Citrixサポートブログ

  • 設計・構築・設定
2020.12.25

【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(2)

【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(2)

こんにちは。Citrix製品のサポートを担当している川東(かわひがし)です。

Citrix Virtual Apps and Desktops(XenApp and XenDesktop)を社外からインターネット接続で利用する場合、Citrix Gatewayを使用して、「Citrix StoreFront、公開アプリケーション、仮想デスクトップ」の通信を暗号化することができます。こちらの接続方法は、ICA-Proxyと呼ばれています。

今回のブログは、ICA-Proxy 接続で利用するためのCitrix Gateway VPXの構築手順の一例をご紹介させて頂きます。Citrix Gateway VPX の入手方法から説明をする都合で、以下の6本の記事に分けてご紹介をさせて頂きます。今回は「2」の内容になります。

【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(1)
Citrix Gateway VPXの入手方法、基本設定
【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(2)
自己署名ルート証明書、中間証明書、サーバ証明書の作成
【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(3)
中間証明書とサーバ証明書のインストール
【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(4)
認証ポリシーの作成、セッションポリシーの作成
【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(5)
Virtual Server の作成
【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(6)
StoreFrontのストア設定、クライアント端末からICA-Proxy接続の確認

目次

1.本記事の検証環境の構成イメージ
2.自己署名ルート証明書、中間証明書、サーバ証明書の作成の流れ
3.自己署名ルート証明書の作成手順
4.中間証明書の作成手順
5.サーバ証明書の作成手順


1.本記事の検証環境の構成イメージ


本資料で使用するすべてのマシンは、VMWare ESXi 上で構築しています。Citrix Gateway VPXの仮想NICは1枚です。こちらに3個のIPアドレスを割り当ててます。それぞれの用途は以下になります。

名称 用途
NSIP(NetScaler IP) 管理コンソールに接続するために割り当てるIPアドレス
SNIP(Subnet IP) クライアント端末からStoreFrontやVirtual Delivery Agentのマシンへの接続を仲介(プロキシ)するためのIPアドレス
VIP(Virtual IP) クライアント端末が接続するVirtual Serverで使用するIPアドレス

<検証環境イメージ図>
使用しているIPアドレスは、検証環境に作成した内部ネットワークのIPアドレスになります。

<参考記事>

ICA-Proxyで公開アプリケーションを起動する場合の処理の流れはこちらの記事をご参照ください。
Citrix NetScaler Gateway を使用した場合のXenApp7.15の公開アプリケーション起動処理の流れ

本記事で使用しているCitrix製品のバージョンは以下になります。

製品 バージョン
Citrix Gateway VPX 13.0 build 58.32
Citrix Virtual Apps 7 1912 LTSR CU1 (OS: Windows Server 2016)
Citrix Workspace app 1912 LTSR CU2(OS: Windows 10)

2.自己署名ルート証明書、中間証明書、サーバ証明書の作成の流れ


※本記事は中間証明書の作成も含めています。動作検証時に中間証明書を使用しない場合は、以下の②の内容は無視してください。「③の署名要求」は「①ルート証明書」を使用するイメージになります。

以下の図の①から③に記載の「自己署名ルート証明書の作成」「中間証明書の作成」「サーバ証明書の作成」の流れで作成します。すべて、Citrix Gatewayに用意されている機能で作成ができます。

それぞれの証明書の有効期間は、別記事の証明書更新手順の内容の都合で、「ルート証明書:3年」「中間証明書:1年」「サーバ証明書:1年」にしています。


3.自己署名ルート証明書の作成手順

1.「Traffic Management」-「SSL」を開きます。画面右上の保存アイコンにオレンジ色の丸が表示されている場合は、以前の作業の設定が保存されていない可能性がありますのでクリックして保存します。

2.「1」にて保存アイコンをクリックした場合、確認画面にて「Yes」をクリックします。

3.画面右下に通知メッセージが表示された場合は「✕」にて閉じます。

4.「Root-CA Certificate Wizard」をクリックします。

5.「SSL Root-CA Certificate Wizard」にて黄色の箇所を設定後、「Create」をクリックします。「Key Filename*」は秘密鍵として作成するファイルの名前を手動で入力してください。「Pem Passphrase」は秘密鍵のパスワードを設定します。「Key Size」は「2048」以上を推奨します。

6.「Create Certificate Signing Request (CSR)」にて黄色の箇所を設定します。「Request File Name*」は証明書署名要求ファイルとして作成するファイルの名前を手動で入力してください。「PEM Passphrase」は手順5で設定した秘密鍵のパスワードです。「Subject Alternative Name」は「DNS:testCA」にしています。手順7で設定するCommon Nameの「testCA」と同じにしています。

