Soliton OneGate 管理ガイド
事前設定

事前設定

発行するモード変更や発行プロファイル設定など、招待コード方式およびデバイス予約方式で証明書配付するための事前設定を行います。

ここでは、以下の事前設定について説明します。

共通設定を登録する

招待コード方式およびデバイス予約方式の共通設定を登録します。

  1. OneGate管理メニューの[証明書管理]>[発行プロファイル設定]をクリックする

  2. 画面左上の[共通設定]をクリックする

  3. 証明書の発行モードを選択する

    注意

    各OSの端末では、選択したモードでのみ証明書を発行することができます。

  4. 証明書の有効期限を通知する場合、「証明書の有効期限通知」の[有効にする]をチェックして「通知設定」の内容を指定する

    クライアント証明書の期限通知を送信するタイミングと頻度を設定します。[+]をクリックすると、複数の異なる通知タイミングを設定できます。

    タイミング

    以下の範囲で設定します。

    設定範囲:1〜31日前
    デフォルト:14

    頻度

    以下のいずれかを選択します。

    1. 毎日通知する

    1. 1回通知する

    証明書の有効期限通知は、クライアント証明書の有効期限が近づくと、利用者宛てにメールで通知するように設定できます。
    この通知設定は、テナント全体で適用されます。

    参照

    発行プロファイル設定ごとの通知設定

    以下をご覧ください。

  5. 「iOSプロファイル設定」の内容を指定して[保存]をクリックする

    インストール後のプロファイルの表示名

    プロファイルの表示名を設定します。

    文字数:1~128 文字

    識別子

    プロファイルの識別子を逆ドメイン名表記で設定します。

    文字数:1~128 文字

    使用可能文字:半角英小文字、半角数字、ハイフン(-)、ドット(.)

配付用外部CA証明書をアップロードする

CA証明書ファイルをアップロードして、配付用外部CA証明書として登録しておきます。

CA証明書配付設定を利用すると、OneGateのクライアント証明書取得時に、外部CA証明書を合わせて配付できます。

ポイント

  1. 外部CA証明書を配付しない場合は本操作は不要です。

  1. 外部CA証明書は、クライアント端末がWindowsとiOS、iPadOS(Safari)の場合のみ利用できます。

  1. 「発行プロファイル設定」画面で、[配付用外部CA証明書設定]をクリックする

  2. 画面左上の[登録]をクリックする

  3. [ファイルを選択]をクリックし、登録する証明書ファイルを選択して、[保存]をクリックする

    証明書が登録され、「配付用外部CA証明書設定」画面の一覧に追加されます。

基本設定(発行プロファイル設定の作成)を行う

証明書取得用URL(QRコード)を利用して証明書を発行する際に適用するプロファイル(発行プロファイル設定)を設定します。

証明書設定には、格納先証明書ストアやパスワードレスなどを設定できます。

  1. 「発行プロファイル設定」画面で、[登録]をクリックする

  2. 「基本設定」で必要な項目を設定し、[保存]をクリックする

      

    表示名<必須>

    発行プロファイル設定の表示名を指定します。

    発行先

    発行先のOS種別を指定します。

    1. ここで指定したOSのみ、招待コードおよびデバイス予約が使用可能になります。

    1. 「指定しない」を選択すると、すべてのOSで招待コードおよびデバイス予約を使用できます。

    1. 設定保存後は変更できません。

    証明書の格納先

    証明書の格納先となる証明書ストア(インストール先)を設定します。

    「指定しない」を選択した場合、すべての証明書ストアに対して証明書を発行できます。

    パスワードレス

    チェックすると、URLスキームによる証明書発行時に利用者パスワードの入力がスキップされます。

    ※設定保存後は変更できません。

    ドメイン名

    発行先に、「Windows版 Soliton KeyManager (Windows SKM)」を選択した場合に設定可能になります。

    Windowsドメイン名を指定します。

      

    注意

    1. 「証明書の格納先」を指定する場合、OSと格納先ごとに別の発行プロファイル設定を作成してください。

    1. 「パスワードレス」を有効にする場合、利用者の証明書発行操作を簡略化できますが、セキュリティレベルが低下します。

      

    参照

    設定項目の詳細確認

    以下をご覧ください。

クライアント証明書のインストール先について

クライアント証明書のインストール先は、証明書の利用用途により異なります。

  

Windowsの場合

証明書の取得には、KeyManagerを利用します。

コンピューターストア

  1. Wi-Fi EAP-TLS認証(コンピューター認証※1※2)

  1. PasswordManager(Windowsサインイン)

ユーザーストア

  1. Wi-Fi EAP-TLS認証(ユーザー認証※1)

  1. 一般的なVPNの証明書認証

  1. ブラウザーの証明書認証

  1. PasswordManager(Web/App)、Secure BrowserなどのSoliton製アプリ

※1:

