RAS Secure Gateway を構成するには、次の操作を実行します。

1. [インフラストラクチャ] > [Secure Gateway] を選択します。

2. リスト内の Gateway をクリックすると、Gateway 情報を表示するビューが開きます。

3. 中央のペインで [プロパティ] をクリックします。

以降のセクションで説明するように、 Gateway のプロパティを設定します。

[ネットワーク] カテゴリーは、RAS Secure Gateway のネットワークオプションの構成に使用します。

サイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。独自の設定を指定するには、このオプションをオフにして、次の項目を設定します。

• RAS Secure Gateway ポート: デフォルトでは、RAS Secure Gateway は TCP ポート 80 上で待機し、すべての Parallels RAS トラフィックをトンネリングします。このポートを変更するには、新しいポートを指定します。

• RDP ポート: 負荷分散された基本的なデスクトップセッションを必要とするクライアントでは、RDP ポート 3389 が使用されます。このポート上の接続では、公開済みのリソースはサポートされません。ゲートウェイの RDP ポートを変更するには、[RDP ポート] オプションを選択して、新しいポートを指定します。自分でポートを設定する場合、そのポートが標準の [RD セッションホストポート] 設定と重複していないことを確認してください

• 注: RDP ポートを変更した場合、ユーザーはリモートデスクトップクライアント内の接続文字列にポート番号を追加する必要があります（例: IP アドレス:ポート）。

• RAS Secure Gateway のアドレスをブロードキャストする: このオプションを使用して、ゲートウェイアドレスのブロードキャストを有効にすることができます。これにより、Parallels Client でプライマリゲートウェイを自動的に見つけることができます。このオプションは、デフォルトで有効になっています。

• RDP UDP データトンネリングを有効化: Windows デバイスで UDP トンネリングを有効にするには、このオプションを選択します（デフォルト）。UDP トンネルを無効にするには、このオプションをオフにします。

• デバイスマネージャーポート: このオプションは、Windows デバイスの管理機能を有効にする場合に選択します。このオプションは、デフォルトで有効になっています。

• RDP DOS アタックフィルターを有効にする: このオプションを選択すると、同一 IP アドレスからの一連の未完了セッションが拒否されます。たとえば、Parallels Client が各セッションで複数の連続したセッションを開始し、ユーザーからの資格情報の提供を待っている場合、Parallels RAS はこれ以上の試行を拒否します。このオプションは、デフォルトで有効になっています。

Parallels ユーザーポータルは、RAS Secure Gateway に組み込まれています。これにより、ユーザーはウェブブラウザーから Parallels RAS に接続し、公開済みリソースを開くことができます。

注: ユーザーポータルを使用するには、RAS Secure Gateway で SSL を有効にする必要があります。クライアントを有効にする場合は、[SSL/TLS] カテゴリーまたはネットワークロードバランサーで SSL が有効になっていることを確認してください。[ユーザーポータル] カテゴリーは、Gateway モードが通常に設定されている場合にのみ使用できます。

ユーザーポータルの URL の構成方法と、ウェブブラウザーからクライアントにアクセスする方法については、「ウェブ」 セクションを参照してください。

• [ユーザーポータル] タブでサイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。固有の設定を指定するには、オプションをクリアします。

• RAS ユーザーポータルを有効化/無効化するには、[ユーザーポータルを有効化] オプションを選択/クリアします。

Client

[Client] セクションでは、ユーザーポータルの起動方法やその他の設定を指定できます。

• 以下を使用してセッションを起動: 公開済みリソースを開くために使用する Parallels Client を指定します。ユーザーポータルまたはプラットフォーム固有の Parallels Client を使用できます。ユーザーポータルに比べ、プラットフォーム専用の Parallels Client は機能がさらに豊富で、全体的なユーザーエクスペリエンスにも優れています。次のいずれかを選択します。

  1. ブラウザーのみ: ユーザーは Web Client のみを使用してリモートアプリケーションとデスクトップを実行できます。ユーザーにプラットフォーム固有の Parallels Client をインストールさせたくない場合は､このオプションを使用します。

