Parallels RAS 19 Ǘ҃KCh - SSL/TLS 暗号化

はじめに
- Parallels RAS 19 リリース履歴
- Parallels RAS について
- このガイドについて
- 新機能
- このガイドで使用される用語と略語
Parallels RAS のインストール
- システム要件
- Parallels RAS をインストール
- Parallels RAS のログインとアクティベート
Parallels RAS の使用を開始する
- Parallels RAS Console
- 基本的な Parallels RAS ファームを設定する
ファームとサイト
- Parallels RAS ファームへの接続
- サイトについて
- RAS Console でのサイト
- ファームへのサイトの追加
- サイト設定の複製
- ライセンスサイトの管理
- 管理者アカウントの管理
RAS Connection Broker
- RAS Connection Broker の構成
- セカンダリ Connection Broker
- セカンダリ Connection Broker の管理
- コンピューター管理ツールの使用
RAS Secure Gateway
- 概要
- RAS Secure Gateway の追加
- 手動による RAS Secure Gateway の追加
- RAS Secure Gateway のステータスの確認
- RAS Secure Gateway の構成
- Secure Gateway のトンネリングポリシー
- ログの構成
- Secure Gateway のサマリとメトリクスの表示
- コンピューター管理ツールの使用
RD セッションホスト
- RD セッションホストタイプ
- RD セッションホストを追加
  - 手動による Agent のインストール
- テンプレートベースの RD セッションホストを追加
- RD セッションホストの管理
- 高可用性のためのプラン
- ログオンの管理
- コンピューター管理ツールの使用
- RD セッションホストからの公開
- 公開済みリソースの表示
仮想デスクトップインフラ（VDI）
- サポート対象のプロバイダー
- プロバイダーの追加
- VDI の管理
- ログの構成
- VDI の高可用性の実現
- サイトのデフォルト値（VDI）
- コンピューター管理ツールの使用
- プロバイダー概要の表示
- リモート PC プール
Azure Virtual Desktop
- はじめに
- 前提条件
- Azure Virtual Desktop の展開
- Azure Virtual Desktop の管理
- サイトのデフォルト値（Azure Virtual Desktop）
  - シングルセッションホストのためのサイトのデフォルト値
  - マルチセッションホストのためのサイトのデフォルト値
- Parallels Client と Azure Virtual Desktop の併用
- 展開の確認
リモート PC
- 概要
- ファームへのリモート PC の追加
  - 管理者によるリモート PC 登録
  - セルフサービスのリモート PC 登録
- リモート PC の構成
- リモート PC のサマリの表示
- コンピューター管理ツールの使用
公開
- 概要
- デスクトップの公開
- アプリケーションの公開
- MSIX app attach によるアプリケーションの公開
- ウェブアプリケーションの公開
- ネットワークフォルダーの公開
- ドキュメントの公開
- 一般管理タスク
- 公開済みアプリケーションの管理
- 公開済みデスクトップの管理
- 公開済みドキュメントの管理
- フォルダーの管理
- サイトのデフォルト値（公開）
- フィルタールールの使用
- 優先ルーティングを構成
- セッション事前起動の理解
- 有効なアクセスの確認
- クライアント設定の指定
- クイックキーパッド
セッション管理
- 概要
- セッション情報
- 監視設定
- セッションの管理
- リソースタブ
SSL 証明書の管理
- 自己署名証明書の生成
- 証明書署名要求の生成（CSR）
- Let's Encrypt 証明書
  - Let's Encrypt 証明書のリクエスト
  - Parallels RAS が Let's Encrypt に証明書を要求する方法
- 証明書のインポート
- 証明書のエクスポート
- 証明書の Secure Gateway や HALB への割り当て
- 証明書の監査
- 証明書管理の権限
- 旧バージョンの RAS からのアップグレード
接続および認証の設定
- RAS Connection Broker の接続設定
- リモートセッションの設定
- ログオン時間の設定
- Parallels Client の種類とビルド番号によるアクセスの制限
- 多要素認証
- ドメインパスワードの変更許可
- ユーザーがメールアドレスで RAS 接続を検出できるようにする
ロードバランスと HALB
- リソースベースのロードバランスおよびラウンドロビンのロードバランス
  - CPU 最適化の構成
- 高可用性ロードバランス（HALB）
RAS のマルチテナントアーキテクチャ
- 概要
- アーキテクチャの説明
  - 実装の概要
  - ユーザー接続の流れ
- テナントブローカーとテナントの展開
- テナントの管理
- 共有ゲートウェイ
- サードパーティのネットワークロードバランサー
- Web Client とテーマ
- テナントの監視
- テナントブローカーの互換性と更新
- 旧バージョンの RAS からのアップグレード
- 通知の構成
- 通信ポート
SAML SSO 認証
- はじめに
- システム要件
- SAML の基礎
- SAML の構成
- Parallels Client の構成
- Parallels Client ポリシーの構成
- SAML SSO の展開のテスト
- エラーメッセージ
Parallels Web Client とユーザーポータル
- Web Client の構成
- テーマの構成
- Parallels Web Client を開く
- メインメニューのオプション
- リモートアプリケーションとデスクトップの実行
- 自動ログイン
- ダイレクトアプリアクセス
- ツールバーの使用
ユニバーサルプリント
- ユニバーサルプリント設定の管理
- ユニバーサルプリントドライバー
- フォントマネジメント
ユニバーサルスキャン
- ユニバーサルスキャンの管理
- スキャンアプリケーションの追加
ユーザーデバイス管理とクライアントポリシー
- Parallels RAS に接続するようにユーザーを招待する
- ユーザーデバイスの一括構成
- ヘルプデスクサポートの有効化
- デバイスのモニタリング
  - 追加のデバイス情報を取得する
- Windows デバイスグループ
- Windows デバイスの管理
  - Windows デスクトップの置換
- Windows デバイスおよびグループの電源サイクルのスケジューリング
- クライアントポリシー
- リモートファイル転送を構成する
レポート作成
- システム要件
- Microsoft SQL Server のインストール
  - Microsoft SQL Server 2016 かそれ以前のバージョンをインストール
  - Microsoft SQL Server 2017 または 2019 をインストール
- Parallels RAS Reporting のインストール
- Parallels RAS レポートの実行
- GDPR 準拠
Performance Monitor
- 概要
- RAS Performance Monitor をインストールする
- Parallels RAS Performance Monitor の使用
- RAS Performance Monitor のセキュリティの構成
- RAS Performance Monitor をアップデートする
一般的な管理タスク
- リカバリ - 管理者の追加
- ホスト名解決
- コンピューター管理ツール
- サイト情報
- サイト設定
- MSIX アプリケーションパッケージの使用
- テンプレートバージョンの使用
- 設定監査
- RAS Agent のアップグレード
- ライセンス
- HTTP プロキシ設定の構成
- システムイベント通知
- RAS セッション変数
- メンテナンスとバックアップ
  - コマンドラインからのファーム設定のエクスポートおよびインポート
- 問題の報告とトラブルシューティング
- ログ
- お勧めの機能
Parallels RAS 管理ポータル
- 概要
- 前提条件
- インストール
- RAS 管理ポータルへのログイン
- RAS ウェブ管理サービスの構成
- RAS 管理ポータルのユーザーインターフェイス
Parallels RAS の API
- RAS PowerShell API
- RAS REST API
- RAS Web Client API および Parallels Client の URL スキーム
付録
- Parallels RAS の Microsoft ライセンスの要件
- ポート参照
- RAS Performance Counter

