Soliton OneGate 管理ガイド
登録

登録

発行プロファイル設定を新規に登録します。

発行プロファイル設定のプロファイルは、招待コードやデバイス予約によって証明書を発行する際に適用されます。

基本設定

発行プロファイル設定の基本となる必須項目を登録します。

  1. 「発行プロファイル設定」画面左上の[登録]をクリックする

  2. 「基本設定」で必要な項目を設定する 

      

    表示名<必須>

    発行プロファイル設定の表示名を指定します。表示名は、重複できません。
    文字数: 最大64文字

    発行先

    招待コードまたはデバイス予約を使用するデバイスを指定します。
    発行先に指定されていないデバイスでは、招待コード
    またはデバイス予約を使用できません。
    「指定しない」を選択した場合、すべてのデバイスで招待コードまたはデバイス予約を使用できます。

    ・「指定しない」
    ・「iOS/iPadOS Safari (iPhone/iPad)」
    ・「Windows版Soliton KeyManager(Windows SKM)」
    ・「iOS/iPadOS版Soliton KeyManager(iPhone/iPad SKM)」
    ・「Mac版Soliton KeyManager(Mac SKM)」
    ・「Android版Soliton KeyManager(Android SKM)」
    デフォルト:指定なし

    証明書の格納先

    証明書の格納先となる証明書ストア「ユーザー」/「コンピューター」を設定します。

    1. KeyManagerで異なる証明書ストアが選択された場合は証明書が発行されません。

    1. 「指定しない」を選択した場合、利用者が証明書の格納先を指定します。

    1. 「発行先」が指定なしの場合、証明書の格納先は選択できません。この場合、利用者が格納先を指定します。

    1. 以下の発行先の場合、証明書ストアは選択できません。

      1. iOS/iPadOS版 Soliton KeyManager(iPhone/iPadSKM)

      1. iOS/iPadOS Safari(iPhone/iPad)

    パスワードレス

    チェックすると、「Soliton KeyManager用URL」「iOS(Safari)用 URL」での証明書発行時に利用者のパスワード入力をスキップします。

    ドメイン名

    発行先に、「Windows版 Soliton KeyManager (Windows SKM)」を選択した場合に設定可能になります。

    ドメイン名を指定します。
    指定すると、指定したドメイン参加にしているデバイスにのみ証明書の発行を許可します。
    ※KeyManager V2.0.8以降で対応
    文字数: 最大64文字

      

    注意

    パスワードレス設定について

    パスワードレスを有効にした場合、利用者の証明書発行操作を簡略化できますが、セキュリティレベルが低下します。

  3. 必要に応じて「詳細設定」の各項目を設定し、[保存]をクリックする

      

    詳細設定の設定方法については以下をご覧ください。

クライアント証明書の格納先(インストール先)について

クライアント証明書の格納先は、証明書の利用用途により異なります。

証明書の取得には、KeyManagerを利用します。

Windowsの場合

コンピューターストア

  1. Wi-Fi EAP-TLS認証(コンピューター認証※1※2)

  1. PasswordManager(Windowsサインイン)

ユーザーストア

  1. Wi-Fi EAP-TLS認証(ユーザー認証※1)

  1. 一般的なVPNの証明書認証

  1. ブラウザーの証明書認証

  1. PasswordManager(Web/App)、Secure BrowserなどのSoliton製アプリ

※1:

Windowsサプリカントの仕様上、以下のタイミングでネットワーク接続を行うことを確認しています。

「ユーザー認証」の場合はWindowsサインイン後にネットワーク接続されます。サインアウトで切断されます(Active Directory環境の場合キャッシュログオンとなります)。

「コンピューター認証」の場合はPCが起動していればWindowsサインイン状態にかかわらずネットワーク接続されます。

Active DirectoryのサインインやWindowsサインイン前の端末への外部からの接続など(リモートデスクトップ接続、資産管理ツールなど)、常時ネットワーク接続が必要な場合は、「コンピューター認証」を推奨します。詳細はMicrosoft社にお問い合わせください。

