视窗のFIPSモードによっても异なります。视窗のFIPSモードについては，https://support.microsoft.com/kb/811833を参照してください。次の表は,各セットの暗号の組み合わせを示しています:

重要：

VDAがWindows Server 2012 R2, Windows Server 2016、Windows 10周年纪念版,または以降のサポートリリースにインストールされている場合は,追加の手順が必要になります。これはCitrix接收机为Windows(バージョン4.6 ~ 4.9),Citrix接收机HTML5,およびCitrix接收机在Chromeからの接続に影響します。これには,NetScaler网关を介した接続も含まれます。

この手顺は，NetScaler的网关とVDA间のTLSが设定されている场合，すべてのVDAバージョンで的NetScaler网关を使用するすべての接続にも必要です。これは的Citrix Receiverのすべてのバージョンに影响します。

グループポリシーエディターを使用するVDA (Windows Server 2016またはWindows 10周年纪念版以降)上で,［コンピューターの構成］>［管理用テンプレート］>［ネットワーク］>［SSL構成設定］>［SSL暗号の順位］。と移动します以下の顺に选択します：

• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P384
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384_P256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_与_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_与_RC4_128_SHA
• TLS_RSA_与_3DES_EDE_CBC_SHA

注：

最初の4つの项目は，楕円曲线，P384，またはP256も指定します。[curve25519]が选択されていないことを确认します.FIPSモードは，「curve25519」の使用を妨げません。

このグループポリシー設定が構成されると、VDAは、暗号の組み合わせを、グループポリシーの一覧と選択されたコンプライアンスモード（COM、GOV.hk）または（全部）の一覧の両方に表示されている場合のみ選択します。また、暗号スイートは、クライアント（Citrix）接收器または（店面）が送信する一覧にも記載されている必要があります。

このグループポリシー構成は,VDA上の他のTLSアプリケーションおよびサービスにも影響します。アプリケーションが特定の暗号スイートを必要とする場合、このグループポリシーの一覧に追加する必要がある場合があります。

重要：

グループポリシーの変更が適用されたときに表示されても,TLS構成のグループポリシーの変更は,オペレーティングシステムの再起動後にのみ有効になります。したがって,プールデスクトップの場合,TLS構成のグループポリシーの変更は基本イメージに適用してください。

VDA上のTLS構成：动力壳スクリプトの使用

VDA上で启用-VdaSSL.ps1スクリプトを実行すると，そのVDAでのTLSリスナーを有效または无效にできます。このスクリプトは，インストールメディアの支持>工具> SslSupportフォルダーに收录されています。

スクリプトでTLSを有効にする場合,指定したTLS TCPポートについての既存のWindowsファイアウォール規則がすべて無効になります。その後で,ICA服务がそのポートで着信接続を受け入れるための新しい規則が追加されます。また,スクリプトにより以下のWindowsファイアウォール規則が無効になります:

• 枸橼酸(デフォルトで1494）
• 思杰CGP（デフォルトで2598）
• Citrix WebSocket(デフォルトで8008)

この影響として、TLSを使用した場合のみ接続が可能になります。TLSを使用しないと、ICA/HDX、セッション画面を保持したICA/HDX、WebSocketを介したHDXを使用することはできません。

「ネットワークポート“を参照してください。

注：

PVSターゲットやMCSクローンなどのステートレスマシンでは，デフォルトでFQDN证明书が使用されます。

このスクリプト内には，以下の构文および使用例が记载されています.Notepad ++などのツールを使用してこれらを参照できます。

重要：

使または禁用パラメーターとCertificateThumbPrintパラメーターを指定します。その他のパラメーターはオプションです。

構文

启用-VdaSSL {-Enable |-disable} -CertificateThumbPrint “<指纹>”[-SSLPort <端口>] [-SSLMinVersion “<分钟的SSL版本>”] [-SSLCipherSuite “<套件>”] <！ -  NeedCopy  - >

例

次のスクリプトでは，TLS 1.2プロトコルバージョン値をインストールして有效にします。拇印（この例の场合，「12345678987654321」）を指定して，使用する证明书を选択します。

Enable-VdaSSL -Enable -CertificateThumbPrint "12345678987654321"

次のスクリプトでは、TLSリスナーをインストールして有効化し、TLSポートとして400、暗号スイート政府:およびSSLプロトコルの最低バージョンとしてTLS 1.2を設定します。拇印（この例の場合、「12345678987654321」）を指定して、使用する証明書を選択します。

启用VdaSSL–启用–证书Tumbprint“12345678987654321”–SSLPort 400–SSLMinVersion“TLS_1.2”–SSLCipherSuite“全部”

次のスクリプトでは，VDA上のTLSリスナーを无效にします。

启用VdaSSL–禁用

VDA上のTLS構成：手作業による構成

VDA上のTLSを手作業で構成するには、TLS証明書の秘密キーに対する読み取り権限をVDA上のNT服务\PorticaService（适用于Windows桌面操作系统的VDAの場合）またはNT服务\TermService（适用于Windows服务器操作系统的VDAの場合）に付与します。VDAがインストールされたマシン上で、以下の手順を行います：