Windowsサプリカントの仕様上、以下のタイミングでネットワーク接続を行うことを確認しています。

「ユーザー認証」の場合はWindowsサインイン後にネットワーク接続されます。サインアウトで切断されます(Active Directory環境の場合キャッシュログオンとなります)。

「コンピューター認証」の場合はPCが起動していればWindowsサインイン状態にかかわらずネットワーク接続されます。

Active DirectoryのサインインやWindowsサインイン前の端末への外部からの接続など(リモートデスクトップ接続、資産管理ツールなど)、常時ネットワーク接続が必要な場合は、「コンピューター認証」を推奨します。詳細はMicrosoft社にお問い合わせください。

※2:

Windowsの仕様上コンピュータストアに証明書をインストールする場合、管理者権限が必要です。

権限がないユーザーの場合はユーザーアカウント制御(UAC)画面が表示されますので、権限のあるユーザーアカウントを入力してください。

  

Mac

証明書の取得には、KeyManagerを利用します。

システム

キーチェーン名:システム

  1. Wi-Fi EAP-TLS認証

  1. 一般的なVPNの証明書認証

  1. ブラウザーの証明書認証

ユーザー

キーチェーン名:ログイン

  1. Wi-Fi EAP-TLS認証

  1. 一般的なVPNの証明書認証

  1. ブラウザーの証明書認証

  

iOS/iPadOS

KeyManagerのほか、Safariやサードパーティ製VPNプロファイルからも証明書をインストールできます。

OS標準ストア

(プロファイルとデバイス管理内)

Safariから取得した場合のインストール先となります。

  1. Wi-Fi EAP-TLS認証

  1. Safariの証明書認証

  1. OS標準VPN(IPSec)の証明書認証

  1. MS AuthenticatorなどのOS標準ストア参照可能なアプリ

  1. SSL-VPN(VPNプロファイル対応時のみ)

KeyManagerアプリ内

KeyManagerから取得した場合のインストール先となります。

  1. PasswordManager、Secure BrowserなどのSoliton製アプリ

サードパーティ製VPNアプリ内

  1. SSL-VPN

    (VPNプロファイルに非対応の場合はp12ファイルを手動インストール)

  

Android

KeyManagerのほか、サードパーティ製VPNプロファイルからも証明書をインストールできます。

Wi-Fi

KeyManagerから取得した場合のインストール先となります。

  1. Wi-Fi EAP-TLS認証

    (ダウンロードしたCA証明書を手動で「Wi-Fi」にインストールが必要)

VPNとアプリ

KeyManagerから取得した場合のインストール先となります。

  1. OS標準VPN(IPSec)の証明書認証

  1. ブラウザの証明書認証

  1. PasswordManager、Secure BrowserなどのSoliton製アプリ

  1. MS AuthenticatorなどのOS標準ストア参照可能なアプリ

サードパーティ製VPNアプリ内

  1. SSL-VPN

    (p12ファイルを手動インストール)

証明書設定を行う

先に基本設定を保存した発行プロファイル設定の編集画面を開き、証明書設定を行います。

証明書設定では、クライアント証明書のサブジェクト、プリンシパル名、有効期限などを設定します。

  1. 「発行プロファイル設定」画面で、先ほど基本設定を保存した発行プロファイル設定の表示名をクリックする

  2. 「詳細設定」の[証明書設定]をクリックする

  3. 必要な項目を設定し、[OK]をクリックする

      

    国名(C)

    証明書サブジェクトの国名選択します。

    都道府県名(S)

    証明書サブジェクトの都道府県名を設定します。

    市区町村名(L)

    証明書サブジェクトの市区町村名を設定します。

    組織名(O)

    証明書サブジェクトの組織名を設定します。

    部署名(OU)

    証明書サブジェクトの部署名を設定します。

    Emailアドレス

    証明書サブジェクトのEmailアドレスを設定するかどうかを選択します。

    指定しない:Emailアドレス(E)は設定されません。
    利用者のメールアドレス:利用者のメールアドレスが自動で設定されます。

    プリンシパル名

    証明書サブジェクト別名のプリンシパル名を設定するかどうかを選択します。

    指定しない:プリンシパル名は設定されません。
    利用者のログイン名:利用者のログイン名が自動で設定されます(ログイン名がUPN形式の場合のみ)。
    利用者のログイン名@+UPNサフィックス:利用者のログイン名と「UPNサフィックス」に入力した値を@で連結した値が設定されます。

    鍵長

    鍵長を選択します。

    1. 4096(推奨)

    1. 2048(非推奨)