※2:

Windowsの仕様上コンピュータストアに証明書をインストールする場合、管理者権限が必要です。

権限がないユーザーの場合はユーザーアカウント制御(UAC)画面が表示されますので、権限のあるユーザーアカウントを入力してください。

Macの場合

システム

キーチェーン名:システム

  1. Wi-Fi EAP-TLS認証

  1. 一般的なVPNの証明書認証

  1. ブラウザーの証明書認証

ユーザー

キーチェーン名:ログイン

  1. Wi-Fi EAP-TLS認証

  1. 一般的なVPNの証明書認証

  1. ブラウザーの証明書認証

iOS/iPadOSの場合

KeyManagerのほか、Safariやサードパーティ製VPNプロファイルからも証明書をインストールできます。

OS標準ストア

(プロファイルとデバイス管理内)

Safariから取得した場合のインストール先となります。

  1. Wi-Fi EAP-TLS認証

  1. Safariの証明書認証

  1. OS標準VPN(IPSec)の証明書認証

  1. MS AuthenticatorなどのOS標準ストア参照可能なアプリ

  1. SSL-VPN(VPNプロファイル対応時のみ)

KeyManagerアプリ内

KeyManagerから取得した場合のインストール先となります。

  1. PasswordManager、Secure BrowserなどのSoliton製アプリ

サードパーティ製VPNアプリ内

  1. SSL-VPN

    (VPNプロファイルに非対応の場合はp12ファイルを手動インストール)

Androidの場合

KeyManagerのほか、サードパーティ製VPNプロファイルからも証明書をインストールできます。

Wi-Fi

KeyManagerから取得した場合のインストール先となります。

  1. Wi-Fi EAP-TLS認証

    (ダウンロードしたCA証明書を手動で「Wi-Fi」にインストールが必要)

VPNとアプリ

KeyManagerから取得した場合のインストール先となります。

  1. OS標準VPN(IPSec)の証明書認証

  1. ブラウザの証明書認証

  1. PasswordManager、Secure BrowserなどのSoliton製アプリ

  1. MS AuthenticatorなどのOS標準ストア参照可能なアプリ

サードパーティ製VPNアプリ内

  1. SSL-VPN

    (p12ファイルを手動インストール)

ポイント

Wi-Fi、VPNのプロファイル設定について

Wi-Fi、VPNのプロファイルについては、「発行先」により設定可能な項目が変わります。

  

項目

Wi-Fi設定一覧

VPN設定一覧

指定なし

Safari

Windows SKM

×

iPhone/iPad SKM

×

×

Mac SKM

×

×

Android SKM

×

×

通知設定

招待コード(証明書取得用URL/QRコード)の発行通知と、招待コードまたはデバイス予約を利用して取得したクライアント証明書の有効期限通知に関する設定を行います。

通知設定には、以下の設定が含まれます。

  1. 招待コード発行通知

  1. 証明書の有効期限通知

  1. 「発行プロファイル設定登録」画面で、[通知設定]をクリックする

    「通知設定一覧」画面が表示されます。

  2. 必要に応じて「招待コード発行通知」または「証明書の有効期限通知」を選択し、必要な項目を設定し、[OK]をクリックする

招待コード発行通知

招待コード発行通知に関する設定を行います。

招待コードの発行通知は、利用者に設定された言語(日本語または英語)のメール送信で行われます。「通知なし」を選択した場合、招待コードの発行通知は行われません。

  1. 「通知設定一覧」画面で「招待コード発行通知」をクリックする

    「招待コード発行通知設定」画面が表示されます。

    この画面で、招待コードを通知するメールの内容を設定します。

  2. [招待コード発行通知(日本語)]または[招待コード発行通知(英語)]をクリックする

      

    選択した言語のメールタイトル・メール本文が表示されます。

  3. 必要な項目を設定し、[OK]をクリックする

      