  2. Parallels Client のみ: ユーザーは Parallels Client のみを使用してリモートアプリケーションとデスクトップを実行できます。ユーザーが Parallels Web Client を使用して Parallels RAS に接続すると、リモートアプリケーションとデスクトップを起動する前に、プラットフォーム固有の Parallels Client をインストールするように求められます。ユーザーには、Parallels Client のダウンロードリンクが含まれるメッセージが表示されます。ユーザーが Parallels Client をインストールした後も、Web Client でリモートアプリケーションまたはデスクトップを起動できますが、リソースは Parallels Client で開かれます。

  3. Parallels Client とブラウザーへのフォールバック: Parallels Client とブラウザー（HTML5）の両方を使用して、リモートアプリケーションとデスクトップを起動できます。Parallels Client が主要な方法になります。何かの理由で公開済みのリソースを Parallels Client では起動できない場合、バックアップとして Parallels Web Client が使用されます。Parallels Client を使用できない場合、ユーザーに通知され、代わりにブラウザーで開くことができます。

• ユーザーが起動方法を選択することを許可: このオプションを選択すると、ブラウザーまたは Parallels Client でリモートアプリケーションを開くかどうかを選択できます。このオプションは、[以下を使用してセッションを起動:] オプション（上記）が [Parallels Client とブラウザーへのフォールバック] に設定されている場合（つまり両方の方法が許可されている場合）にのみ､有効にできます。

• 新規タブでアプリケーションを開く: 選択されている場合、ユーザーは、ウェブブラウザーの新しいタブでリモートアプリケーションを開くことができます。

• （ブラウザーおよび Parallels Cient にフォールバックおよび Parallels Client のみ）また、[構成] ボタンをクリックして Parallels Client の検出を設定することもできます。

  • Client を検出します Parallels RAS がプラットフォーム固有の Parallels Client を検出しようとするタイミングを選択します。

    • サインイン時に自動で: Parallels RAS はプラットフォーム固有の Parallels Client を即時に検出しようとします。

    • ユーザープロンプトで手動で: Parallels RAS で、プラットフォーム固有の Parallels Client を検出するかどうかを選択するプロンプトが表示されます。

  • Client 検出タイムアウト: Parallels RAS がプラットフォーム固有の Parallels Client の検出を試行する期間です。

• Client IP 検出サービスを使用: 選択した場合、IP 検出サービスを構成して、接続されている Parallels Web Client アプリケーションの IP アドレスの報告を行えます。クライアント IP 検出サービスを有効にするには、このオプションを選択し、[構成] ボタンをクリックします。開いたダイアログで、使用する IP 検出サービスの URL を入力します。[テスト] ボタンを押して、API が期待通りに動作することを確認できます。[テスト] ボタンをクリックすると、Connection Broker がクライアントの役割を果たし、API が呼び出されます。成功すると、Connection Broker の IP アドレスを示すウィンドウが表示されます。

ネットワークロードバランサーへのアクセス

[ネットワークロードバランサーへのアクセス] セクションは、Amazon Web Services（AWS）の Elastic Load Balancer（ELB）などのサードパーティー製ロードバランサーを使用する展開シナリオでの利用を意図したものです。ネットワークロードバランサー（NLB）で使用する代替ホスト名とポート番号を構成できます。TCP 通信と HTTPS 通信が実行されるホスト名およびポートを別々にしておくことが必要です。AWS ロードバランサーでは、同じポート上で 2 つの個別のプロトコルをサポートすることはないためです。

次のオプションを利用できます。

• 代替ホスト名を使用する: このオプションを選択し、代替ホスト名を指定します。代替ホスト名を有効化すると、プラットフォーム別の Parallels Client では RAS ファームまたはサイトへの接続にそのホスト名が使用されます。

• 代替ポートを使用する: このオプションを選択し、代替ポート番号を指定します。ポート番号は、RAS ファームまたはサイトの他のコンポーネントで使用されていないことが必要です。ポート番号をデフォルトに戻すには、[デフォルト] をクリックします。代替ポートを有効化すると、プラットフォーム別の Parallels Client では RAS ファームまたはサイトへの接続にそのポートが使用されます。Web Client の RDP セッションでは引き続き標準 SSL ポート（443）で接続されることに注意してください。

