Skip to main content

Citrix 登録局の設定

Citrix FAS 統合を完了するには、Citrix 登録局(RA)の証明書を取得およびインストールして、ユーザー証明書の発行ルールを設定する必要があります。

注記

DigiCert では、有効期限の長い RA 証明書の取得に「オフライン」方式を使用します。Trust Lifecycle Manager REST API を通じて帯域外で証明書を要求し、『Citrix cmdlet』 を使用して証明書を Citrix FAS にインポートします。Citrix の追加情報に関しては、https://docs.citrix.com/en-us/federated-authentication-service/current-release/config-manage/private-key-protection を参照してください。

ステップ 1: 有効期限の長い RA 証明書を取得する

a. PowerShell で CSR を生成する

次の 2 つの Citrix cmdlets を Windows PowerShell に入力して、RA 証明書の CSR を生成します。

> Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1
> New-FasAuthorizationCertificateRequest -address <FAS server host>

例:

PS C:\Users\Administrator> Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1
PS C:\Users\Administrator> New-FasAuthorizationCertificateRequest -address localhost


Id                 : 497cd087-0970-4dbd-81f7-bbdc6b96961a
Address            : [Offline CSR]
TrustArea          :
CertificateRequest : -----BEGIN CERTIFICATE-----
                     MIICaDCCAVACAQIwIzEhMB8GCgmSJomT8ixkARkWEUNpdHJpeFRydXN0RmFicmljMIIBIjANBgkq
                     hkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAwmkT9l4IKI9icLgmrSKiwMCRkN5CnIj57zZI6v4IC7qC
                     1hyItEbcFdfKn9oQ9v2ykb33oooD288onx61ujNadeIGb7YCq5lz+ZfROVXrzuPzC6dtQOlF4YwX
                     mqkujv16aVl0w8mTZtV78YfykaHT4xmilyAT5GnDwcteOXGcduEzPhtnyOgdRlFbf5LudF35e+it
                     ixHz3ZD3p5n9HXsgF65zs/GXiVkU7Pggt8Nw+6IZYPqs8ZnWtI28F48v3uY3zZ4TnZtx28XYgoLa
                     ZTdJQbSirJsKI2B0lQHK7sZv+XnFHZtgXx3qCO64Wxz0vJgU4z0teATRShQ09CJEWKka3QIDAQAB
                     oAAwDQYJKoZIhvcNAQENBQADggEBAHsJjJyZqKVx12uGnjuMSgbqXSaMUFqPc5Mse+NgdPcKa4EJ
                     F17iYuEQpUTbtQDCGe7C8ndIfTitXIplGrDmrJZS5+oUTNGPwC15/J2aV1iBBN2AJeHm4VjtS8GH
                     hErUW+RZRnZmVLNjEnH0cQqFDwgTvTR0fqc7hmwwhu1RRUJWYKCYR6ycjjNDFh6YHYAIhFvm7ogN
                     aMpUzx2a1SbbcQq/cA6noUj9r54bf+FxZpbsY1/yj/Q8P8QAY0+/IPsq8SI1Ks4e2Hcp2c47FbVO
                     E/nzNgob5vdPU4fT9DKDSv1F4hk47KK+uYh73NxZ1UaYioZH3Jf4gden+rFeORTIqg0=
                     -----END CERTIFICATE-----
Status             : WaitingForApproval

応答から Id および CertificateRequest フィールドの内容をコピーして、安全な場所に保存します。これらは RA 証明書を要求して Citrix FAS にインポートするために必要になります。

b. Microsoft AD で RA リクエスタエンティティを作成する

ユーザー、コンピュータやサービスアカウントなど、いずれのタイプの Microsoft Active Directory(AD)エンティティを使用しても、RA 証明書を要求することができます。セキュリティ上の理由から、デジサートは Citrix RA 証明書の管理だけを対象にしたエンティティを使用することを推奨します。

エンティティの userPrincipalName(UPN)が入力されていることを確認します。コンピュータとサービスアカウントについては、「ADSI Edit」を使用して UPN 値を追加します。

