Gateway

クライアント証明書またはクライアント証明書とドメイン認証を構成する

NetScaler for Citrix Endpoint Managementウィザードを使用して、NetScaler ADC証明書のみの認証または証明書とドメイン認証を使用する場合にCitrix Endpoint Managementに必要な構成を実行できます。Citrix Endpoint Management用NetScaler ADCウィザードは一度だけ実行できます。ウィザードの使用について詳しくは、「 Citrix Endpoint Management環境の設定を構成する」を参照してください。

ウィザードを既に使用している場合は、この記事の手順を使用して、クライアント証明書認証またはクライアント証明書とドメイン認証に必要な追加の構成を行います。

MAM専用モードのデバイスのユーザーがデバイス上の既存の証明書を使用して認証できないようにするには、この記事の後半の「NetScaler ADC証明書失効リスト(CRL)」を参照してください。

GUIを使用してクライアント証明書認証用にNetScaler Gateway を構成する

  1. Traffic Management > Load Balancing > Virtual Serversに移動します。
  2. SSL タイプの仮想サーバーを選択し、[SSLパラメータ ] セクションで [ セッションの再利用を有効にする ] を [ 無効] に設定します。

  3. NetScaler Gateway」>「仮想サーバー」に移動します。
  4. SSLタイプの仮想サーバを選択し、[ 編集(Edit)] をクリックします。
  5. [ SSL パラメータ ] セクションで、[編集] アイコンをクリックします。
  6. [ クライアント認証 ] を選択し、[ クライアント証明書] で [ 必須] を選択します。

  7. 認証証明書ポリシーを作成して、Citrix Endpoint ManagementがSecure HubからNetScaler Gateway **に提供されたクライアント証明書からユーザープリンシパル名またはsamAccountを抽出できるようにします** 。

  8. NetScaler Gateway]>[ポリシー]>[認証]>[証明書]に移動します。

  9. [ プロファイル ] タブをクリックし、[ 追加] をクリックします。

  10. 証明書プロファイルの次のパラメータを設定します。

    Authentication Type:CERT

    2 要素: OFF (証明書のみの認証)

    ユーザー名フィールド:件名: CN

    Group Name Field:SubjectAltName:PrincipalName

  11. 証明書認証ポリシーのみをNetScaler Gateway 仮想サーバーのプライマリ認証としてバインドします

  12. ルートCA証明書をバインドして、NetScaler Gateway に提示されたクライアント証明書の信頼を検証します。

GUIを使用してクライアント証明書とドメイン認証用にNetScaler Gateway を構成する

  1. Traffic Management > Load Balancing > Virtual Serversに移動します。
  2. SSL タイプの仮想サーバーを選択し、[SSLパラメータ ] セクションで [ セッションの再利用を有効にする ] を [ 無効] に設定します。

  3. NetScaler Gateway > ポリシー > 認証 > 証明書に移動します

  4. [ プロファイル ] タブをクリックし、[ 追加] をクリックします。

  5. プロファイルの名前を入力し 、[ 2 要素 ] を [ オン] に設定し、[ ユーザー名フィールド] から [ subjectAltNamePrincipalName] を選択します。

  6. [ ポリシー ] タブをクリックし、[ 追加] をクリックします。

  7. ポリシーの名前を入力し 、[ サーバ ] から証明書プロファイルを選択し、[ ] を設定して [作成] をクリックします。

  8. [ 仮想サーバー] に移動し、タイプ SSLの仮想サーバーを選択して、[ 編集] をクリックします。

  9. [ 認証] の横にある [ + ] をクリックして、証明書認証を追加します。

  10. 認証方法を選択するには、「 ポリシーの選択」で「 証明書」を選択し、「 タイプの選択 」で「 プライマリ」を選択ます。これにより、証明書認証が LDAP 認証タイプと同じ優先順位のプライマリ認証としてバインドされます。

  11. [ ポリシーのバインド] で、 [クリックして選択 ] をクリックし、以前に作成した証明書ポリシーを選択します。

  12. 前に作成した証明書ポリシーを選択し、[ OK]をクリックします。

  13. [ 優先度 ] を 100 に設定し、[ バインド] をクリックします。以降の手順で LDAP 認証ポリシーを設定する場合は、同じプライオリティ番号を使用します。

  14. [ LDAP ポリシー] の行で、[ **] をクリックします。

  15. ポリシーを選択し、[ 編集 ] ドロップダウンメニューから [ バインドの編集] をクリックします。

  16. 証明書ポリシーに指定したのと同じ [ Priority ] 値を入力します。[Bind] をクリックします。

  17. [閉じる] をクリックします。

  18. SSL パラメータセクションの編集アイコンをクリックします 。

  19. クライアント認証 」チェックボックスを選択し、「 クライアント証明書 」で「 必須」を選択し、「 OK」をクリックします。

  20. [完了] をクリックします。

NetScaler ADC証明書失効一覧(CRL)

Citrix Endpoint Managementは、サードパーティの認証局の証明書失効リスト(CRL)のみをサポートしています。Microsoft CAが構成されている場合、Citrix Endpoint ManagementはNetScaler ADCを使用して失効を管理します。クライアント証明書ベースの認証を構成する場合、NetScaler ADC証明書失効一覧(CRL)設定 [Enable CRL Auto Refresh] を構成する必要があるかどうか検討します。この手順を使用すると、MAMのみモードのデバイスのユーザーがデバイス上の既存の証明書を使用して認証できなくなります。Citrix Endpoint Managementは、新しい証明書を再発行します。これは、失効したユーザー証明書がユーザー証明書を生成することを制限しないためです。この設定は、CRLが期限切れのPKIエンティティを確認する場合、PKIエンティティのセキュリティを強化します。

クライアント証明書またはクライアント証明書とドメイン認証を構成する