7.6の続きの設定です。黄色の箇所を設定後、一般名「Common Name」を入力後「Create」をクリックします。本資料は一般名「Common Name」を「testCA」にしています。

8.証明書署名要求ファイルのダウンロード画面にて、「No」をクリックします。

9.画面上部にCitrix Gateway にビルトインされている証明機関を使用するため、動作検証目的の使用を推奨するメッセージが表示された場合は「✕」をクリックします。

10.「Certificate」にて黄色の箇所を設定します。「Certificate File Name*」は証明書署名要求ファイルとして作成するファイルの名前を手動で入力してください。本記事は「Valid Period(Number of Days)」は「1095」(3年間)にしています。「PEM Passphrase」は手順5の秘密鍵のパスワードです。「Subject Alternative Name」は「DNS:testCA」にしています。手順6と同じ値にしています。

11.本記事は「Install Certificate」は設定せずに「Done」をクリックします。

12.作成したルート証明書をダウンロードします。こちらのファイルは、【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(6) で、クライアント端末からICA-Proxy接続の動作確認をする際にクライアント端末にインストールします。

「Traffic Management」-「SSL」-「Manage Certificates / Keys / CSRs」をクリックします。

13.作成したルート証明書を選択します。

14.「Download」をクリックします。ダウンロードしたファイルは、ICA-Proxy接続の動作確認をするクライアント端末にインストールします。


4.中間証明書の作成手順

1.「Traffic Management」-「SSL」をクリックします。「Intermediate-CA Certificate Wizard」をクリックします。

2.「SSL Intermediate-CA Certificate Wizard」にて黄色の箇所を設定後、「Create」をクリックします。「Key Filename*」は秘密鍵として作成するファイルの名前を手動で入力してください。「PEM Passphrase」は秘密鍵のパスワードを設定します。「Key Size」は「2048」以上を推奨します。

3.「Create Certificate Signing Request (CSR)」にて黄色の箇所を設定します。「Request File Name*」は証明書署名要求ファイルとして作成するファイルの名前を手動で入力してください。PEM Passphraseは手順2で設定した秘密鍵のパスワードです。「Subject Alternative Name」は「DNS:test-intmCA」にしています。手順4で設定するCommon Nameの「test-intmCA」と同じにしています。

4.3の手順の続きです。黄色の箇所を設定後、一般名「Common Name」を入力後「Create」をクリックします。本資料は一般名「Common Name」を「test-intmCA」にしています。本記事は「Common Name」を「test-intmCA」にしています。

5.証明書署名要求ファイルのダウンロード画面にて、「No」をクリックします。

6.「Certificate」にて黄色の箇所を設定します。「Certificate File Name*」は証明書署名要求ファイルとして作成するファイルの名前を手動で入力してください。「CA Certificate File Name*」の「Choose File」の右側の下矢印をクリック後、「Appliance」をクリックします。「Subject Alternative Name」は「DNS:test-intmCA」にしています。手順4と同じ値にしています。

7.ルート証明書のファイルを選択後、「Open」をクリックします。

8.「CA Key File Name」にて「Choose File」の下矢印をクリック後、「Appliance」をクリックします。

9.「testCA.key」を選択後、「Open」をクリックします。

10.「PEM Passphrase」に、ルート証明書用の秘密鍵のパスワードを設定します。「CA Serial File Nnmber」の「Choose File」右側の下矢印をクリック後、「Appliance」をクリックします

11.「ns-root.srl」を選択後、「Open」をクリックします。独自に作成したシリアル番号のファイルを使用する場合は、そちらを選択後、「Open」をクリックします。

12.「Create」をクリックします。

13.以下の画像の「Install Certificate」は設定無しで、「Done」をクリックします。

14.「Manage Certificates / Keys / CSRs」をクリックします。

15.作成したルート証明書を選択します。

16.「Download」をクリックします。ダウンロードしたファイルは、ICA-Proxy接続の動作確認をするクライアント端末にインストールします。

インストール手順は、こちらのページ をご参照ください。


5.サーバ証明書の作成手順

1.画面右上の保存アイコンがオレンジ色の場合は、以前の設定内容が保存されていない可能性がありますのでクリックして保存ます。

2.「Server Certificate Wizard」をクリックします。

3.「SSL Server Certificate Wizard」画面にて黄色の箇所を設定します。「Key Filename」はサーバ証明書用の秘密鍵を作成します。「PEM Passphrase」に秘密鍵のパスワードを設定します。設定後、「Create」をクリックします。

