【Citrix Gateway VPX】証明書更新の動作検証手順の一例

こんにちは。Citrix製品のサポートを担当している川東（かわひがし）です。

以下の記事で、Citrix Gateway VPXにて、動作検証用のルート証明書、中間証明書、サーバ証明書を作成する手順の一例と、キーペアの作成手順の一例をご紹介させて頂きました。

今回は、証明書更新の動作検証手順の一例をご紹介させて頂きます。

自己署名の証明書を使用しているため、第三者機関の認証局から発行される証明書更新の場合と手順が異なると思いますが、更新手順の流れを掴んで頂くことに少しでもお役に立てると幸いです。

本記事は自己署名証明書を使用しますので検証環境のみで使用してください。

１．本記事の検証環境の構成イメージ
２．更新の流れ
３．新しい中間証明書をインストール
４．新しいサーバ証明書のインストール
５．「新・中間証明書」と「新・サーバ証明書のキーペア」のリンク
６．「新・サーバ証明書用のキーペア」をVirtual Serverにバインド

本資料で使用するすべてのマシンは、VMWare ESXi 上で構築しています。Citrix Gateway VPXの仮想NICは１枚です。こちらに３個のIPアドレスを割り当ててます。それぞれの用途は以下になります。

＜検証環境イメージ図＞
使用しているIPアドレスは、検証環境に作成した内部ネットワークのIPアドレスになります。

本記事で使用しているCitrix製品のバージョンは以下になります。

１．新しい中間証明書とサーバ証明書を作成します。作成手順は以下の「４」「５」をご参考にしてください。

※本記事は、中間証明書とサーバ証明書は、それぞれ、「新しい秘密鍵と新しい証明書」を用意して進めます。

２．「１」の証明書を使用して、新しいキーペアを作成します。

３．新・中間証明書と新・サーバ証明書を紐付け（リンク）します。

４．現在バインドしているサーバ証明書のキーペアをVirtual Serverからアンバインドして、新しいサーバ証明書のキーペアをバインドします。

本記事は、新しい中間証明書は用意済みの前提で手順をご紹介させて頂きます。こちらの作成手順は以下の「４」を参考にしてください。

第三者機関から提供された証明書が中間証明書とサーバ証明書が１個のファイルになっている場合は、「４．新しいサーバ証明書のインストール」 から実施して頂ければと思います。

１．「Traffic Management」－「SSL」－「CA Certificates」を開きます。「Install」をクリックします。

２．「Certificate-Key Pair Name」に新しい中間証明書のキーペア出ることが分かる任意の名前を入力します。「Certificate-Key File Name」にて「Choose File」の右側の下矢印をクリック後、「Appliance」をクリックします。

３．新しい中間証明書を選択後、「Open」をクリックします。

４．選択した証明書のファイル名が表示されていることを確認後、「Install」をクリックします。

５．新しい中間証明書のキーペアの表示を確認後、画面右上の保存アイコンをクリックします。

６．「Yes」をクリックします。

本記事は、新しいサーバ証明書の秘密鍵とサーバ証明書は用意済みの前提で手順をご紹介させて頂きます。こちらの作成手順は以下の「５」を参考にしてください。

１．「Traffic Management」－「SSL」－「Server Certificates」を開きます。「Install」をクリックします。

２．「Certificate-Key Pair Name」に新しいサーバ証明書のキーペア出ることが分かる任意の名前を入力します。「Certificate-Key File Name」にて「Choose File」の右側の下矢印をクリック後、「Appliance」をクリックします。

３．新しいサーバ証明書のファイルを選択後、「Open」をクリックします。

４．「Key File Name」にて「Choose File」の右側の下矢印をクリック後、「Appliance」をクリックします。

５．新しいサーバ証明書の秘密鍵を選択後、「Open」をクリックします。

６．「Password」に新しいサーバ証明書用の秘密鍵を作成時に設定したパスワードを入力後、「Install」をクリックします。

７．新しいサーバ証明書用のキーペアが表示されない場合、画面右上の更新ボタンをクリックします。

８．新しいサーバ証明書用のキーペアが表示されることを確認します。

９．画面右上の保存アイコンをクリックします。

１０．「Yes」をクリックします。

１．新しいサーバ証明書の項目をチェック後、「Select Action」ー「Link」をクリックします。

２．「CA Certificate Name」にて新しい中間証明書のキーペアを指定します。

３．「OK」をクリックします。

４．画面右上の保存アイコンをクリックします。

５．「Yes」をクリックします。

１．「Citrix Gateway」ー「Virtual Servers」を開きます。設定対象のVirtual Serverの項目にチェックをつけた後、「Edit」をクリックします。

２．「Certificate」の項目にて「１Server Certificate」をクリックします。

３．「Add Binding」をクリックします。

４．「Server Certificate Bindind」にて「Select Server Certificate」の「＞」をクリックします。

５．新しいサーバ証明書のキーペアを選択後、「Select」をクリックします。

６．新しいサーバ証明書のキーペア名が表示されていることを確認後、「Bind」をクリックします。

７．「Close」をクリックします。

８．画面を最下部にスクロール後、「Done」をクリックします。

９．画面右上の保存アイコンをクリックします。

１０．確認画面にて「Yes」をクリックします。

上記設定後、クライアント端末からICA-Proxy経由のセッション起動が失敗する場合、再度、同様の手順にて元のサーバ証明書のキーペアに設定を戻してください。

１１．クライアント端末から https://サーバ証明書のFQDN/ に接続ができる場合は、ブラウザ画面にてサーバ証明書の有効期限が更新されているをご確認ください。以下はMicrosoft Edgeの画面です。

いかがでしたでしょうか。本記事が証明書更新の参考になりますと幸いです。

クライアント仮想化の基礎知識から、仮想化製品「Citrix Virtual Apps and Desktops(XenAppおよびXenDesktop)」の製品概要、導入検討時に注意すべき点などをご紹介します。
今お持ちのお悩みを解決し、Citrix製品をより有効に活用する方法を具体的に学ぶことができる内容になっております。

アシストのCitrixサポートセンターに良くある設定・トラブル対処方法のFAQ10選の資料を無料プレゼント中です。また、Citrix XenApp/XenDesktopの問題発生時に原因を切り分ける方法も掲載しております。以下のバナーからお気軽にダウンロードください。