    通知方法

    「メールによる通知」固定です。

    通知オプション

    「招待コード情報(invitation_section)に証明書取得用URLとQRコードを含める」をチェックすると、「招待コード情報(invitation_section)」に KeyManager用URLとiOS/iPadOS Safari用URLが追加され、招待コード通知メールにQRコードが添付されます。

    招待コード発行通知(日本語)/招待コード発行通知(英語)

    クリックするたびに、対象言語のメールタイトル・本文の表示/非表示が切り替わります。

    通知属性

    メールタイトル、本文に挿入できる通知属性が事前に用意されています。

    以下の手順に従って、必要な通知属性を挿入します。

    1. メールタイトルまたはメール本文で、通知属性の挿入位置をクリックします。

    1. [タイトルに追加]または「本文に追加」をクリックします。

    メールタイトル

    直接入力するか、通知属性を挿入し、必要に応じてメールのタイトルを変更します。

    メール本文

    直接入力するか、通知属性を挿入し、必要に応じてメールの本文を変更します。

    メール本文をすべて削除する場合は[本文クリア]をクリックします。

      

    変更を取り消す(メールの内容を初期値に戻す)ときは

    変更した内容を取り消し、初期設定に戻す場合、[初期値に戻す]をクリックします。

      

    招待コードを通知するメールの通知属性について

    以下の「通知属性」があらかじめ用意されています。

    ログイン名(login_name)

    利用者のOneGateログイン名

    氏名(full_name)

    利用者の姓・名(利用者名)

    氏名が設定されていない場合はログイン名

    招待コード情報(invitation_section)

    招待コード

    iOS(Safari)用URL(URL)

    iOS利用時のSafariを使った際に招待コードを入力するURL

証明書の有効期限通知

招待コードまたはデバイス予約で取得したクライアント証明書の有効期限通知に関する設定を行います。

証明書の有効期限通知は、利用者に設定された言語(日本語または英語)のメール送信で行われます。「通知なし」を選択した場合、有効期限通知は行われません。

注意

「証明書の有効期限通知」の有効化

証明書の有効期限通知は、[証明書管理]>[証明書設定]>[共通設定]で「証明書の有効期限通知」を有効にした場合のみ利用者に通知できます。

  1. 「通知設定一覧」画面で「証明書の有効期限通知」をクリックする

    「証明書の有効期限通知設定」画面が表示されます。

    この画面で、証明書の有効期限を通知するメールの内容を設定します。

  2. [証明書の有効期限通知(日本語)]または[証明書の有効期限通知(英語)]をクリックする

      

    選択した言語のメールタイトル・メール本文が表示されます。

  3. 必要な項目を設定し、[OK]をクリックする

      

    通知方法

    「メールによる通知」固定です。

    証明書の有効期限通知(日本語)/証明書の有効期限通知(英語)

    クリックするたびに、対象言語のメールタイトル・本文の表示/非表示が切り替わります。

    通知属性

    メールタイトル、本文に挿入できる通知属性が事前に用意されています。

    以下の手順に従って、必要な通知属性を挿入します。

    1. メールタイトルまたはメール本文で、通知属性の挿入位置をクリックします。

    1. [タイトルに追加]または「本文に追加」をクリックします。

    メールタイトル

    直接入力するか、通知属性を挿入し、必要に応じてメールのタイトルを変更します。

    メール本文

    直接入力するか、通知属性を挿入し、必要に応じてメールの本文を変更します。

    メール本文をすべて削除する場合は[本文クリア]をクリックします。

      

    変更を取り消す(メールの内容を初期値に戻す)ときは

    変更した内容を取り消し、初期設定に戻す場合、[初期値に戻す]をクリックします。

      

    招待コードを通知するメールの通知属性について

    以下の「通知属性」があらかじめ用意されています。

    ログイン名(login_name)

    利用者のOneGateログイン名

    氏名(full_name)