さらに、Parallels Web Client で必要な HTTP/HTTPS トラフィックを処理する AWS アプリケーションロードバランサー（ALB）では、通常自動的に生成される特定の Cookie のみがサポートされています。ロードバランサーは、クライアントからのリクエストを最初に受信すると、リクエストをターゲットにルーティングし、「AWSALB」という Cookie を生成します。これは、選択されたターゲットの情報をエンコードしたものです。ロードバランサーはこの Cookie を暗号化してクライアントへの応答に含めます。スティッキーセッションが有効になっている場合、ロードバランサーは同じターゲットが正しく登録され、正常な状態にあると想定し、クライアントから受信した Cookie を使用してトラフィックをそのターゲットにルーティングします。デフォルトでは、Parallels RAS は「_SessionId」という名前の専用 ASP.NET Cookie を使用します。ただし、上記のスティッキーセッション用 AWS Cookie を指定して Cookie をカスタマイズすることが必要です。これは、[ユーザーポータル] > [ウェブ] サブカテゴリーの、[ウェブ Cookie] フィールドを使用して設定できます。

制限

[制限] セクションは、ユーザーポータルの以下の機能を許可または制限するために使用されます。

• 以前の Windows 2000 ログイン形式を使用: レガシー（Windows 2000 以前）のログインフォーマットを有効化します。

• Parallels ユーザーポータルを他のウェブページに埋め込むことを許可: これを選択すると、Parallels ユーザーポータルのウェブページを他のウェブページに埋め込むことができます。これは、クリックジャックと呼ばれる攻撃による潜在的なセキュリティ上のリスクになる可能性があることに注意してください。

• ファイル転送コマンド: リモートセッションでのファイル転送を有効化します。ドロップダウンリストで必要なオプションを選択します。詳細については、以下の**「リモートファイル転送を構成する」**を参照してください。

• クリップボードのリダイレクト: クリップボードオプション: リモートセッションで許可するクリップボードオプションを選択します。[Client からサーバーのみ]（クライアントからサーバーへのコピー/ペーストのみ）、[サーバーから Client のみ]（サーバーからクライアントへのコピー/ペーストのみ）、[双方向]（双方向のコピー/ペースト）から選択します。

• オリジン間リソース共有（CORS）を有効化: オリジン間リソース共有（CORS）を有効化します。CORS を有効化するには、このオプションを選択してから、リソースへのアクセスを許可する 1 つまたは複数のドメインを指定します。ドメインを指定しない場合、このオプションは自動的に無効になります。[ブラウザーのキャッシュ時間] フィールドで、エンドユーザーのブラウザーでリソースがキャッシュされる時間を指定します。

リモートファイル転送を構成する

Parallels RAS を使用して、エンドユーザーはリモートでファイルをリモートサーバーに転送またはリモートサーバーから転送することができます。

リモートファイル転送機能を柔軟に設定できるように、Parallels RAS では以下の 3 つのレベルを設定することができます。

• RD セッションホスト、プロバイダー、またはリモート PC

• ユーザーポータル

• クライアントポリシー

各レベルで設定したファイル転送設定の優先順位は、上述の順序になります。たとえば、ファイル転送をユーザーポータルで有効にし、RD セッションホストで無効にしている場合、ユーザーポータルから所定の RD セッションホストに接続するすべてのユーザーについて、ファイル転送が無効になります。また、RD セッションホストでファイル転送を有効にし、特定のクライアントポリシー（またはユーザーポータル）で無効にすることもできます。このように、ファイル転送を利用できるクライアントと利用できないクライアントを制御することが可能になります。

