ゲートウェイでの SSL 暗号化の構成

Parallels RAS ユーザーと RAS Secure Client Gateway 間のトラフィックは暗号化できます。[SSL/TLS] タブでは、データ暗号化オプションを構成できます。

デフォルトでは、RAS Secure Client Gateway のインストール時に自己署名証明書がインストールされ、TLS v1.0、v1.1、または v1.2 が使用されます。それぞれの RAS Secure Client Gateway には独自の証明書があり、セキュリティ警告を回避するためにクライアント側の信頼されたルート認証局に追加する必要があります。

新しい自己署名証明書を発行するには、次の操作を実行します。

  1. [SSL 有効化] オプションを選択し、ポート番号を指定します(デフォルトは 443)。
  2. (オプション)RAS Secure Client Gateway で許可される SSL バージョンを [許可される SSL バージョン] ドロップダウンリストから選択します。
  3. (オプション)証明書の暗号化アルゴリズムの強度として、必要な [暗号強度] を選択します。デフォルトの強度は [カスタム] です。[暗号] フィールドは暗号を指定します。これも、デフォルト値に設定されます([カスタム] の強度の場合、openSSL 基準に従い必要に応じて変更できます)。より強力な暗号により、より強力な暗号化が可能になり、それを破るのに必要な労力も増大します。
  4. 新しい自己署名証明書を生成するには、[新しい証明書を生成] ボタンをクリックしてから、必要な詳細情報を入力します。[有効期限] フィールドを使用して、証明書の独自の有効期限を選択することができます(デフォルト値は 12 か月です)。完了したら、[保存] をクリックし、詳細情報を保存し、新しい自己署名証明書を生成します。[プライベートキーファイル][証明ファイル] フィールドは自動的に入力されます。
  5. [OK] をクリックし、変更内容を保存してダイアログを閉じます。

Parallels Client の接続の暗号化

デフォルトで、暗号化される接続のタイプは、Gateway とバックエンドサーバーの間の接続だけです。Parallels Client と Gateway の間の接続を暗号化するには、クライアント側でも接続プロパティを構成する必要があります。これを行うには、Parallels Client で、接続プロパティを開き、接続モードを [ゲートウェイ SSL] に設定します。

Parallels Client の構成を簡素化するために、サードパーティーの信頼できる認証局またはエンタープライズ認証局(CA)のいずれかによって発行された証明書を使用することをお勧めします。

エンタープライズ CA 証明書が使用されている場合、Windows クライアントは Active Directory からルートまたは中間エンタープライズ CA 証明書を受け取ります。他のプラットフォームのクライアントデバイスには、手動で設定する必要があります。

既知の信頼できる認証局(Verisign など)によって発行された第三者証明書が使用される場合、クライアントデバイスは、そのプラットフォームに、信頼できる認証局更新を信頼して使用します。

サードパーティーの信頼できる認証局の使用

  1. RAS コンソールで、 [ファーム] > [ゲートウェイ] > [プロパティ] に移動し、[SSL/TLS] タブをクリックします。
  2. SSL 設定オプションとして [TLS 1.2] を選択します。
  3. [CSR] を選択します。
  4. データを入力します。
  5. CSR をコピーしてテキストエディターに貼り付け、記録用にファイルを保存します。
  6. CSR をサードパーティーのベンダーのウェブサイトページに貼り付けるか、ベンダーに電子メールで送信します。
  7. 次の形式のリターン証明書をリクエストします。Apache、プライベート、パブリック、中間の CA をすべて 1 つのファイルに拡張子 .pem で置き換えます。
  8. ファイルを受け取ったら、バックアップ取得用の安全なフォルダーに置いてください。
  9. [パブリックキーのインポート] をクリックして、フォルダーに移動し(または、オールインワン証明書のコピーがある別の場所に移動し)、.pem ファイルを [証明書キー] フィールドに挿入します。
  10. [適用][テスト] をクリックします。

注: プライベートキーは、最初の CRS リクエストからすでに入力されているはずです。

エンタープライズ認証局の使用

IIS を使用してエンタープライズ CA から証明書を受信して、PFX 形式で証明書をエクスポートします。

RAS Secure Client Gateway で次のように PFX 証明書をインストールします。

  1. Parallels RAS Console を起動します。
  2. RAS Secure Client Gateway を選択して、プロパティを開き SSL タブに切り替えます。
  3. [プライベートキー] の横にある […] または、[パブリックキー] フィールドをクリックします。
  4. .pfx ファイルを参照し [OK] をクリックします。
  5. [適用] をクリックします。

注: Parallels Client 側の trusted.pem ファイルには、サードパーティーベンダーからの証明書を検証できるように、中間証明書を含める必要があります。ベンダーの中間証明書が trusted.pem ファイルにない場合は、手動で貼り付けるか、適切な中間証明書を使用して trusted.pem テンプレートファイルを作成し、古い trusted.pem ファイルを新しく更新されたファイルと置き換える必要があります。このファイルは、クライアント側の Program Files\Parallels または Program Files(x86)\ Parallels にあります。

cert.pem を使用して Parallels Secure Client Gateway で SSL を有効にする

  1. Parallels Client Gateway ページで、SSL(Secure Sockets Layer)を有効にし、[...] をクリックして pem ファイルを参照します。
  2. 生成された単一のファイルを [プライベートキー][パブリックキー] のフィールドに置きます。
  3. 新しい設定を適用するには [適用] をクリックします。
  4. お使いのブラウザーがこの画像の表示をサポートしていない場合があります。

Parallels Client の構成

証明書が自己署名されている場合、またはエンタープライズ CA によって発行された証明書の場合、Parallels Client は以下のように構成する必要があります。

  1. Base-64 でエンコードされた X.509(.CER)形式で証明書をエクスポートします。
  2. メモ帳やワードパッドなどのテキストエディターでエクスポートした証明書を開き、内容をクリップボードにコピーします。

クライアント側で信頼できる認証局のリストを含む証明書を追加し、Parallels Client が組織の認証局から発行された証明書と SSL で接続できるようにするには、次の操作を実行します。

  1. クライアント側のディレクトリ”C:\Program Files\Parallels\Remote Application Server Client\”に、trusted.pem というファイルが存在している必要があります。このファイルには、共通の信頼できる認証局の証明書が含まれています。
  2. エクスポートされた証明書の内容を貼り付けます(他の証明書のリストに添付されています)。

RDP-UDP 接続の保護

通常、Parallels Client は RAS Secure Client Gateway と TCP 接続経由で通信します。最近の Windows クライアントでも、UDP 接続を使用して WAN のパフォーマンスを向上することができます。UDP 接続を SSL で保護するには、DTLS を使用する必要があります。

RAS Secure Client Gateway で DTLS を使用するには、次の操作を実行します。

  1. [SSL/TLS] タブで [ポートで SSL 有効化] オプション(デフォルト)が選択されていることを確認します。
  2. [ネットワーク] タブで、[RDP UDP データトンネリングを有効化] オプション(デフォルト)が選択されていることを確認します。

[ゲートウェイ SSL モード] を使用するように Parallels Client を構成する必要があります。このオプションは、クライアント側の [接続設定] > [接続モード] ドロップダウンリストで設定できます。

上記オプションが適切に設定されると、TCP および UDP 接続が SSL 上でトンネリングされます。
ページの先頭 Web フォームからご意見を送信する