4.「Create Certificate Signing Request(CSR)」にて黄色の箇所を設定します。「Request File Name」は証明書署名要求ファイルの名前を入力します。「PEM Passphrase」は、手順3の秘密鍵のパスワードを入力します。「Subject Alternative Name」は「DNS:cgica13-01.river.local」にしています。手順5で設定するCommon Nameの「cgica13-01.river.local」と同じにしています。こちらの値は、ユーザが接続するFQDNと一致するようにしてください。

5.黄色の箇所を設定します。「Common Name」はサーバ証明書に指定するFQDNを指定します。こちらの値は、ユーザが接続するFQDNと一致するようにしてください。

6.証明書署名要求ファイルのダウンロード確認画面にて「No」をクリックします。

7.以下の警告画面にて、右側の「✕」をクリックします。

8.「Certificate」画面にて黄色の箇所を設定します。「Certificate File Name*」は、サーバ証明書のファイル名を入力します。「CA Certificate File Name*」は、「Choose File」の下矢印をクリック後「Appliance」をクリックします。「Subject Alternative Name」は「cgica13-01.river.local」にしています。手順4と同じ値にしています。こちらの値は、ユーザ様が接続するFQDNと一致するようにしてください。

9.中間証明書のファイルを選択後、「Open」をクリックします。

10.引き続き、黄色の箇所を設定します。「CA Key File Name*」は、「Choose File」の下矢印をクリック後、「Appliance」をクリックします。

11.中間証明書の秘密鍵を選択後、「Open」をクリックします。

12.「CA Serial Number*」にて「Choose File」の下矢印をクリック後、「Appliance」をクリックします。「PEM Passphrase」は手順5で設定した中間証明書の秘密鍵のパスワードです。

13.「ns-root.srl」を選択後、「Open」をクリックします。シリアル番号のファイルを独自に作成されている場合は、そちらのファイルを選択してください。

14.「Create」をクリックします。

15.「4」の以下の画像の「Install Certificate」は設定無しで、「Done」をクリックします。

16.「Manage Certificates / Keys / CSRs」をクリックします。

17.サーバ証明書用に作成した秘密鍵、署名要求ファイル、サーバ証明書が作成されていることを確認します。


次回 は、本記事で作成した中間証明書とサーバ証明書のキーペア作成とリンクの手順をご紹介します。


Citrix製品紹介セミナーも定期開催しています

クライアント仮想化の基礎知識から、仮想化製品「Citrix Virtual Apps and Desktops(XenAppおよびXenDesktop)」の製品概要、導入検討時に注意すべき点などをご紹介します。
今お持ちのお悩みを解決し、Citrix製品をより有効に活用する方法を具体的に学ぶことができる内容になっております。




Citrixの設定・トラブル対処方法の良くあるFAQ10選プレゼント中

アシストのCitrixサポートセンターに良くある設定・トラブル対処方法のFAQ10選の資料を無料プレゼント中です。また、Citrix XenApp/XenDesktopの問題発生時に原因を切り分ける方法も掲載しております。以下のバナーからお気軽にダウンロードください。


筆者情報:川東健吾

アシストに入社し、テスト系製品のカスタマーサポートを担当後、現在はCitrix製品を担当しています。XenAppとXenDesktopのトラブルシューティングや運用に役立つ情報を、長年のサポート対応の視点で分かりやすくお伝えしていきます。
学生時代から続けている映像制作の趣味の延長で、Citrixトラブシューティング入門動画も制作しました。こちらからご視聴頂けます。

関連している記事

  • 設計・構築・設定
2023.12.19

ドメインパススルー認証の設定方法の一例

クライアント端末がCitrix Virtual Apps and Desktopsのサーバと同じドメインに参加している場合、Citrix製品のドメインパススルー認証の機能を使用できます。こちらの機能を使用すると、StoreFrontサイトにログイン時のアカウント入力作業を省略することができます。

  • 設計・構築・設定
2023.08.25

公開アプリケーションから接続元マシンのデスクトップにファイルを直接保存する方法

今回は、公開アプリケーションから接続元端末のデスクトップにファイルを直接保存する方法をご紹介します。

  • 設計・構築・設定
2023.08.25

ダブルホップ環境のクライアントドライブマッピングについて

ダブルホップ環境のクライアントドライブマッピングにて仮想デスクトップマシン側のドライブをマッピングする方法をご紹介します。

ページの先頭へ戻る