Citrixサポートブログ

  • 設計・構築・設定
2020.12.25

【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(6)

【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(6)

こんにちは。Citrix製品のサポートを担当している川東(かわひがし)です。

Citrix Virtual Apps and Desktops(XenApp and XenDesktop)を社外からインターネット接続で利用する場合、Citrix Gatewayを使用して、「Citrix StoreFront、公開アプリケーション、仮想デスクトップ」の通信を暗号化することができます。こちらの接続方法は、ICA-Proxyと呼ばれています。

今回のブログは、ICA-Proxy 接続で利用するためのCitrix Gateway VPXの構築手順の一例をご紹介させて頂きます。Citrix Gateway VPX の入手方法から説明をする都合で、以下の6本の記事に分けてご紹介をさせて頂きます。今回は「6」の内容になります。


【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(1)
Citrix Gateway VPXの入手方法、基本設定
【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(2)
自己署名ルート証明書、中間証明書、サーバ証明書の作成
【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(3)
中間証明書とサーバ証明書のキーペアの作成
【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(4)
認証ポリシーの作成、セッションポリシーの作成
【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(5)
Virtual Server の作成
【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(6)
StoreFrontのストア設定、クライアント端末からICA-Proxy接続の確認

目次

1.本記事の検証環境の構成イメージ
2.StoreFrontのストア設定(リモートアクセスの設定)
3.クライアント端末側へルート証明書をインストール
4.クライアント端末側へ中間証明書をインストール
5.クライアント端末からICA-Proxy接続の確認(Web接続の場合)
6.クライアント端末からICA-Proxy接続の確認(Workspace App接続の場合)


1.本記事の検証環境の構成イメージ


本資料で使用するすべてのマシンは、VMWare ESXi 上で構築しています。Citrix Gateway VPXの仮想NICは1枚です。こちらに3個のIPアドレスを割り当ててます。それぞれの用途は以下になります。

名称 用途
NSIP(NetScaler IP) 管理コンソールに接続するために割り当てるIPアドレス
SNIP(Subnet IP) クライアント端末からStoreFrontやVirtual Delivery Agentのマシンへの接続を仲介(プロキシ)するためのIPアドレス
VIP(Virtual IP) クライアント端末が接続するVirtual Serverで使用するIPアドレス

<検証環境イメージ図>
使用しているIPアドレスは、検証環境に作成した内部ネットワークのIPアドレスになります。

<参考記事>

ICA-Proxyで公開アプリケーションを起動する場合の処理の流れはこちらの記事をご参照ください。
Citrix NetScaler Gateway を使用した場合のXenApp7.15の公開アプリケーション起動処理の流れ

本記事で使用しているCitrix製品のバージョンは以下になります。

製品 バージョン
Citrix Gateway VPX 13.0 build 58.32
Citrix Virtual Apps 7 1912 LTSR CU1 (OS: Windows Server 2016)
Citrix Workspace app 1912 LTSR CU2(OS: Windows 10)

2.StoreFrontのストア設定(リモートアクセスの設定)

【事前確認のお願い】
本記事の手順を実施する前に、クライアント端末からWorkspaceAppを使用した接続、もしくは、WorkspaceApp Web接続ができることを確認してください。

接続方法は以下の記事をご参照ください。
Citrix Virtual Apps 7 1912 LTSR の新規インストール手順の一例(Citrix Workspace app)


1.Citrix StudioもしくはCitrix StoreFront管理コンソールを開きます。画面左の「Citrix StoreFront」-「ストア」を選択します。作成済みのストアの項目上で右クリック後、「認証方法の管理」をクリックします。

2.「ユーザー名とパスワード」「Citrix Gatewayからのパススルー」が選択されている状態で「OK」をクリックします。

3.「Citrix Gatewayの管理」をクリックします。

4.「追加」をクリックします。

5.「表示名」「Citrix Gateway URL」「使用状況または役割」を設定後、「次へ」をクリックします。本記事は以下を設定しています。

表示名 cgica13-01
Citrix Gateway URL https://cgica13-01.river.local/
使用状況または役割 認証およびHDXルーティング

