RAS Secure Gateway を構成して、SSL 暗号化を使用するには、発生する可能性のあるトラップやセキュリティの問題を回避するために SSL サーバーの構成方法に注意する必要があります。具体的には、次の SSL コンポーネントをレーティングし、構成が適切であるかどうかを特定する必要があります。
有効で信頼できる証明書。
プロトコル、鍵の交換、暗号がサポートされている必要があります。
SSL について特定の知識がない場合、査定を行うのは困難かもしれません。Qualys SSL Labs の SSL Server Test の使用をお勧めするのはそのためです。これは、公衆インターネットで SSL ウェブサーバーの構成の分析を実行する無料のオンラインサービスです。RAS Secure Gateway でテストを実行するには、公衆インターネットにそれを一時的に移動する必要が生じる場合があります。
テストは次の URL で実行できます。https://www.ssllabs.com/ssltest/
次の URL で、査定に使用されるメソッドについて説明している Qualys SSL Labs の資料を参照できます。https://github.com/ssllabs/research/wiki/SSL-Server-Rating-Guide
Parallels RAS ユーザーと RAS Secure Gateway 間のトラフィックは暗号化できます。[SSL/TLS] タブでは、データ暗号化オプションを構成できます。
サイトのデフォルト値を使用
サイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。固有の設定を指定するには、オプションをクリアします。詳細については、「サイトのデフォルト値(ゲートウェイ)」を参照してください。
HSTS を適用
HSTS セクションの [構成] ボタンによって、HTTP Strict Transport Security(HSTS)を適用できます。これは、安全な HTTPS 接続のみを使用してウェブブラウザーにウェブサーバーと通信させるメカニズムです。HSTS が RAS Secure Gateway に適用されると、すべてのウェブリクエストが HTTPS を使用するように強制されます。これは特に RAS ユーザーポータルに影響し、セキュリティ上の理由から通常は HTTPS リクエストのみを受け付けます。
[構成] ボタンをクリックすると、[HSTS 設定] ダイアログが開きます。このダイアログでは、次の内容を指定できます。
HTTP Strict Transport Security(HSTS)を適用する: Secure Gateway に対し、HSTS を有効化または無効化します。
最大期間: HSTS の最大期間を指定します。これは、ウェブブラウザーと Secure Gateway との通信に必ず HTTPS が使用されるという設定が適用される(月単位の)期間です。デフォルト値(および推奨値)は 12 か月です。設定可能な値は 4〜120 か月です。
サブドメインを含む: サブドメインを含めるかどうかを指定します(サブドメインがある場合)。
事前読み込み: HSTS の事前読み込みを有効化または無効化します。これは、SSL/TLS をサイトで適用するホストのリストがウェブブラウザーにハードコーディングされるメカニズムです。リストは Google によりコンパイルされ、Chrome、Firefox、Safari、Internet Explorer 11、Edge といったブラウザーにより使用されます。HSTS のプリロードが使用されると、ウェブブラウザーは HTTP を使用してリクエストを送信せず、常に HTTPS が使用されます。以下に重要な注意点がありますのでこちらもお読みください。
注: HSTS のプリロードを使用するには、Chrome の HSTS プリロードリストに含めるドメイン名を送信する必要があります。ドメインはリストを使用するウェブブラウザーにハードコードされます。重要: プリロードリストへ含めるアクションは簡単には取り消せません。サイト全体およびそのすべてのサブドメインで長期的に(通常 1〜2 年)HTTPS をサポートできることが確実な場合にのみ、リクエストを含めてください。
次の要件にも注意してください。
ウェブサイトに有効な SSL 証明書が存在している必要があります。「SSL サーバー構成」を参照してください。
すべてのサブドメイン(サブドメインがある場合)が SSL 証明書でカバーされている必要があります。ワイルドカード証明書を要求することを検討してください。
SSL の構成
デフォルトでは、ゲートウェイのインストール時に、自己署名証明書が RAS Secure Gateway に割り当てられます。RAS Secure Gateway ごとに専用の証明書の割り当てが必要です。また、セキュリティ警告を回避するため、クライアント側の信頼できるルート認証局に追加する必要があります。