    利用者の姓・名(利用者名)

    氏名が設定されていない場合はログイン名

    Soliton KeyManager用URL (skm_url)

    KeyManagerを使って証明書を更新するURL

    iOS(Safari)向け証明書更新用URL (service_url)

    iOS利用時のSafariを使って証明書を更新するURL

    URLの有効期限 (url_expire_day)

    上記更新URLの有効期限

    証明書のシリアル番号 (serial_no)

    対象となる証明書のシリアル番号

    証明書の有効期限(certificate_expire_day)

    対象となる証明書の終了日時

    コンピューター名/デバイス名(computer_name)

    発行先詳細の詳細(括弧内)部分

    発行先(issue_target)

    発行先詳細の種別(括弧外)部分

    格納先の証明書ストア(store)

    対象となる証明書が格納されている証明書ストア

証明書設定

発行する証明書に含まれる情報について設定します。

  1. 「発行プロファイル設定登録」画面で、[証明書設定]をクリックする

  2. 必要な項目を設定し、[OK]をクリックする

      

    名前(CN)<必須>

    利用者のログイン名が自動で設定されます。

    国名(C)

    証明書サブジェクトの国名をリストから選択します。

    都道府県名(S)

    証明書サブジェクトの都道府県名を設定します。

    市区町村名(L)

    証明書サブジェクトの市区町村名を設定します。

    組織名(O)

    証明書サブジェクトの組織名を設定します。

    部署名(OU)

    証明書サブジェクトの部署名を設定します。

    Emailアドレス

    証明書サブジェクトのEmailアドレスを設定するかどうかを選択します。

    「指定しない」:Emailアドレスは設定されません。
    「利用者のメールアドレス」:利用者のメールアドレスが自動で設定されます。

    プリンシパル名

    証明書サブジェクト別名のプリンシパル名を設定するかどうかを選択します。

    「指定しない」:プリンシパル名は設定されません。
    「利用者のログイン名」:利用者のログイン名が自動で設定されます。ログイン名がUPN形式である必要があります。
    「利用者のログイン名@+UPNサフィックス」:利用者のログイン名は自動で設定され、UPNサフィックスは「UPNサフィックス」項目に設定した内容が設定されます。

    UPNサフィックス

    「プリンシパル名」に「利用者のログイン名@+UPNサフィックス」を選択した場合にUPNサフィックスの値を設定します。
    UPNサフィックスが空の場合、プリンシパル名は設定されません。
    文字数: 最大253文字
    設定可能文字:半角英数、ドット(.)、ハイフン(-)、カンマ(,)
    ドット区切りのラベルは1~63文字
    ラベルの先頭、末尾はハイフン不可

    公開鍵方式

    「RSA」が自動で設定されます。

    鍵長

    鍵長を選択します。
    ・4096(推奨)
    ・2048(非推奨)

    キー使用法

    「Digital Signature, Key Encipherment (a0)」が自動で設定されます。

    拡張キー使用法

    拡張キーの使用法を選択します。

    ・TLS Webクライアント認証 (1.3.6.1.5.5.7.3.2)
    ・電子メール保護 (1.3.6.1.5.5.7.3.4)
    ・IPSec保護 (1.3.6.1.5.5.8.2.2)
    ・任意の目的 (2.5.29.37.0)
    デフォルト:クライアント認証 (1.3.6.1.5.5.7.3.2)のみチェックあり

    証明書の有効期限

    年数または日数を選択して、証明書の有効期限を設定します。
    設定可能範囲
    ・年数:1~10年
    ・日数:1~3650日
    デフォルト:年数:5

      