SSL/TLS 暗号化

Parallels RAS ユーザーと RAS Secure Gateway 間のトラフィックは暗号化できます。[SSL/TLS] タブでは、データ暗号化オプションを構成できます。

サイトのデフォルト値を使用

サイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。固有の設定を指定するには、オプションをクリアします。詳細については、「サイトのデフォルト値（ゲートウェイ）」を参照してください。

HSTS を適用

HSTS セクションの [構成] ボタンによって、HTTP Strict Transport Security（HSTS）を適用できます。これは、安全な HTTPS 接続のみを使用してウェブブラウザーにウェブサーバーと通信させるメカニズムです。HSTS が RAS Secure Gateway に適用されると、すべてのウェブリクエストが HTTPS を使用するように強制されます。これは特に RAS ユーザーポータルに影響し、セキュリティ上の理由から通常は HTTPS リクエストのみを受け付けます。

[構成] ボタンをクリックすると、[HSTS 設定] ダイアログが開きます。このダイアログでは、次の内容を指定できます。

HTTP Strict Transport Security（HSTS）を適用する: Secure Gateway に対し、HSTS を有効化または無効化します。
最大期間: HSTS の最大期間を指定します。これは、ウェブブラウザーと Secure Gateway との通信に必ず HTTPS が使用されるという設定が適用される（月単位の）期間です。デフォルト値（および推奨値）は 12 か月です。設定可能な値は 4〜120 か月です。
サブドメインを含む: サブドメインを含めるかどうかを指定します（サブドメインがある場合）。
事前読み込み: HSTS の事前読み込みを有効化または無効化します。これは、SSL/TLS をサイトで適用するホストのリストがウェブブラウザーにハードコーディングされるメカニズムです。リストは Google によりコンパイルされ、Chrome、Firefox、Safari、Internet Explorer 11、Edge といったブラウザーにより使用されます。HSTS のプリロードが使用されると、ウェブブラウザーは HTTP を使用してリクエストを送信せず、常に HTTPS が使用されます。以下に重要な注意点がありますのでこちらもお読みください。

注: HSTS のプリロードを使用するには、Chrome の HSTS プリロードリストに含めるドメイン名を送信する必要があります。ドメインはリストを使用するウェブブラウザーにハードコードされます。重要: プリロードリストへ含めるアクションは簡単には取り消せません。サイト全体およびそのすべてのサブドメインで長期的に（通常 1〜2 年）HTTPS をサポートできることが確実な場合にのみ、リクエストを含めてください。