ユーザーポータルのリモートファイル転送を構成するには、[ファイル転送コマンド] ドロップダウンリストで次のオプションのいずれかを選択します。

• 無効: リモートファイル転送は無効です。

• Client からサーバー: クライアントからサーバーへのファイル転送のみ。

• サーバーから Client: サーバーからクライアントへのファイル転送のみ。

• 双方向: 双方向のファイルを転送が可能。

注: [ウェブ] サブカテゴリーは、ゲートウェイモードが [通常] に設定されている場合にのみ使用できます。

[ウェブ] カテゴリーでは、特定のシナリオでロードバランスに必要な設定を微調整できます。ここでウェブリクエストのリダイレクト URL とセッションの Cookie 名を指定して、クライアントとサーバー間のパーシスタンスを維持できます。

リダイレクト URL

元のウェブリクエストは、以下の 2 種類の方法のいずれかでゲートウェイに到達します。

• IP アドレスまたは FQDN を使用して、リクエストがローカルネットワーク経由で直接 Gateway に送信される。例: https://192.168.10.10。

• リクエストがファーム内でそのゲートウェイと他のゲートウェイとの負荷を分散する HALB デバイスに送信される。HALB デバイスは多くの場合インターネットに接続している（DMZ 内に位置している）ため、元のリクエスト URL 内ではその DNS 名を使用できる。たとえば、https://ras.msp.com のようになります。その後、HALB デバイスによってリクエストがゲートウェイに分配される。

ゲートウェイは、ウェブリクエストを受信すると、[ウェブ] カテゴリーで指定された URL を使用してリダイレクトするよう、ウェブブラウザーに応答します。

理論的には、ここにはどのような URL でも入力でき、元のウェブリクエストがその URL にリダイレクトされます。ただし、このフィールドの主要な目的はユーザーがウェブブラウザーからユーザーポータルに簡単にアクセスできるようにすることです。その仕組みを説明します。

1. ユーザーがロードバランサーの DNS 名をウェブブラウザーに入力します。たとえば、https://ras.msp.com のようになります。

2. ロードバランサーは、受信したリクエストを負荷の最も小さい RAS Secure Gateway に分配し、処理させます。

3. ゲートウェイは元の URL を受信し、その URL を [デフォルト URL] フィールドで指定された URL に置き換えます。以下の**「デフォルトの URL フォーマット」**サブセクションを参照してください。

4. 置換後の URL がウェブブラウザーに返送され、ブラウザーはその URL を使ってユーザーポータルのログインページを開きます。

デフォルトの URL フォーマット

デフォルトの URL フォーマットは以下のようになっています。

https://%hostname%/userportal

• 変数 %hostname% は、元のリクエストを受信したサーバーの名前に置き換えられます。この例ではロードバランサーの DNS 名になります。必要であれば、この変数を特定のホスト名や IP アドレス（このゲートウェイや別のゲートウェイなど）に置き換えることもできます。（例: https://192.168.5.5/userportal）。この方法では、常時ウェブリクエストが指定のホストに転送され、ユーザーポータルがそこで開かれます。ホストをハードコーディングしてしまうことはあまり実用的ではありませんが、そうすることは可能です。

• userportal は定数で、ユーザーポータルログインページへのパスになります。

この例では次の URL が、ウェブブラウザーからユーザーポータルへのアクセスに使用される最終的な URL になります。

https://ras.msp.com/userportal

実際のところ、ユーザーは最初から上記 URL を使うことも可能ですが、リダイレクト機能のおかげで、URL 全体を入力しなくても、サーバーの DNS 名（またはローカルネットワーク上の FQDN/IP アドレス）を入力するだけでアクセスできます。

特定のユーザーポータルテーマを開く

ユーザーポータルのテーマは、ユーザーのグループに合わせてユーザーポータルのデザインや操作性をカスタマイズできる機能です。

デフォルトのウェブリクエスト URL では、デフォルトのテーマが開きます。特定のテーマを開くようにするには、URL 末尾にテーマ名を追加します。

https://%hostname%/userportal/?theme=<theme-name>

の <theme-name> をテーマの名前に置き換えます。かっこや引用符は不要です。

ユーザーが特定のテーマを開く場合、ウェブブラウザーに入力する URL にテーマ名を含める必要があります。ただし、この場合は次のように非常にシンプルなフォーマットになります。

https://<server-name>/<theme-name>

上述のロードバランサー DNS 名を例にすると、次のような URL になります。

https://ras.msp.com/Theme-E1

詳細については、「ユーザーポータルテーマ設定」 > 「URL」 を参照してください。

ユーザーポータルを開く

[ユーザーポータルを開く] ボタンは、指定されたゲートウェイアドレスを使用し、この特定のゲートウェイ上のユーザーポータルを新しいタブで開きます。このボタンを使用して、展開のテストを実行できます。