    各OS版SKMの証明書更新方法の違い

    招待コードまたはデバイス予約を使用するSoliton KeyManagerのバージョンによって、証明書の更新方法が異なります。

    Android版
    Soliton KeyManager

    1. V2.0.11以降

      証明書の更新を行う際、新しい秘密鍵を使用して証明書の取得を行います。

    mac版
    Soliton KeyManager

    1. v2.0.9以降

      証明書の更新を行う際、新しい秘密鍵を使用して証明書の取得を行います。

    iOS版
    Soliton KeyManager

    1. v2.0.11以降

      証明書の更新を行う際、新しい秘密鍵を使用して証明書の取得を行います。

    1. v2.0.10以前

      プロファイルで鍵長が変更された場合は、前回と同じ秘密鍵を使用するため無視されます。
      更新はできますが、鍵長は変更されません。
      新しい鍵長で証明書を取得したい場合は、新規で申請を行う必要があります。

    Windows版
    Soliton KeyManager

    1. v2.2.2以降

      証明書の更新を行う際、新しい秘密鍵を使用して証明書の取得を行います。
      [設定]>[詳細設定]>「更新時に既存のキーセットを利用する」が有効の場合は、v2.2.1以前の動作となります。

    1. v2.2.1以前またはv2.0.11以降

      プロファイルで鍵長が変更された場合は、利用開始手続き時に更新が中断します。
      鍵長を変更した場合、証明書は更新できません。新規に申請を行う必要があります。

CA証明書配付設定

証明書発行時に配付するCA証明書について設定します。

  1. 「発行プロファイル設定登録」画面で、[CA証明書配付設定]をクリックする

  2. [追加]をクリックする

  3. 発行プロファイル設定で配付するCA証明書チェックし、[OK]をクリックする

  4. 「CA証明書配付設定一覧」画面で[OK]をクリックする

Wi-Fi設定

配付するWi-Fiプロファイルを設定します。

  1. 「発行プロファイル設定登録」画面で、[Wi-Fi設定]をクリックする

  2. [追加]をクリックする

  3. 必要な項目を設定し、[OK]をクリックする

      

    有効/無効

    「Wi-Fi設定の配付を許可する」をチェックすると、発行プロファイル設定を使って証明書を発行する際にWi-Fi設定を配付します。
    デフォルト:チェックなし

    SSID<必須>

    Wi-FiアクセスポイントのSSIDを設定します。
    入力可能文字:ダブルクォーテーション(“)以外の入力可能なアスキー文字
    文字数: 最大32文字

    公開/非公開

    「非公開のワイヤレスネットワークに接続する」をチェックすると、非公開のワイヤレスネットワークに接続します。
    デフォルト:チェックなし

    セキュリティの種類

    セキュリティ要件に合わせてセキュリティの種類を選択します。
    ・WPA/WPA2 エンタープライズ
    ・WPA2/WPA3 エンタープライズ
    ・WPA3 エンタープライズ
    ・WPA3 エンタープライズ(192bitモード)
    ※「WPA3 エンタープライズ(192bitモード)」で接続する場合の利用条件については、以下のFAQをご覧ください。
    無線認証でWPA3 エンタープライズは利用できますか?
    デフォルト:WPA/WPA2 エンタープライズ

    認証方式

    Wi-Fi接続時の認証方式を選択します。
    ・EAP-TLS
    ・EAP-TTLS(PAP)
    ※Windows版のKeyManagerでは、EAP-TLSのみ対応しています。
    デフォルト:EAP-TLS

    認証に使用するクライアント証明書の発行者

    「有効にする」にチェックすると、WindowsOSの証明書ストアに複数のクライアント証明書がインポートされている場合に、EAP-TLS認証で使用するコンピューター証明書を絞り込むことができます。
    ※Windows SKMを使用した場合のみ有効
    登録件数:最大20件

    外部ID

    認証方式にEAP-TTLS(PAP)を選択した際に、EAP-TTLS(PAP)で使用される外部IDを指定します。
    入力可能文字:ダブルクォーテーション(“)とスペース( )以外の入力可能なアスキー文字
    文字数: 最大253文字