SSL 証明書は、RAS Console の [ファーム] > [サイト] > [証明書] サブカテゴリーを使用して作成できます。作成された証明書は、RAS Secure Gateway に割り当てることができます。証明書の作成と管理については、「SSL 証明書の管理」の章を参照してください。
Secure Gateway に SSL を構成する方法:
[SSL 有効化] オプションを選択し、ポート番号を指定します(デフォルトは 443)。
[許可される SSL バージョン] ドロップダウンリストで、RAS Secure Gateway が受け付けられる SSL バージョンを選択します。
[暗号強度] フィールドで、希望する暗号強度を選択します。
[暗号] フィールドに暗号を指定します。強い暗号を使用すれば、暗号化の強度が増し、破るのに必要な労力も増大します。
[サーバー環境に応じて暗号を使用] オプションは、デフォルトで有効になっています。このオプションを無効にすることで、クライアントの環境設定を使用することができます。
[証明書] ドロップダウンリストで任意の証明書を選択します。新規証明書の作成方法とリストへの表示方法については、「SSL 証明書の管理」を参照してください。
[一致する使用方法すべて] オプションでは、構成されたすべての証明書が Secure Gateway によって使用されます。証明書を作成する場合、”ゲートウェイ”、”HALB”またはその両方を選択できる場所で”使用”プロパティを指定します。このプロパティで [ゲートウェイ] オプションが選択されていれば、Secure Gateway に使用できます。このオプションを選択していても、一致する証明書が存在しない場合には、警告が表示され、先に証明書を作成することになります。
Parallels Client の接続の暗号化
デフォルトで、暗号化される接続のタイプは、Secure Gateway とバックエンドサーバーの間の接続だけです。Parallels Client と Secure Gateway の間の接続を暗号化するには、クライアント側でも接続プロパティを構成する必要があります。これを行うには、Parallels Client で、接続プロパティを開き、接続モードを [ゲートウェイ SSL] に設定します。
Parallels Client の構成を簡素化するために、広く利用されているサードパーティの信頼できる認証局によって発行された証明書を使用することをお勧めします。なお、RAS ユーザーポータルに接続する際は、一部のウェブブラウザー(Chrome、Edge など)で Windows 証明書ストアが使用されます。
Parallels Client の構成
証明書が自己署名されている場合、またはエンタープライズ CA によって発行された証明書の場合、Parallels Client は以下のように構成する必要があります。
Base-64 でエンコードされた X.509(.CER)形式で証明書をエクスポートします。
メモ帳やワードパッドなどのテキストエディターでエクスポートした証明書を開き、内容をクリップボードにコピーします。
クライアント側で信頼できる認証局のリストを含む証明書を追加し、Parallels Client が組織の認証局から発行された証明書と SSL で接続できるようにするには、次の操作を実行します。
クライアント側のディレクトリ”C:\Program Files\Parallels\Remote Application Server Client\”に、trusted.pem
というファイルが存在している必要があります。このファイルには、共通の信頼できる認証局の証明書が含まれています。
エクスポートされた証明書の内容を貼り付けます(他の証明書のリストに添付されています)。
RDP-UDP 接続の保護
通常、Parallels Client は RAS Secure Gateway と TCP 接続経由で通信します。最近の Windows クライアントでも、UDP 接続を使用して WAN のパフォーマンスを向上することができます。UDP 接続を SSL で保護するには、DTLS を使用する必要があります。
RAS Secure Gateway で DTLS を使用するには、次の操作を実行します。
[SSL/TLS] タブで、[ポートで SSL 有効化] オプションが選択されていることを確認します。
Parallels Client は、[ゲートウェイ SSL モード] を使用するよう構成する必要があります。このオプションは、クライアント側の [接続設定] > [接続モード] ドロップダウンリストで設定できます。
上記オプションが適切に設定されると、TCP および UDP 接続が SSL 上でトンネリングされます。