ウェブ Cookie

ウェブ Cookie フィールドは、セッションの Cookie 名の指定に使用します。RAS HTML5 セッションのパーシスタンスは、通常、ユーザーの IP アドレス（ソースアドレス指定）により設定されます。ソースアドレス指定が使用できない環境では（セキュリティポリシーで許可されない場合など）、セッション Cookie を使用して、クライアントとサーバーの間のパーシスタンスを維持できます。そのためには、パーシスタンスにセッションクッキーを使用できる負荷分散機能を設定する必要があります。デフォルトの Cookie 名は ASP.NET_SessionId です。

Amazon Web Services（AWS）など、サードパーティーのロードバランサーを使用している場合、専用の Cookie 名を指定する必要があります。AWS では、ロードバランサーは、クライアントからのリクエストを最初に受信すると、リクエストをターゲットにルーティングし、AWSALB という Cookie を生成します。これは、選択されたターゲットの情報をエンコードしたものです。ロードバランサーはこの Cookie を暗号化してクライアントへの応答に含めます。スティッキーセッションが有効になっている場合、ロードバランサーは同じターゲットが正しく登録され、正常な状態にあると想定し、クライアントから受信した Cookie を使用してトラフィックをそのターゲットにルーティングします。

ゲートウェイへのユーザーアクセスを MAC アドレスに基づいて許可または拒否できます。これは、[RAS Secure Gateway のプロパティ] ダイアログの [セキュリティ] タブを使用して実行できます。

サイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。固有の設定を指定するには、オプションをクリアします。

許可または拒否する MAC アドレスのリストを構成するには、[セキュリティ] タブで次のいずれかのオプションを選択します。

• 以外を許可: このリストに含まれる MAC アドレスを除き、ネットワーク上のすべてのデバイスがゲートウェイへの接続を許可されます。[タスク] > [追加] をクリックし、デバイスを選択するか、MAC アドレスを指定します。

• のみを許可する: リストに含まれる MAC アドレスを持つデバイスのみがゲートウェイへの接続を許可されます。[タスク] > [追加] をクリックし、デバイスを選択するか、MAC アドレスを指定します。

Gateway MAC アドレスフィルタリングは ARP に基づいているため、フィルタリングが機能するには、クライアントとサーバーが同じネットワーク上にある必要があります。ネットワークの境界を超えて機能しません。

Wyse thinOS を使用してアプリケーションを Parallels RAS からシンクライアントに公開するには、[Wyse ThinOS サポートを有効化する] オプションを選択します。

注: [Wyse] カテゴリーは、Gateway モードが [通常] に設定されている場合にのみ使用できます。

このオプションを有効にすると、RAS Secure Gateway が Wyse Broker として機能します。このゲートウェイからブートしようとしているシンクライアントについては、DHCP サーバー上で DHCP オプション 188 がこのゲートウェイの IP アドレスに設定されていることを確認する必要があります｡DHCP サーバーを構成したら、[テスト] ボタンをクリックして、DHCP サーバーの設定を確認します。

ホスト名が証明書と一致しないために、RAS Secure Gateway への接続時に Wyse デバイスで SSL 警告が表示される場合、[サーバー証明書認証の警告を表示しない] オプションを選択（有効化）できます。このオプションを選択すると、Gateway は、wnos.ini ファイル内の次のパラメーターを Wyse クライアントに送信します: SecurityPolicy=low TLSCheckCN=no（これにより SSL の確認が無効化）。なお、証明書に以下の項目がある場合、このオプションは必要ありません:

• CNAME が RAS Secure Gateway の FQDN に設定されている。

• SAN が RAS Secure Gateway の IP アドレスに設定されている。

ゲートウェイ上の”C:\Program Files (x86)\Parallels\ApplicationServer\AppData\wnos”フォルダーにあるカスタムの wnos.ini を使用する場合、Gateway が SSL 確認パラメーターを送信することはありません。ご注意ください。