    信頼するサーバー証明書の名前

    信頼する認証サーバー名(ホスト名)または名前の一部を設定します。
    入力可能文字:半角英数、ドット(.)、ハイフン(-)、アンダーバー(_)、アスタリスク(*)
    文字数: 最大253文字
    ドット区切りの各ラベルは最大63文字
    ラベルの先頭、末尾はハイフン不可
    ※Windows版のKeyManagerおよび iPhone/iPad版のKeyManagerでは非対応です。
    iPhone/iPadのSafariのみ利用可能です。
    NetAttest EPS-edgeを使用する場合は、
    「*.<テナントコード>.ids.soliton-ods.jp」を指定します。
    [+]をクリックすると、複数設定できます。
    [×]をクリックすると、設定を削除できます。

    プロキシ設定

    プロキシ設定が必要な場合は、「プロキシ設定を有効にする」にチェックします。
    iPhone/iPadのSafariのみ利用可能です。
    デフォルト:チェックなし

    ホスト名<プロキシ設定が有効な場合必須>

    「プロキシ設定を有効にする」をチェックした場合は、プロキシサーバーのホスト名またはIPアドレスを設定します。
    ホスト名を指定する場合
    文字数: 最大255文字
    ドット区切りのラベルは1~63文字
    ラベルの先頭、末尾は半角英数字

    ポート

    プロキシサーバーのポート番号を設定します。
    設定可能範囲:1~65535

  4. 「Wi-Fi設定一覧」画面で[OK]をクリックする

EAP-TLS認証で使用するクライアント証明書を絞り込む

WindowsOSの証明書ストアに複数のクライアント証明書がインポートされている場合に、EAP-TLS認証で使用するコンピューター証明書を絞り込むことができます。

  1. 「Wi-Fi設定追加」画面の[認証に使用するクライアント証明書の発行者]の「有効にする」をチェックし、[+]をクリックする

      

    「証明書発行者選択」画面が表示されます。

  2. EAP-TLS認証で使用するコンピューター証明書をチェックし、[OK]をクリックする

      

    ポイント

    選択できる証明書は、[証明書管理] >[発行プロファイル設定] >[配付用外部CA証明書設定]で登録されたCA証明書のみです。

    OneGateのCA証明書(<テナントコード>.ids.soliton-ods.jp)

      

    「Wi-Fi設定追加」画面に戻り、[認証に使用するクライアント証明書の発行者]に選択した証明書名が表示されます。

VPN設定

証明書発行時に配付するVPNプロファイルについて設定します。

  1. 「発行プロファイル設定登録」画面で、[VPN設定]をクリックする

  2. [追加]をクリックし、一覧から接続タイプを選択する

    選択した接続タイプごとの「VPN設定追加」画面が表示されます。

  3. 接続タイプごとに必要な項目を設定する

  4. 「VPN設定一覧」画面に戻ったら、[OK]をクリックする

L2TP

以下の画面を参考に、接続タイプ:L2TPに必要な設定を行い、[OK]をクリックします。

IPSec(Cisco)

以下の画面を参考に、接続タイプ:IPSec(Cisco)に必要な設定を行い、[OK]をクリックします。

Cisco AnyConnect

以下の画面を参考に、接続タイプ:Cisco AnyConnectに必要な設定を行い、[OK]をクリックします。

SonicWall Mobile Connect

以下の画面を参考に、接続タイプ:SonicWall Mobile Connectに必要な設定を行い、[OK]をクリックします。

F5 Access

以下の画面を参考に、接続タイプ:F5 Accessに必要な設定を行い、[OK]をクリックします。

Pulse Secure

以下の画面を参考に、接続タイプ:Pulse Secureに必要な設定を行い、[OK]をクリックします。

Palo Alto Networks GlobalProtect

以下の画面を参考に、接続タイプ:Palo Alto Networks GlobalProtectに必要な設定を行い、[OK]をクリックします。

Custom VPN

以下の画面を参考に、接続タイプ:Custom VPNに必要な設定を行い、[OK]をクリックします。