Office365アクセラレーション
Citrix SD-WAN WANOP は、WAN を最適化し、ブランチオフィスやリモートサイトにわたるビジネスアプリケーションで一貫したユーザーエクスペリエンスを提供します。
Microsoft Office 365は、サービスとしてのソフトウェア(SaaS)アプリケーションであり、MicrosoftのOfficeスイートのエンタープライズグレードの生産性アプリケーションを提供します。このアプリケーションはクラウドでホストされ、オンデマンドでユーザーに配信されます。
Office 365 アクセラレーション機能を使用すると、ブランチオフィスは Microsoft Office 365 アプリケーション向けにCitrix SD-WAN WANOP が提供する最適化の利点を得ることができます。
使用例
WANセグメントがインターネットセグメントよりもかなり遅く、MicrosoftのOffice365サーバーがブランチオフィスよりも大きなオフィスに近い場合。
トポロジ
ブランチオフィスのOffice365トラフィックは、WANを介してメインオフィスに送信され、インターネットを介してOffice365サーバーに転送されます。支社と本社の間のセグメントが加速されます。
注
本社とMicrosoftOffice365サーバー間のセグメントは高速化されていません。メインオフィスは最も近いOffice365サーバーに接続することをお勧めします。
使い方
Citrix SD-WAN WANOP SSLアクセラレーションは、Office 365トラフィックを復号化して高速化し、圧縮を提供できます。つまり、Office 365ブランチオフィスアクセラレーションは、RPC-over-HTTPSアクセラレーションの特殊なケースと考えることができます。
手順
-
ブランチとメインオフィスのCitrix SD-WAN WANOPアプライアンス間に安全なピアリングを作成します。
-
プロキシ証明書を生成する / ドメイン証明機関(CA)の秘密鍵。
-
Citrix SD-WAN WANOPに必要なすべてのCAを追加します。
-
CA、中間CA、Microsoft証明書のルートCA。
-
プロキシ certificates/Private Office 365 URL用に生成されたキー。
注
ブラウザでのセキュリティアラートを回避するには、プロキシ証明書をWindowsドメインのCAサーバーで署名する必要があります。これにより、すべてのドメインユーザーがプロキシ証明書を使用できるようになります。
-
-
SSL分割プロキシプロファイルを作成し、分割プロキシをサービスクラス(Web(インターネットセキュリティ))にバインドします。
-
Office 365接続を開始し、Accelerated接続を確認します。
警告
ドメインの一部ではないブランチオフィスデバイスは、証明書を手動でインストールしない限り、セキュリティ警告を表示します。Firefoxはデバイスの証明書ストアを尊重しないため、Firefoxユーザーも手動で証明書をインストールする必要があります。
Office365アクセラレーションを構成する
Office 365アクセラレーションを構成するには:
-
「セキュアピアリング (/en-us/citrix-sd-wan-wanop/10-2/secure-traffic-acceleration/secure-peering.html)」の説明に従って、2つのCitrix SD-WAN[WANOPアプライアンス間のセキュアピアリング関係を設定します]。
-
新しい証明書を作成します。
注
サーバー側のCitrix SD-WAN WANOPアプライアンスは、Office 365とクライアント間の仲介として機能するため、これらの証明書はサーバー側のドメインコントローラーによって署名されますが、Office 356ドメインを参照します。
-
Windowsドメインの 認証局サーバーに ログオンします。
-
必要に応じて、 証明機関、 証明書テンプレート 、および 証明書のスナップインを追加します。
-
証明書テンプレート > Webサーバーのプロパティ > セキュリティに移動しすべてのオプションを選択します。
-
証明書 > 個人 > 証明書(コンピューター) > すべてのタスク > 新しい証明書をリクエストに移動します。
-
[ 証明書の登録]ウィンドウで、[ 次へ]をクリックします。
-
[証明書の登録ポリシー] ウィンドウで 、Active Directoryの登録ポリシーを選択します。
-
[ Active Directory登録ポリシー]ウィンドウで、[ Webサーバー]> 詳細 > プロパティを 選択します。
-
-
Office365証明書から新しい証明書に情報をコピーします。最終的に、3つのOffice365証明書から1つの証明書が作成されます。次の手順に従います。
-
Chrome などのブラウザで、URL-を入力しますhttps://login.microsoftonline.com。
注
ログインしないでください。
-
URLバーの南京錠アイコンをクリックして[ 接続]>証明書情報>詳細 を選択します 。
注
これらの手順はChromeブラウザ向けです。手順は他のブラウザでも同じです。
-
[ サブジェクト代替名]をクリックすると、「login.microsoftonline.com」などのDNS名のリストが表示されます。その下のテキストボックスに情報をコピーします。
-
新しい証明書の[ 証明書のプロパティ]ウィンドウに戻ります。Microsoft証明書の各代替名と一致するように、DNSとしてタイプを使用して[ 値] フィールドに代替名を追加します。
-
サブジェクト代替名を検出し、それらを https://outlook.office365.com、 https://portal.office.com、 https://office.live.com、および https://sharepoint.com 証明書に追加するプロセスを繰り返します(SharePoint URLは顧客固有です)。