サイト内の RAS Secure Gateway を有効化] を選択またはクリアします。

• ホスト: 必要に応じて、別のホストを選択します。

• 説明: オプションの説明を設定または変更します。

• パブリックアドレス: Gateway サーバーのパブリックアドレスを指定します。

クライアント接続用の IP アドレスの設定

次の IP オプションを指定します。

• 次の IP バージョンを使用: 使用する IP バージョンを選択します。RAS Secure Gateway は IPv4 と IPv6 の両方を認識します。デフォルトでは、IPv4 が使用されます。

• IP: 1 つ以上の IP アドレスをセミコロンで区切って指定するか、[解決] をクリックして IP アドレスを自動解決します。それらのアドレスを Gateway サーバーで使用できます。クライアント接続で使用する IP アドレスを指定する場合は、[IP にバインド] セクションを使用します（下記参照）。

• IP にバインド: クライアント接続で Gateway が待機する IP アドレス（複数の場合もあり）を指定するには、このセクションを使用します。特定のアドレスを指定できます。または、利用できるすべてのアドレスを指定して、[IP] フィールドに指定されたすべての IP を使用することもできます。

• 次の…システムバッファを削除: このオプションを使用すると、この Gateway と Parallels Client 間の接続で高遅延が発生した場合（インターネットなど）に、トラフィックが最適化されます。このオプションによりトラフィックが最適化され､Parallels Client 側の操作性が向上します。1 つまたは複数の特定のアドレスを選択できますし、利用できるすべてのアドレスを選択することもできます。また、選択しないこともできます。このオプションは、外部ソケットのパフォーマンスにマッチさせるために内部ソケットを遅延させます。内部ネットワークが速く、外部ネットワークが遅い場合、RDP が速い内部ソケットを検出し、大量のデータを送信します。問題は、データを Gateway からクライアントに十分な速度で送信できず、ユーザーエクスペリエンスが悪化することです。このオプションを有効にすると、データのやり取りが最適化されます。

RAS Secure Gateway は、次のいずれかのモードで動作します。

• 通常モード: RAS Secure Gateway は、ユーザー接続リクエストを受け取った後、RAS Connection Broker に対し、要求したユーザーにアクセス権があるかどうかを確認します。このモードで動作するゲートウェイを使用することで、より多くのリクエストをサポートすることができ、冗長性を向上させることができます｡

• 転送モード: RAS Secure Gateway は、ユーザー接続リクエストを、事前に構成された Gateway に転送します。ファイアウォールカスケードを使用する場合は、WAN 接続を LAN 接続から切り離すのに転送モードのゲートウェイが役立ちます。また、転送モードのゲートウェイを使用すると、問題発生時に LAN を中断することなく WAN セグメントを切断できます。

注: 転送モードを構成するには、RAS サイトに複数の RAS Secure Gateway が必要です。

サイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。固有の設定を指定するには、オプションをクリアします。

通常モードの設定

通常モードを設定するには、[ゲートウェイモード] ドロップダウンリストで [通常] を選択します。

[推奨 Connection Broker] ドロップダウンリストでは、ゲートウェイが接続する必要がある RAS Connection Broker を指定できます。これは、サイトコンポーネントが、WAN で通信する複数の物理的な場所に設置されているときに役立ちます。より適切な Connection Broker を指定することによりネットワークトラフィックを減らすことができます。ゲートウェイで自動的に Connection Broker が選択されるようにするには、[自動] オプションを選択します。

[HTTP サーバーにリクエストを転送] オプションを使用すると、RAS Secure Gateway（HTML5 トラフィック、Wyse、および URL スキームを処理するゲートウェイ）に属していないリクエストを転送できます。複数のサーバーを指定するには、それらをセミコロンで区切ります。必要な場合、IPv6 アドレスを使用して HTTP サーバーを指定できます。リクエスト元のブラウザーと同じ IP バージョンが HTTP サーバーでサポートされていることが必要です。