次の要件にも注意してください。

ウェブサイトに有効な SSL 証明書が存在している必要があります。「SSL サーバー構成」を参照してください。
すべてのサブドメイン（サブドメインがある場合）が SSL 証明書でカバーされている必要があります。ワイルドカード証明書を要求することを検討してください。

SSL の構成

デフォルトでは、ゲートウェイのインストール時に、自己署名証明書が RAS Secure Gateway に割り当てられます。RAS Secure Gateway ごとに専用の証明書の割り当てが必要です。また、セキュリティ警告を回避するため、クライアント側の信頼できるルート認証局に追加する必要があります。

SSL 証明書は、RAS Console の [ファーム] > [サイト] > [証明書] サブカテゴリーを使用して作成できます。作成された証明書は、RAS Secure Gateway に割り当てることができます。証明書の作成と管理については、「SSL 証明書の管理」の章を参照してください。

Secure Gateway に SSL を構成する方法:

[SSL 有効化] オプションを選択し、ポート番号を指定します（デフォルトは 443）。
[許可される SSL バージョン] ドロップダウンリストで、RAS Secure Gateway が受け付けられる SSL バージョンを選択します。
[暗号強度] フィールドで、希望する暗号強度を選択します。
[暗号] フィールドに暗号を指定します。強い暗号を使用すれば、暗号化の強度が増し、破るのに必要な労力も増大します｡
[サーバー環境に応じて暗号を使用] オプションは、デフォルトで有効になっています。このオプションを無効にすることで、クライアントの環境設定を使用することができます。
[証明書] ドロップダウンリストで任意の証明書を選択します。新規証明書の作成方法とリストへの表示方法については、「SSL 証明書の管理」を参照してください。
[一致する使用方法すべて] オプションでは、構成されたすべての証明書が Secure Gateway によって使用されます。証明書を作成する場合、”ゲートウェイ”、”HALB”またはその両方を選択できる場所で”使用”プロパティを指定します。このプロパティで [ゲートウェイ] オプションが選択されていれば、Secure Gateway に使用できます。このオプションを選択していても、一致する証明書が存在しない場合には、警告が表示され、先に証明書を作成することになります。

Parallels Client の接続の暗号化

デフォルトで、暗号化される接続のタイプは、Secure Gateway とバックエンドサーバーの間の接続だけです。Parallels Client と Secure Gateway の間の接続を暗号化するには、クライアント側でも接続プロパティを構成する必要があります。これを行うには、Parallels Client で、接続プロパティを開き、接続モードを [ゲートウェイ SSL] に設定します。

Parallels Client の構成を簡素化するために、広く利用されているサードパーティの信頼できる認証局によって発行された証明書を使用することをお勧めします。なお、RAS ユーザーポータルに接続する際は、一部のウェブブラウザー（Chrome、Edge など）で Windows 証明書ストアが使用されます。

Parallels Client の構成

証明書が自己署名されている場合、またはエンタープライズ CA によって発行された証明書の場合、Parallels Client は以下のように構成する必要があります。

Base-64 でエンコードされた X.509（.CER）形式で証明書をエクスポートします。
メモ帳やワードパッドなどのテキストエディターでエクスポートした証明書を開き、内容をクリップボードにコピーします。

クライアント側で信頼できる認証局のリストを含む証明書を追加し、Parallels Client が組織の認証局から発行された証明書と SSL で接続できるようにするには､次の操作を実行します。

クライアント側のディレクトリ”C:\Program Files\Parallels\Remote Application Server Client\”に、trusted.pem というファイルが存在している必要があります。このファイルには、共通の信頼できる認証局の証明書が含まれています。
エクスポートされた証明書の内容を貼り付けます（他の証明書のリストに添付されています）。

RDP-UDP 接続の保護

通常、Parallels Client は RAS Secure Gateway と TCP 接続経由で通信します。最近の Windows クライアントでも、UDP 接続を使用して WAN のパフォーマンスを向上することができます。UDP 接続を SSL で保護するには、DTLS を使用する必要があります。

RAS Secure Gateway で DTLS を使用するには、次の操作を実行します。

[SSL/TLS] タブで、[ポートで SSL 有効化] オプションが選択されていることを確認します。
[ネットワーク] タブで、[RDP UDP データトンネリングを有効化] オプションが選択されていることを確認します。

Parallels Client は、[ゲートウェイ SSL モード] を使用するよう構成する必要があります。このオプションは、クライアント側の [接続設定] > [接続モード] ドロップダウンリストで設定できます。

上記オプションが適切に設定されると、TCP および UDP 接続が SSL 上でトンネリングされます。

この章の構成SSL サーバー構成

Was this topic helpful?

Yes No

ゲートウェイネットワークオプション

SSL サーバー構成