Citrix RA 証明書を更新する
有効期限の長い RA 証明書を期限切れになる前に更新し、Citrix FAS ユーザーにサインオンや認証の問題が発生しないようにします。
注記
DigiCert® Trust Lifecycle Managerの RA 証明書プロファイルの[電子メール設定および通知]セクションに有効な電子メールアドレスを入力して、その電子メールアドレスで更新通知を受け取ります。
開始する前に
Citrix の RA 証明書の更新手順に関して詳しくは、こちらを参照してください。
Citrix FAS サーバーが 1 台しかない場合、ログインしているユーザーには更新プロセスで認証の問題が発生する可能性があります。高可用性を実現するための Citrix FAS の設定に関して詳しくは、こちらを参照してください。
次に示すような『Citrix cmdlet』
Get-FasAuthorizationCertificateを使用して、最新の RA 証明書の GUID を取得します。更新後、期限切れ間近の RA 証明書の削除に GUID が必要です。> $CitrixFasAddress=(Get-FasServer)[0].Address > Get-FasAuthorizationCertificate
1CSR を生成する
RA 証明書の初回 CSR を生成する際に使用する手順に従います。この手順を確認するには、こちらを参照してください。
CSR 生成応答から Id および CertificateRequest の値をコピーして、新規の RA 証明書を要求およびインポートするために使用します。
2Trust Lifecycle Manager REST API を通じて RA 証明書を更新する
Trust Lifecycle Manager certificate/{serial_number}/renew REST API エンドポイントを使用して、RA 証明書を更新します。
このエンドポイントは[インベントリ] API コントローラの一部です。Trust Lifecycle Manager のメインメニューで [リソース] > [API リファレンス]を選択して、文書を読み込みます。
API エンドポイントパスの
{serial_number}を RA 証明書のシリアル番号に置き換えます。Trust Lifecycle Manager の[インベントリ]ビューから RA 証明書を選択することによって、シリアル番号を確認することができます。
例: Trust Lifecycle Managerで証明書の詳細を表示する
次の JSON 要求ボディの値を送信して、証明書を更新します。
csr: CSR を生成するときに、Citrix のNew-FasAuthorizationCertificateRequestcmdlet から返されたCertificateRequestフィールドの値を送信してください。ヘッダー、フッター、およびラインフィードを削除してください。生の Base64 エンコードデータのみを送信してください。delivery_format:PKCS7と指定します。
次の図はCitrix FAS 証明書を更新するための Trust Lifecycle Manager REST API 要求および応答の例です。
返された Citrix RA 証明書を使用するには、応答の certificate フィールドの値をファイルにコピーします。引用を削除して、ラインフィードの文字(「\n」)を実際のファイルのラインフィードに置き換えます。証明書ファイルの見た目の例に関しては、こちらを参照してください。
この時点で、RA 証明書は PEM 形式で保管されます。Citrix FAS へインポートする前に、これを DER 形式に変換する必要があります。
次の例は、openssl コマンドラインツールを使用して、ra_cert.p7 という PEM 証明書を DER 形式に変換して、ra_cert_final.p7b という新規のファイルを出力する方法を示しています。
openssl pkcs7 -in ra_cert.p7 -out ra_cert_final.p7b -outform der
3Citrix FAS サーバーをメンテナンスモードにする
新規の RA 証明書をインポートする前に、次の Citrix cmdlet を Window PowerShell に入力して、Citrix FAS サーバーをメンテナンスモードにします。
Set-FasServer -Address <FAS server host> -MaintenanceMode $true
例:
PS C:\Users\Administrator> Set-FasServer -Address localhost -MaintenanceMode $true
4新しい RA 証明書を Citrix FAS にインポートする
次の Citrix cmdlet を Windows PowerShell に入力して、DER(p7b)形式のRA 証明書を Citrix FAS にインポートします。
Import-FasAuthorizationCertificateResponse -address <FAS server host> -Id <Id from CSR generate> -Pkcs7CertificateFile <path to p7b file>
入力したId の値が CSR の生成応答の値と一致することを確認します。例:
PS C:\Users\Administrator\Desktop> Import-FasAuthorizationCertificateResponse -address localhost -Id 0a2bb7f7-8427-4977-8352-cd8b8f5edb95 -Pkcs7CertificateFile .\ra_cert_final.p7b Id : 0a2bb7f7-8427-4977-8352-cd8b8f5edb95 Address : [Offline CSR] TrustArea : f25fd53b-6ef3-4fea-87b4-c08b06e73e0f CertificateRequest : Status : Ok
5Citrix FAS の RA 証明書をスワップする
次の Citrix cmdlet を Windows PowerShell に入力して、Citrix FAS の新しい RA 証明書をスワップします。
Set-FasCertificateDefinition -Address <FAS server host> -Name <rule name>_definition –AuthorizationCertificate <ID from CSR generate>
AuthorizationCertificate フィールドに入力した値が、CSR の生成応答の Id の値と一致することを確認します。例:
PS C:\Users\Administrator\Desktop> Set-FasCertificateDefinition -Address localhost -Name default_definition –AuthorizationCertificate 0a2bb7f7-8427-4977-8352-cd8b8f5edb95
6Citrix FAS のメンテナンスモードを解除する
次の Citrix cmdlet を Windows PowerShell に入力して、Citrix FAS サーバーのメンテナンスモードを解除します。
Set-FasServer –Address <FAS server> -MaintenanceMode $false
例:
PS C:\Users\Administrator> Set-FasServer –Address localhost -MaintenanceMode $false
7古い RA 証明書を削除する
次の Citrix cmdlet を Windows PowerShell に入力して、古い RA 証明書を削除します。
Remove-FasAuthorizationCertificate -Address <FAS server host> -Id <Id of old RA cert>
Id の値に、古い(期限切れ間近の) RA 証明書の GUID を入力します。例:
PS C:\Users\Administrator\Desktop> Remove-FasAuthorizationCertificate -Address localhost -Id 497cd087-0970-4dbd-81f7-bbdc6b96961a
次の手順
ユーザーは、新しい RA 証明書を導入して、再びサインオンおよび Citrix FAS で認証を開始することができます。次回 RA 証明書の期限切れが近づいたときは、再び同じ手順に従って更新してください。