転送モードの設定

転送モードを設定するには、[Gateway モード] ドロップダウンリストで [転送] を選択して、1 つまたは複数の Gateway を指定します。転送モードのゲートウェイは、すべてのユーザー接続リクエストを、事前に構成されたゲートウェイに転送します。ファイアウォールカスケードを使用する場合は、WAN 接続を LAN 接続から切り離すのに転送モードの Gateway が役立ちます。また、転送モードの Gateway を使用すると、問題発生時に LAN を中断することなく WAN セグメントを切断できます。

Parallels Client の接続の暗号化

デフォルトで、暗号化される接続のタイプは、Gateway とバックエンドサーバーの間の接続だけです。Parallels Client と Gateway の間の接続を暗号化するには、クライアント側でも接続プロパティを構成する必要があります。これを行うには、Parallels Client で、接続プロパティを開き、接続モードを [ゲートウェイ SSL] に設定します。

Parallels Client の構成を簡素化するために、サードパーティーの信頼できる認証局またはエンタープライズ認証局（CA）のいずれかによって発行された証明書を使用することをお勧めします。エンタープライズ CA 証明書が使用されている場合、Windows クライアントは Active Directory からルートまたは中間エンタープライズ CA 証明書を受け取ります。他のプラットフォームのクライアントデバイスには、手動で設定する必要があります。既知の信頼できる認証局によって発行された第三者証明書が使用される場合、クライアントデバイスは、そのプラットフォームに対し、信頼できる認証局の更新を信頼して使用します。

Parallels Client の構成

証明書が自己署名されている場合、またはエンタープライズ CA によって発行された証明書の場合、Parallels Client は以下のように構成する必要があります。

1. Base-64 でエンコードされた X.509（.CER）形式で証明書をエクスポートします。

2. メモ帳やワードパッドなどのテキストエディターでエクスポートした証明書を開き、内容をクリップボードにコピーします。

クライアント側で信頼できる認証局のリストを含む証明書を追加し、Parallels Client が組織の認証局から発行された証明書と SSL で接続できるようにするには､次の操作を実行します。

1. クライアント側のディレクトリ”C:\Program Files\Parallels\Remote Application Server Client\”に、trusted.pem というファイルが存在している必要があります。このファイルには、共通の信頼できる認証局の証明書が含まれています。

2. エクスポートされた証明書の内容を貼り付けます（他の証明書のリストに添付されています）。

RDP-UDP 接続の保護

通常、Parallels Client は RAS Secure Gateway と TCP 接続経由で通信します。最近の Windows クライアントでも、UDP 接続を使用して WAN のパフォーマンスを向上することができます。UDP 接続を SSL で保護するには、DTLS を使用する必要があります。

RAS Secure Gateway で DTLS を使用するには、次の操作を実行します。

1. [SSL/TLS] カテゴリーで、[ポートで SSL 有効化] オプションが選択されていることを確認します。

2. [ネットワーク] カテゴリーで、[RDP UDP データトンネリングを有効化] オプションが選択されていることを確認します。

Parallels Client は、[Gateway SSL モード] を使用するよう構成する必要があります。このオプションは、クライアント側の [接続設定] > [接続モード] ドロップダウンリストで設定できます。

上記オプションが適切に設定されると、TCP および UDP 接続が SSL 上でトンネリングされます。

SSL サーバー構成

RAS Secure Gateway を構成して、SSL 暗号化を使用するには、発生する可能性のあるトラップやセキュリティの問題を回避するために SSL サーバーの構成方法に注意する必要があります。具体的には、次の SSL コンポーネントをレーティングし、構成が適切であるかどうかを特定する必要があります。

• 有効で信頼できる証明書。

• プロトコル、鍵の交換、暗号がサポートされている必要があります。

SSL について特定の知識がない場合、査定を行うのは困難かもしれません。Qualys SSL Labs の SSL Server Test の使用をお勧めするのはそのためです。これは、公衆インターネットで SSL ウェブサーバーの構成の分析を実行する無料のオンラインサービスです。RAS Secure Gateway でテストを実行するには、公衆インターネットにそれを一時的に移動する必要が生じる場合があります。

