Gateway

ダブルホップ DMZ 展開での SSL 証明書の管理

ダブルホップ DMZ 展開のコンポーネント間の接続を暗号化するために必要な SSL 証明書をインストールする必要があります。

ダブルホップ DMZ 展開では、展開に含まれるさまざまなコンポーネント間でいくつかの異なるタイプの接続が発生します。これらの接続にはエンドツーエンド SSL 暗号化はありません。ただし、各接続は個別に暗号化できます。

接続を暗号化するには、接続に関係するコンポーネントに適切な SSL 証明書 (信頼されたルートまたはサーバー証明書) をインストールする必要があります。

次の表に、最初のファイアウォールを介して発生する接続と、これらの各接続の暗号化に必要な SSL 証明書を示します。最初のファイアウォールを介した接続の暗号化は、インターネット経由で送信されるトラフィックを保護するために必須です。

最初のファイアウォールを介した接続 暗号化に必要な証明書
インターネットからのWebブラウザは、最初のDMZでNetScaler Gateway に接続します。 最初のDMZのNetScaler Gateway には、SSLサーバー証明書がインストールされている必要があります。Webブラウザーには、NetScaler Gateway のサーバー証明書と同じ認証局(CA)によって署名されたルート証明書がインストールされている必要があります。
インターネットからのCitrix Receiverは、最初のDMZでNetScaler Gatewayに接続します。 この接続の証明書管理は、WebブラウザーからNetScaler Gateway への接続と同じです。Web ブラウザ接続を暗号化するために証明書をインストールした場合、この接続もこれらの証明書を使用して暗号化されます。

次の表は、2 番目のファイアウォールを介して発生する接続と、これらの各接続の暗号化に必要な SSL 証明書を示しています。これらの接続を暗号化すると、セキュリティが強化されますが、必須ではありません。

第 2 ファイアウォール経由の接続 暗号化に必要な証明書
最初のDMZのNetScaler Gateway は、2番目のDMZのWeb Interfaceに接続します。 StoreFront またはWeb Interfaceには、SSLサーバー証明書がインストールされている必要があります。最初のDMZのNetScaler Gateway には、Web Interface上のサーバー証明書と同じCAによって署名されたルート証明書がインストールされている必要があります。
最初のDMZのNetScaler Gatewayは、2番目のDMZのNetScaler Gatewayに接続します。 2番目のDMZのNetScaler Gateway には、SSLサーバー証明書がインストールされている必要があります。最初のDMZのNetScaler Gateway には、2番目のDMZのNetScaler Gateway のサーバー証明書と同じCAによって署名されたルート証明書がインストールされている必要があります。

次の表は、第 3 のファイアウォールを介して発生する接続と、これらの各接続の暗号化に必要な SSL 証明書を示しています。これらの接続を暗号化すると、セキュリティが強化されますが、必須ではありません。

第 3 ファイアウォール経由の接続 暗号化に必要な証明書
StoreFront または2番目のDMZのWeb Interfaceは、内部ネットワークのサーバーでホストされているXMLサービスに接続します。 XMLサービスがCitrix Virtual Apps サーバー上のMicrosoftインターネットインフォメーションサービス(IIS)サーバー上で実行されている場合は、SSLサーバー証明書をIISサーバーにインストールする必要があります。XML サービスが標準の Windows サービス (IIS に存在しない) の場合、SSL サーバー証明書をサーバーの SSL リレー内にインストールする必要があります。StoreFront またはWeb Interfaceには、Microsoft IISサーバーまたはSSL Relayのいずれかにインストールされたサーバー証明書と同じCAによって署名されたルート証明書がインストールされている必要があります。
2番目のDMZのStoreFront またはWeb Interfaceは、内部ネットワークのサーバーでホストされているSTAに接続します。 この接続の証明書管理は、Web インターフェイスから XML サービスへの接続と同じです。同じ証明書を使用してこの接続を暗号化できます。(サーバー証明書は、Microsoft IIS サーバーまたは SSL リレーのいずれかに存在する必要があります。対応するルート証明書が Web Interface にインストールされている必要があります。)
2番目のDMZのNetScaler Gateway は、内部ネットワークのサーバーでホストされているSTAに接続します。 この接続での STA の SSL サーバ証明書管理は、この表で説明した 2 つの接続で説明したものと同じです。(サーバー証明書は、Microsoft IIS サーバーまたは SSL リレーのいずれかに存在する必要があります)。2番目のDMZのNetScaler Gateway には、STAおよびXMLサービスで使用されるサーバー証明書と同じCAによって署名されたルート証明書がインストールされている必要があります。
2番目のDMZのNetScaler Gateway は、内部ネットワークのサーバー上の公開アプリケーションへのICA接続を確立します。 SSL サーバー証明書は、公開アプリケーションをホストするサーバーの SSL Relay 内にインストールする必要があります。2番目のDMZのNetScaler Gateway プロキシには、SSL Relay内にインストールされたサーバー証明書と同じCAによって署名されたルート証明書がインストールされている必要があります。
ダブルホップ DMZ 展開での SSL 証明書の管理

この記事の概要