-
新しい証明書の共通名を作成します。上記の例は、「Office365プロキシ」という一般名を示しています。
-
[ 秘密鍵 ]タブで、[ 秘密鍵をエクスポート可能にする]を選択します。
-
[ OK]、[ 登録]、[ 完了]の順にクリックします。
-
-
証明書をエクスポートします。
-
証明書の 下 > 個人 > 証明書、上記で作成したプロキシ証明書を選択し、[ すべてのタスク]を選択します>エクスポート。
-
証明書のエクスポートウィザード が表示されます。[次へ] をクリックします。
-
[秘密キーのエクスポートでは 、[はい ]オプションを選択し、秘密鍵をエクスポートし、[ 次へ]をクリックします。
-
エクスポートファイル形式のデフォルト値を保持します。
-
パスワードを入力して確認し、秘密鍵をエクスポートして、証明書を loginportal.pfxとして保存します。
-
-
証明書をエクスポートします。
-
証明書のエクスポートウィザードで、[ 次へ]をクリックします。[ 秘密鍵のエクスポート]で、[ いいえ、秘密鍵をエクスポートしない]オプションを選択します。[次へ] をクリックします。
-
エクスポートファイル形式のデフォルト値を保持します。
-
パスワードを入力して確認し、秘密鍵と証明書をエクスポートして、ファイルを次のようなファイル名のファイルに保存します。 office365_keys.pfx。
-
-
Microsoft証明書のルートCAと中間CAの公開鍵をダウンロードします。
-
ブラウザーで、https://login.microsoftonline.comに移動します。ブラウザの南京錠アイコンをクリックします。接続 > 証明書情報 > 認定パスに移動します。
-
ルート証明書(リストの一番上にあるもの)を選択し、[ 証明書の表示 ] > 詳細 > ファイルにコピーしますをクリックします。証明書のエクスポートウィザード が表示されます。[次へ] をクリックします。
-
ファイル名を入力してファイルを保存します。
注
または、WiresharkまたはOpenSSLを使用して、ルートおよび中間CA名を取得し、「AUTHENTIC」ソース(Windows SSLストアなど)から証明書を取得することもできます。
-
手順6を繰り返して、次のドメインのルートCAと中間CAを保存します。
-
login.microsoftonline.com
-
portal.office.com
-
outlook.office356.com
-
*.sharepoint.com
-
office.live.com
-
-
-
すべてのOffice365サーバーCA、プロキシ証明書/キーペア、およびサーバー側のCitrix SD-WAN WANOPアプライアンスへの秘密鍵を追加します。CAは、[ 証明書とキー] ページの[ CA証明書 ]タブを使用して追加されます。証明書と certificate/key ペアが追加されます Certificate/Key [ ペア ]タブ。
-
SSLスプリットプロキシプロファイルを作成し、スプリットプロキシをWeb(Internet-Secure)サービスクラスにバインドします。
-
構成 > 安全な加速 > SSLプロファイル > プロファイルを追加に移動します。
-
選択したプロファイル名を入力します。プロファイル有効、 解析サブジェクト 代替名、および スプリットプロキシを選択 します。
-
サーバー側のプロキシ構成の 下 > 検証ストアで、[ 構成済みのすべてのCAストアを使用する]を選択します。
-
クライアント側のプロキシ構成の 下 > Certificate/Private キー、 以前に作成およびエクスポートしたcert/private キーペア(例ではloginportal.pfxとして示されているもの)を選択します。[ 証明書チェーンの構築]を選択します。certificate/key証明書チェーンストアの下のペアに関連付けられているCAを選択します。
-
-
作成したSSLプロファイルをインターネット(Web-Secure)サービスクラスにバインドします。構成 するためのナビゲート > 最適化ルール > サービスクラス を作成し、SSLプロファイルをSSLプロファイルリストに追加します。
-
インターネット(Web-Secure) サービスクラスのアクセラレーションとディスクベースの圧縮を有効にします。
-
ブラウザからOffice365セッションを開始します。
接続が高速化されます。ブラウザーでは、証明書に、実際のOffice 365証明書ではなく、ルートCAがサーバー側アプライアンスのCA証明書として表示されます。
-
アプライアンスの 監視について > [接続] ページで、Office 365接続が圧縮され、SSLアクセラレーションを受信していることを確認します。
注
Firefoxはデフォルトでデバイスの証明書を受け入れませんが、独自の証明書ストアを持っています。したがって、他のブラウザやデバイス全体で通常のWindowsドメインの動作で受け入れられる資格情報は、Firefoxに手動でインストールする必要があります。証明書を Firefox にインストールするには、「証明書を Firefox にインストールする」セクションの手順に従います。
Firefoxに証明書をインストールします
サーバー側アプライアンスのプロキシ証明書をFirefox証明書ストアにインストールするには:
-
Firefox ブラウザで、[ オプション] > [ 詳細設定 ] > [ 証明書] > [証明書の表示] > [ **認証機関** ] > [ インポート] に移動します。
-
ローカルCAプロキシ証明書をアップロードし、証明書の ダウンロード ウィザードですべてのオプションを選択して、[ OK]をクリックします。