Parallels RAS ユーザーと RAS Secure Gateway 間のトラフィックは暗号化できます。[SSL/TLS] カテゴリーでは、データ暗号化オプションを構成できます。

サイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。固有の設定を指定するには、オプションをクリアします。

HSTS

[HSTS] セクションを利用すると、HTTP Strict Transport Security（HSTS）を適用できます。これは、安全な HTTPS 接続のみを使用して、ウェブブラウザーにウェブサーバーと通信させるメカニズムです。HSTS が RAS Secure Gateway に適用されると、すべてのウェブリクエストが HTTPS を使用するように強制されます。これは、通常 HTTPS リクエストのみを受け入れることができるユーザーポータルに特に影響します。

• HTTP Strict Transport Security（HSTS）を適用する: ゲートウェイに対し、HSTS を有効化または無効化します。

• 最大期間: 最大期間を指定します。これは、ウェブブラウザーとゲートウェイとの通信に必ず HTTPS が使用されるという設定が適用される（月単位の）期間です。デフォルト値（および推奨値）は 12 か月です。設定可能な値は 4〜120 か月です。

• サブドメインを含む: サブドメインを含めるかどうかを指定します（該当する場合）。

• 事前読み込み: HSTS の事前読み込みを有効化または無効化します。これは、SSL/TLS をサイトで適用するホストのリストがウェブブラウザーにハードコーディングされるメカニズムです。リストは Google によりコンパイルされ、Chrome、Firefox、Safari、Edge といったブラウザーにより使用されます。HSTS の事前読み込みが使用されると、ウェブブラウザーは HTTP でリクエストを送信せず、常に HTTPS が使用されます。以下に重要な注意点がありますのでこちらもお読みください。

注: HSTS のプリロードを使用するには、Chrome の HSTS プリロードリストに含めるドメイン名を送信する必要があります。ドメインはリストを使用するウェブブラウザーにハードコードされます。重要: プリロードリストへ含めるアクションは簡単には取り消せません。サイト全体およびそのすべてのサブドメインで長期的に（通常 1〜2 年）HTTPS をサポートできることが確実な場合にのみ、リクエストを含めてください。

次の要件にも注意してください。

• ウェブサイトに有効な SSL 証明書が存在している必要があります。

• すべてのサブドメイン（サブドメインがある場合）が SSL 証明書でカバーされている必要があります。ワイルドカード証明書を要求することを検討してください。

暗号化

デフォルトでは、ゲートウェイのインストール時に、自己署名証明書が RAS Secure Gateway に割り当てられます。RAS Secure Gateway ごとに専用の証明書の割り当てが必要です。また、セキュリティ警告を回避するため、クライアント側の信頼できるルート認証局に追加する必要があります。

SSL 証明書はサイトレベルで作成されます。作成された証明書は、RAS Secure Gateway に割り当てることができます。証明書の作成と管理については、を参照してください。

暗号化を構成するには、次の操作を実行します。

1. [ポートで SSL 有効化] オプションを選択し、ポート番号を指定します（デフォルトは 443）。

2. [許可される SSL バージョン] ドロップダウンリストで、SSL バージョンを選択します。

3. [暗号強度] フィールドで、希望する暗号強度を選択します。

4. [暗号] フィールドに暗号を指定します。強い暗号を使用すれば、暗号化の強度が増し、破るのに必要な労力も増大します｡

5. [サーバー環境に応じて暗号を使用] オプションは、デフォルトで有効になっています。このオプションを無効にすることで、クライアントの環境設定を使用することができます。

6. [証明書] ドロップダウンリストで任意の証明書を選択します。[一致する使用方法すべて] オプションでは、構成されたすべての証明書がゲートウェイによって使用されます。証明書を作成する場合、”ゲートウェイ”、”HALB”またはその両方を選択できる場所で”使用”プロパティを指定します。このプロパティで [ゲートウェイ] オプションが選択されていれば、ゲートウェイに使用できます。このオプションを選択していても、一致する証明書が存在しない場合には、警告が表示され、先に証明書を作成することになります。

追加情報