次の例では、「ADSI Edit」を使用して UPN を Microsoft gMSA サーバーアカウントに追加しています。

microsoft_ad_upn_adsi_edit.png

c. Trust Lifecycle Manager REST API を通じて RA 証明書を要求する

RA 証明書を取得するには、Trust Lifecycle Manager REST API のインベントリコントローラの certificate エンドポイントを使用します。Trust Lifecycle Managerのメインメニューで[リソース] > [API リファレンス]を選択することで、API 文書を読み込めます。

次の JSON 要求ボディの値を送信します。

  • profile: Citrix_RegistrationAuthority プロファイルの ID です。Trust Lifecycle Manager のプロファイル詳細画面から取得できます。

  • seat.seat_id: 電子メールなど、いずれかの本人を確認できる文字列を提供してください。

  • csr: CSR を生成するときに、Citrix の New-FasAuthorizationCertificateRequest cmdlet から返された CertificateRequest フィールドの値を送信してください。ヘッダー、フッター、およびラインフィードを削除してください。生の Base64 エンコードデータのみを送信してください。

  • delivery_format: PKCS7 と指定してください。

  • attributes.extensions.san.user_principal_names: Microsoft Active Directory で作成した RA リクエスタの userPrincipalName(UPN)を提供してください。

  • attributes.subject.common_name: 前と同様です。Microsoft Active Directory で作成した RA リクエスタの userPrincipalName(UPN)を提供してください。

次の図は、Citrix RA 証明書を発行するための Trust Lifecycle Manager REST API 要求および応答の例です。

返された Citrix RA 証明書を使用するには、応答の certificate フィールドの値をファイルにコピーします。引用を削除してラインフィードの字(「\n」)を実際のファイルのラインフィードに置き換えると、次のように表示されます。

-----BEGIN PKCS7-----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-----END PKCS7-----

この時点で、RA 証明書は PEM 形式で保管されます。Citrix FAS へインポートする前に、これを DER 形式に変換する必要があります。

次の例は、openssl コマンドラインツールを使用して、ra_cert.p7 という PEM 証明書を DER 形式に変換して、ra_cert_final.p7b という新規のファイルを出力する方法を示しています。

openssl pkcs7 -in ra_cert.p7 -out ra_cert_final.p7b -outform der

RA 証明書ファイルを DER 形式で Citrix FAS システムに保管してください。次のステップで Citrix FAS にインポートします。

ステップ 2: RA 証明書を Citrix FAS にインポートする

次の Citrix cmdlet を Windows PowerShell に入力して、DER(p7b)形式のRA 証明書を Citrix FAS にインポートします。

Import-FasAuthorizationCertificateResponse -address <FAS server host> -Id <Id from CSR generate> -Pkcs7CertificateFile <path to p7b file>

入力した Id の値が初回の CSR 生成の値と一致するようにしてください。例:

PS C:\Users\Administrator\Desktop> Import-FasAuthorizationCertificateResponse -address localhost -Id 497cd087-0970-4dbd-81f7-bbdc6b96961a -Pkcs7CertificateFile .\ra_cert_final.p7b


Id                 : 497cd087-0970-4dbd-81f7-bbdc6b96961a
Address            : [Offline CSR]
TrustArea          : e28442fe-0bb8-435a-8ae5-ba96e5565bf5
CertificateRequest :
Status             : Ok

RA 証明書をインポートした後、Citrix FAS コンソールの右上にある[更新]を選択します。ここで、[Authorize this service]には緑色のチェックマークが表示されます。

citrix_fas_authorize_this_service.png

例: RA 証明書をインポートして更新した後の Citrix FAS コンソール

ステップ 3: Citrix FAS ルールを設定する

Citrix 文書』に記載されている通り、Citrix FAS がユーザーを認証する方法のルールを設定します。

[Template]で、Citrix_SmartcardLogon 証明書テンプレートを選択します。

citrix_fas_rules--template.png

[認証局]で、DigiCert Autoenrollment Server(AES)の CA が選択されていることを確認します。

citrix_fas_rules--ca.png

次の手順

これで DigiCert​​®​​ Trust Lifecycle Manager で使用する Citrix FAS 統合の設定が完了しました。本番環境にリリースする前に、Citrix FAS 統合をテストするを行ってください。

このセクションの内容: