Soliton OneGate 管理ガイド
クライアント証明書(利用者)発行

クライアント証明書(利用者)発行

PKCS#12形式のクライアント認証用の証明書ファイルを作成します。

証明書ファイルの発行には以下の2つの方法が用意されています。

PKCS#12ファイルのクライアント証明書を発行

利用者を指定して、「UserClientCert_{CN}.p12」というファイル名でクライアント証明書をダウンロードします。

  1. 「証明書発行」画面で、「クライアント証明書 (利用者)発行」の[PKCS#12ファイルのクライアント証明書を発行]をクリックする

  2. 「名前(CN)」の選択画面表示アイコンをクリックする

  3. 対象の利用者を選択し、[OK]をクリックする

  4. 必要な項目を設定し、[発行]をクリックする

    1. パスフレーズは証明書のインストール時に利用するためコピーなどして控えてください。

      

    名前(CN)

    証明書を発行する利用者を選択すると、利用者のログイン名が自動的にCNの値に設定されます。

    国名(C)

    証明書サブジェクトの国名を選択します。

    都道府県名(S)

    証明書サブジェクトの都道府県名を設定します。

    市区町村名(L)

    証明書サブジェクトの市区町村名を設定します。

    組織名(O)

    証明書サブジェクトの組織名を設定します。

    部署名(OU)

    証明書サブジェクトの部署名を設定します。

    Emailアドレス

    証明書サブジェクトのEmailアドレスを設定するかどうかを選択します。

    指定しない:Emailアドレスは設定されません
    利用者のメールアドレス:利用者のメールアドレスが自動で設定されます。
    デフォルト:指定しない

    プリンシパル名

    証明書サブジェクト別名のプリンシパル名を設定するかどうかを選択します。

    指定しない:プリンシパル名は設定されません
    利用者のログイン名:利用者のログイン名が自動で設定されます。ログイン名がUPN形式である必要があります
    利用者のログイン名@+UPNサフィックス:利用者のログイン名と「UPNサフィックス」に入力した値を@で付加した値が設定されます。
    デフォルト:指定しない

    UPNサフィックス

    「プリンシパル名」に「利用者のログイン名@+UPNサフィックス」を選択した場合、UPNサフィックスの値を任意に設定します。

    公開鍵暗号

    公開鍵暗号で使用する暗号方式です。
    ※「RSA」固定です。

    鍵長

    RSA 鍵のサイズが表示されます。
    ・「2048 (非推奨)」
    ・「3072」
    ・「4096 (推奨)」
    デフォルト:4096 (推奨)

    キー使用法

    証明書のキーの使用方法です。
    ※「Digital Signature, Key Encipherment (a0)」固定です。

    拡張キー使用法

    拡張キーの使用法を選択します。
    ・TLS Webクライアント認証(1.3.6.1.5.5.7.3.2)
    ・電子メール保護 (1.3.6.1.5.5.7.3.4)
    ・IPSec保護 (1.3.6.1.5.5.8.2.2)
    ・任意の目的 (2.5.29.37.0)
    デフォルト:TLS Webクライアント認証(1.3.6.1.5.5.7.3.2)
    ※TLS Webクライアント認証(1.3.6.1.5.5.7.3.2)は必須

    証明書の有効期限

    クライアント証明書の有効期限を年数または日数で設定します。
    設定可能範囲:
    年数指定:1~10年
    日数指定:1~3650日
    デフォルト:年数指定:5

    CA証明書を含める

    発行する証明書ファイルにCA証明書を含める場合は、「CA証明書の格納」をチェックします。
    デフォルト:チェックなし

    発行先詳細

    発行先の詳細を任意に設定します。

    パスフレーズ

    証明書のインストール時に必要な証明書パスフレーズを設定します。
    文字数: 最大64文字

    パスフレーズ(確認)

    パスフレーズ欄に入力したものと同じパスフレーズを、確認のために再度入力します。

PKCS#12ファイルのクライアント証明書を発行(一括)

証明書の発行対象利用者情報をCSVファイルでインポートして、クライアント証明書を一括発行します。

インポート用CSVファイルを用意する

ヘッダー行が記載されたCSVファイルをダウンロードして、証明書の発行対象利用者のログイン名とパスフレーズを記載したファイルを作成します。

  1. 「証明書発行」画面で、「クライアント証明書(利用者)発行」の[PKCS#12ファイルのクライアント証明書を発行(一括)]をクリックする

  2. [インポート用CSVダウンロード]をクリックする

    インポート用のCSVファイルの元となる「OneGateClientCertificateImport.csv」がダウンロードされます。

  3. Excelなどの外部ツールでダウンロードされたファイルを開き、対象の利用者の以下の情報をすべて入力して保存する

      

    TARGET(処理対象ログイン名)<必須>

    証明書一括発行の対象となる利用者のログイン名を設定します。

    PASSPHRASE(PKCS#12形式証明書のパスフレーズ)
    <必須>

    証明書パスフレーズを設定します。

    TARGET_DETAIL(発行先詳細)

    証明書の発行先詳細を設定します。

クライアント証明書を一括発行する

  1. 「クライアント証明書一括発行」画面の「文字エンコード」でファイル形式を選択し、[ファイルの選択]をクリックしてCSVファイルを選択する

      

    ポイント

    CSVファイルは、Shift_JISまたはUTF-8形式で保存してください。

  2. 必要な項目を設定し、[発行]をクリックする

      

    インポートファイル

    文字エンコード

    インポートファイルの文字エンコードを選択します。
    ・Shift_JIS
    ・UTF-8 
    デフォルト:Shift_JIS

    インポートファイル

    [ファイルを選択]をクリックし、作成したCSVファイルを指定します。

      

    証明書設定

    名前(CN)

    利用者のログイン名が自動的にCNの値に設定されます。

    国名(C)

    証明書サブジェクトの国名を選択します。

    都道府県名(S)

    証明書サブジェクトの都道府県名を設定します。

    市区町村名(L)

    証明書サブジェクトの市区町村名を設定します。

    組織名(O)

    証明書サブジェクトの組織名を設定します。

    部署名(OU)

    証明書サブジェクトの部署名を設定します。

    Emailアドレス

    証明書サブジェクトのEmailアドレスを設定するかどうかを選択します。

    指定しない:Emailアドレスは設定されません
    利用者のメールアドレス:利用者のメールアドレスが自動で設定されます。
    デフォルト:指定しない

    プリンシパル名

    証明書サブジェクト別名のプリンシパル名を設定するかどうかを選択します。

    指定しない:プリンシパル名は設定されません
    利用者のログイン名:利用者のログイン名が自動で設定されます。ログイン名がUPN形式である必要があります
    利用者のログイン名@+UPNサフィックス:利用者のログイン名と「UPNサフィックス」に入力した値を@で付加した値が設定されます。
    デフォルト:指定しない

    UPNサフィックス

    「プリンシパル名」に「利用者のログイン名@+UPNサフィックス」を選択した場合、UPNサフィックスの値を任意に設定します。

    公開鍵暗号

    公開鍵暗号で使用する暗号方式です。
    ※「RSA」固定です。

    鍵長

    RSA 鍵のサイズが表示されます。
    ・「2048 (非推奨)」
    ・「3072」
    ・「4096 (推奨)」
    デフォルト:4096 (推奨)

    キー使用法

    証明書のキーの使用方法です。
    ※「Digital Signature, Key Encipherment (a0)」固定です。

    拡張キー使用法

    拡張キーの使用法を選択します。
    ・TLS Webクライアント認証(1.3.6.1.5.5.7.3.2)
    ・電子メール保護 (1.3.6.1.5.5.7.3.4)
    ・IPSec保護 (1.3.6.1.5.5.8.2.2)
    ・任意の目的 (2.5.29.37.0)
    デフォルト:TLS Webクライアント認証(1.3.6.1.5.5.7.3.2)
    ※TLS Webクライアント認証(1.3.6.1.5.5.7.3.2)は必須

    証明書の有効期限

    クライアント証明書の有効期限を年数または日数で設定します。
    設定可能範囲:
    年数指定:1~10年
    日数指定:1~3650日
    デフォルト:年数指定:5

    CA証明書を含める

    発行する証明書ファイルにCA証明書を含める場合は、「CA証明書の格納」をチェックします。
    デフォルト:チェックなし

証明書ダウンロード

「PKCS#12ファイルのクライアント証明書を発行(一括)」を利用したクライアント証明書の一括発行ログと証明書ファイルをダウンロードできます。

さらに、一括発行ログをもとに、発行結果(成功/中止/エラー)をダウンロードすることもできます。

  1. 「証明書発行」画面で、「クライアント証明書(利用者)発行」の[PKCS#12ファイルのクライアント証明書を発行(一括)]行に表示された[証明書ダウンロード]をクリックする

  2. 必要に応じて、クライアント証明書一括発行ログの確認、または証明書のダウンロードを行う

ポイント

発行状況について

発行状況は、プログレスバー内に以下の5つの状況で表示されます。

  

発行待ち

一括発行がまだ行われていない状態です。プログレスバーには、「発行待ち:<件数>」と表示されます。

プログレスバーの下には、「クライアント証明書一括発行の中止」が表示され、クリックすると一括発行を中止できます。

発行中

一括発行中で、プログレスバーには、発行したものが「成功:<件数>」、未発行のものは「発行中:<件数>」で表示されます。

プログレスバーの下には、「クライアント証明書一括発行の中止」が表示され、クリックすると一括発行を中止できます。

成功

一括発行がすべて正常に完了した状態です。

プログレスバーには「成功:<件数>」と表示され、[証明書のダウンロード]をクリックすると証明書をダウンロードできます。

失敗

一括発行の際に、何らかの理由で1つ以上失敗した状態です。

プログレスバーには、「成功: <件数>」、「失敗: <件数>」と表示されます。

[証明書のダウンロード]をクリックすると一括発行に成功した証明書をダウンロードできます。

中止

「クライアント証明書一括発行の中止」をクリックし、一括発行を中断した状態です。

プログレスバーには、「成功: <件数>」、中止により未発行のものは「中止: <件数>」、失敗したものには「失敗: <件数>」と表示されます。

[証明書のダウンロード]をクリックすると一括発行に成功した証明書をダウンロードできます。

クライアント証明書一括発行ログを確認・ダウンロードする

  1. 「証明書ダウンロード」画面で[クライアント証明書一括発行ログ]をクリックする

    一括発行の実行結果が表示されます。

  2. ログの内容を確認する

    成功例

      

    失敗/中止例

      

    処理登録日時

    一括発行の処理を登録した日時が表示されます。

    実行開始日時

    一括発行の処理を開始した日時が表示されます。

    実行終了日時

    一括発行の処理を終了した日時が表示されます。

    実行状況

    一括発行の実行状況が表示されます。

    実行結果のダウンロード

    実行状況により表示される項目が変わります。

    1. 一括発行結果CSV
      「実行状況」が「成功」、「失敗」、「中止」の場合に表示されます。

    1. 再インポート用CSV
      「実行状況」が「失敗」、「中止」の場合に表示されます。

    1. エラーログ
      「実行状況」が「失敗」、「中止」の場合に表示されます。

    エラー内容

    実行状況が「中止」または「失敗」の場合に、エラーの概要が表示されます。

  3. 必要に応じて、実行結果をダウンロードする

    以下の情報をダウンロードできます。

    一括発行結果CSV

    [一括発行結果CSV]をクリックすると、一括発行に成功した証明書ファイルのリストがCSVファイル(result_x.csv)でダウンロードできます。

    項目は以下のとおりです。

    CERT_FILE

    証明書のファイル名

    TARGET

    利用者のログイン名

    CERT_SERIAL_NUMBER

    クライアント証明書のシリアル番号

      

    再インポート用CSV

    [再インポート用CSV]をクリックすると、一括発行時にインポートした利用者情報のうち、中止またはエラーによる未発行分のリストをCSVファイル(retry_import_x.csv)でダウンロードできます。

    再度、一括発行を行う場合は、「クライアント証明書一括発行」画面で「再インポート用CSV」をインポートファイルに指定することで一括発行を途中から再開できます。

    TARGET

    利用者のログイン名

    PASSPHRASE

    証明書パスフレーズ

    TARGET_DETAIL

    証明書の発行先詳細

      

    エラーログ

    [エラーログ]をクリックすると、一括発行処理中に発生したエラーのログファイル(error_log_x.log)をダウンロードできます。

証明書をダウンロードする

発行された証明書をダウンロードします。

  1. 「証明書ダウンロード」画面で[証明書のダウンロード]をクリックする

    発行された証明書がzipファイルにまとめられてダウンロードされます。