6.「Secure Ticket Authority」にて「追加」をクリックします。

7.「http://デリバリーコントローラのFQDN」を入力後、「OK」をクリックします。

8.「http://デリバリーコントローラのFQDN/scripts/ctxsta.dll」が追加されます。「次へ」をクリックします。

9.「作成」をクリックします。

10.「完了」をクリックします。

11.「閉じる」をクリックします。

12.作成したストア上で右クリック後、「リモートアクセス設定の構成」をクリックします。

13.黄色の箇所を設定後、「OK」をクリックします。本記事では以下を設定しています。

リモートアクセスを有効にする チェック
StoreFrontを介して配信されたリソースへのアクセスのみをユーザーに許可する(VPNトンネルなし) 選択
Citrix Gatewayアプライアンス cgica13-01(手順5で入力した表示名)
デフォルトアプライアンス cgica13-01(手順5で入力した表示名)

14.接続元のクライアント端末が、Virtual Server(外部接続)とStoreFrontサーバ(内部接続)のどちらにも接続できる場合、「ビーコンの管理」をクリックします。

※本記事の構成は、Virtual ServerのIPアドレスとStoreFrontのIPアドレスが同じセグメント内にありますが、こちらの構成の場合、Citrix Workspace AppからICA-Proxy経由で公開アプリケーション起動すると、ユーザー認証を2回要求される動作になります。こちらの1回の認証の動作にするため、こちらの設定をします。

15.「ビーコンアドレスを指定する」を選択後、存在しないURLを入力します。本記事は、「http://aaa.sample.local」を入力しています。

※本記事の構成は、Virtual ServerのIPアドレスとStoreFrontのIPアドレスが同じセグメント内にありますが、こちらの構成の場合、Citrix Workspace AppからICA-Proxy経由で公開アプリケーション起動すると、ユーザー認証を2回要求される動作になります。こちらの1回の認証の動作にするため、こちらの設定をします。

※こちらの設定を残したままの場合、Citrix Gatewayを介さない、Citrix Workspace Appからの接続時に認証が失敗するため、ICA-Proxyの検証終了後はデフォルト設定の「サービスURLを使用する」を選択してください。


3.クライアント端末側へルート証明書をインストール

1.【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(2) の手順12でダウンロードしたルート証明書をクライアント端末にコピーします。

証明書を右クリック後、「証明書のインストール」をクリックします。

2.「現在のユーザー」を選択後、「次へ」をクリックします。

3.「参照」をクリック後、「信頼されたルート証明機関」を指定します。「次へ」をクリックします。

4.「完了」をクリックします。

5.「はい」をクリックします。

6.「OK」をクリックします。


4.クライアント端末側へ中間証明書をインストール

1.「【Citrix Gateway VPX】ICA-Proxy 接続の検証環境構築手順の一例(2)」 にて、「4.中間証明書の作成手順」 の手順14でダウンロードしたルート証明書をクライアント端末にコピーします。証明書を右クリック後、「証明書のインストール」をクリックします。

2.「現在のユーザー」を選択後、「次へ」をクリックします。

3.「参照」をクリック後、「信頼されたルート証明機関」を指定します。「次へ」をクリックします。

4.「完了」をクリックします。

5.「OK」をクリックします。


5.クライアント端末からICA-Proxy接続の確認(Web接続の場合)

※ご使用の検証環境のクライアント端末が、サーバ証明書のFQDNに対する名前解決が出来ない場合、HOSTSファイルにてご対応をお願いします。

1.ブラウザからICA-Proxy接続をします。「https://サーバ証明書のFQDN/」に接続後、ログインします。

2.アプリケーションタブを開き、公開アプリケーションのアイコンをクリックします。本記事はメモ帳のアイコンをクリックします。

3.通信が暗号化されていることを確認します。システムトレイにてCitrix Workspace App のアイコン上で右クリック後、「コネクションセンター」をクリックします。

4.「コネクションセンター」の「プロパティ」ボタンをクリックします。

5.「転送の暗号化」の表示を確認します。TLS通信の表示の場合、ICA-Proxy経由(Citrix Gateway経由)で公開アプリケーション起動ができています。


6.クライアント端末からICA-Proxy接続の確認(Workspace App接続の場合)

※ご使用の検証環境のクライアント端末が、サーバ証明書のFQDNに対する名前解決が出来ない場合、HOSTSファイルにてご対応をお願いします。

1.Citrix Workspace App 接続の動作確認をします。システムトレイにてCitrix Workspace App のアイコンをダブルクリックします。

2.「アカウントの追加」画面にて「https://サーバ証明書のFQDN/」を入力後、「追加」をクリックします。
※2021/01/14に画像を更新しました。

3.ユーザー名とパスワードを入力後、「ログオン」をクリックします。
※2021/01/14に画像を更新しました。

4.アプリケーションタブを開き、公開アプリケーションのアイコンをクリックします。本記事はメモ帳のアイコンをクリックします。

5.「転送の暗号化」の表示を確認します。TLS通信の表示の場合、ICA-Proxy経由(Citrix Gateway経由)で公開アプリケーション起動ができています。

動作確認後、「2.StoreFrontのストア設定(リモートアクセスの設定)」の手順15の「内部ビーコンの設定」を「サービスURLを使用する」に変更してください。


6本の記事に分けてICA-Proxy接続をするためのCitrix Gatewayの構築手順の一例をご紹介させて頂きましたが、公開アプリケーションの起動はできましたでしょうか。Citrix Gatewayの動作確認の参考にして頂けますと幸いです。

次回 は、中間証明書とサーバ証明書の更新手順の一例をご紹介します。



Citrix製品紹介セミナーも定期開催しています

クライアント仮想化の基礎知識から、仮想化製品「Citrix Virtual Apps and Desktops(XenAppおよびXenDesktop)」の製品概要、導入検討時に注意すべき点などをご紹介します。
今お持ちのお悩みを解決し、Citrix製品をより有効に活用する方法を具体的に学ぶことができる内容になっております。




Citrixの設定・トラブル対処方法の良くあるFAQ10選プレゼント中

アシストのCitrixサポートセンターに良くある設定・トラブル対処方法のFAQ10選の資料を無料プレゼント中です。また、Citrix XenApp/XenDesktopの問題発生時に原因を切り分ける方法も掲載しております。以下のバナーからお気軽にダウンロードください。


筆者情報:川東健吾

アシストに入社し、テスト系製品のカスタマーサポートを担当後、現在はCitrix製品を担当しています。XenAppとXenDesktopのトラブルシューティングや運用に役立つ情報を、長年のサポート対応の視点で分かりやすくお伝えしていきます。
学生時代から続けている映像制作の趣味の延長で、Citrixトラブシューティング入門動画も制作しました。こちらからご視聴頂けます。

関連している記事

  • 設計・構築・設定
2022.02.24

Citrixライセンス消費超過時の動作に関する説明と使用履歴確認方法

今回の記事は「ライセンスの超過使用保護と追加猶予期間」「ライセンス使用履歴の確認方法」に関する説明をしています。

  • 設計・構築・設定
2022.02.04

オンプレミス版 Citrix Virtual Apps and Desktops のライセンス消費に関する説明

今回は、オンプレミス版 Citrix Virtual Apps and Desktops のライセンス消費に関する説明をしたいと思います。

  • 設計・構築・設定
2021.12.17

Citrix CloudのCitrix Virtual Apps and Desktopsサービスを使用して閉域網接続用の環境を構築する際のポイント

今回は、Citrix CloudのCitrix Virtual Apps and Desktopsサービスを使用して、パブリッククラウド上にリソースを配置して閉域網接続用の環境を構築する際のポイントをご紹介させて頂きます。

ページの先頭へ戻る