1. 微软管理コンソール（MMC）を起动します：[スタート]> [ファイル名を指定して実行]> MMC.EXE。

2. MMCに证明书スナップインを追加します。

   1. ［ファイル］>［スナップインの追加と削除］の順に選択します。
   2. [证明书]を选択して［追加］をクリックします。
   3. [このスナップインで管理する证明书]で[コンピューターアカウント]をクリックし,(次へ]をクリックします。
   4. [このスナップインで管理するコンピューター]で[ローカルコンピューター]をクリックし,[完了]をクリックします。

3. コンソールツリーの［証明書（ローカルコンピューター）］>［個人］>［証明書］で证明书を右クリックして，[すべてのタスク]> [秘密キーの管理]の順に選択します。

4. アクセス制御リストエディターで[(FriendlyName)プライベートキーのアクセス許可]ダイアログボックスが開きます。ここでFriendlyNameは,TLS証明書の名前です。以下のいずれかのサービスを追加して,[読み取り]アクセスを許可します:

   • VDA的Windows桌面操作系统では「PORTICASERVICE」
   • Windows服务器操作系统的VDAでは「术语服务」

5. インストールしたTLS証明書をダブルクリックします。[証明書]ダイアログボックスの［詳細］タブをクリックして、一番下までスクロールします。［拇印］をクリックします。

6. 注册表编辑器を実行して,HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ \控制终端服务器\ Wds \ icawdを開きます。

   1. SSL拇指指纹キーを編集して,TLS証明書の拇印の値をバイナリ値にコピーします。[バイナリ値の編集]ダイアログボックスでは,不明な項目(“0000”や特殊文字など)は無視して構いません。
   2. SSLEnabledキーを编集して，DWORD値を1に変更します（このDWORD値を0にするとSSLが无效になります）。

   3. このレジストリパスでは、必要に応じて以下のデフォルト値を変更できます。

      。SSLPortのDWORD値 - SSLポート番号デフォルト：443。

      sslmdword–1=ssl3.0、2=tls1.2、3=tls1.1、4=tls1.2デフォルト：2（TLS 1.2）

      的SSLCipherSuiteのDWORD値 - 1 = GOV，2 = COM，3 = ALLデフォルト：3（ALL）。

7. デフォルトの443以外のTLS TCPポートを使用する场合は，そのポートが的Windowsファイアウォールで开放されていることを确认します（的Windowsファイアウォールで受信规则を作成するときは，[接続を许可する]および［有効］が選択されていることを確認してください）。

8. ほかのアプリケーションやサービスなど（IISなど）がそのTLS TCPポートを使用していないことを确认します。

9. VDAS用于Windows Server OSの场合は，変更を适用するためのマシンを再起动します.VDA为Windows桌面操作系统のマシンを再起动する必要はありません。

デリバリーグループのTLSの构成

TLS接続を构成したVDAを含んでいるすべてのデリバリーグループで，以下の手顺を行います。

1. 演播室から动力壳コンソールを開きます。
2. asnp Citrix。*を実行して思杰制品のコマンドレットをロードします。
3. 获取BrokerAccessPolicyRule-DesktopGroupName“传递组名称”|设置BrokerAccessPolicyRule-HdxSslEnabled$trueを実行します。
4. 设置BrokerSite-DnsResolutionEnabled$trueを実行します。

トラブルシューティング

接続エラーが発生した場合は,VDAのシステムイベントログを確認してください。

思杰接收器为WindowsでTLS关连の接続エラー（1030など）が発生した场合は，桌面浏览器を无效にしてから再试行してください。接続エラーは解决されませんが，TLSの问题についての情报が表示される场合があります。たとえば，证明机关に证明书を要求したときに正しくないテンプレートを使用したなどがあります。

控制器とVDAの間の通信

控制器とVDA間の通信は,Windows通信框架(WCF)のメッセージレベルの保護によってセキュリティ保護されています。TLSを使用した追加の移送レベルの保護は必要ありません。WCF構成では,控制器とVDA間の相互認証にKerberosが使用されます。暗号化には,CBCモードでのAESが256ビットキーで使用されます。メッセージの整合性にはsha - 1が使用されます。

微软によると，WCFで使用されるセキュリティプロトコルは，WS-安全1.2を含むOASIS（结构化信息标准促进）による标准に准拠しています。さらに，WCFは『1.2安全政策“に表記されているアルゴリズムスイートすべてをサポートしていることも明言されています。

控制器とVDA间の通信には，上述のアルゴリズムによるbasic256アルゴリズムスイートが使用されます。

TLSおよびHTML5ビデオリダイレクション

HTML5ビデオリダイレクションを使用して、HTTPS网络サイトをリダイレクトできます。これらの网状物サイトに挿入されたJavaScriptは、VDAで動作するCitrix HDX HTML5ビデオリダイレクトサービスへのTLS接続を確立する必要があります。これを達成するために、HTML5ビデオリダイレクトサービスはVDAの証明書ストアで2.つのカスタム証明書を生成します。このサービスを停止すると、証明書が削除されます。

HTML5ビデオリダイレクションポリシーはデフォルトで无效になっています。

HTML5ビデオリダイレクトについて详しくは，「マルチメディアのポリシー設定“を参照してください。