    証明書の有効期限

    年数または日数を選択して、証明書の有効期限を設定します。
    設定可能範囲
    ・年数:1~10年
    ・日数:1~3650日
    デフォルト:5

     

    各OS版SKMの証明書更新方法の違い

    招待コードを使用するSoliton KeyManagerのバージョンによって、証明書の更新方法が異なります。

    Android版
    Soliton KeyManager

    1. V2.0.11以降

      証明書の更新を行う際、新しい秘密鍵を使用して証明書の取得を行います。

    mac版
    Soliton KeyManager

    1. v2.0.9以降

      証明書の更新を行う際、新しい秘密鍵を使用して証明書の取得を行います。

    iOS版
    Soliton KeyManager

    1. v2.0.11以降

      証明書の更新を行う際、新しい秘密鍵を使用して証明書の取得を行います。

    1. v2.0.10以前

      プロファイルで鍵長が変更された場合は、前回と同じ秘密鍵を使用するため無視されます。
      更新はできますが、鍵長は変更されません。
      新しい鍵長で証明書を取得したい場合は、新規で申請を行う必要があります。

    Windows版
    Soliton KeyManager

    1. v2.2.2以降

      証明書の更新を行う際、新しい秘密鍵を使用して証明書の取得を行います。
      [設定]>[詳細設定]>「更新時に既存のキーセットを利用する」が有効の場合は、v2.2.1以前の動作となります。

    1. v2.2.1以前またはv2.0.11以降

      プロファイルで鍵長が変更された場合は、利用開始手続き時に更新が中断します。
      鍵長を変更した場合、証明書は更新できません。新規に申請を行う必要があります。

外部CA証明書の配付設定を行う

OneGateのクライアント証明書取得時に、外部CA証明書を合わせて配付する場合、発行プロファイル設定で配付する外部CA証明書を選択します。

外部CA証明書を配付しない場合、本設定は不要です。

ポイント

外部CA証明書は、クライアント端末がWindowsとiOS/iPadOS(Safari)の場合のみ配付できます。

  1. 「発行プロファイル設定編集」画面で、[CA証明書配付設定]をクリックする

  2. [追加]をクリックする

  3. 配付するCA証明書をチェックし、[OK]をクリックする

  4. [OK]をクリックする

Wi-Fi設定を行う

Wi-Fi設定を利用する場合に設定します。

Wi-Fi設定を利用すると、発行プロファイル設定を利用し証明書配付時にWi-Fi設定もあわせて配付できます。

ポイント

Wi-Fi設定は、クライアント端末がWindows、iOSまたはiPadOS(Safari)の場合のみ利用できます。

  1. 「発行プロファイル設定編集」画面で、「詳細設定」の[Wi-Fi設定]をクリックする

  2. [追加]をクリックする

  3. 以下の項目を設定し、[OK]をクリックする

      

    有効/無効

    「Wi-Fi設定の配付を許可する」をチェックすると、発行プロファイル設定を使って証明書を発行する際にWi-Fi設定を配付できます。

    SSID<必須>

    Wi-FiアクセスポイントのSSIDを設定します。

    公開/非公開

    SSIDが非公開の場合、「非公開のワイヤレスネットワークに接続する」をチェックします。

    セキュリティの種類

    セキュリティの種類を選択します。

    信頼するサーバー証明書の名前※

    EPS-edgeを使用する場合、「*.<テナントコード>.ids.soliton-ods.jp」を指定します。

    iOSで初回接続時のサーバー証明書の確認を省略できます。

      

    ※:

    EPS-edge以外のRADIUSサーバーを利用する場合、RADIUSサーバーのサーバー証明書のCNまたはSANsのホスト名部分を「*」に変更して登録します。

    例:「hostname.soliton.co.jp」の場合は「*.soliton.co.jp」と入力します。

      

    「Wi-Fi設定」画面に戻ります。

  4. [OK]をクリックする

VPN設定を行う

証明書発行時に配付するVPNプロファイルについて設定します。

VPN設定を配付しない場合は、本設定は不要です。

ポイント

VPN設定は、クライアント端末がiOSまたはiPadOS(Safari)の場合のみ利用できます。

  1. 「発行プロファイル設定編集」画面で、[VPN設定]をクリックする

  2. [追加]をクリックし、一覧から接続タイプを選択する

    選択した接続タイプごとの「VPN設定追加」画面が表示されます。

  3. 接続タイプごとに必要な項目を設定する

    VPN接続タイプごとの設定フォームは以下のとおりです。

    L2TP

      

    IPSec(Cisco)

      

    Cisco AnyConnect

      

    SonicWall Mobile Connect

      

    F5 Access

      

    Pulse Secure

      

    Palo Alto Networks GlobalProtect

      

    Custom VPN

  4. 「VPN設定」画面に戻ったら、[OK]をクリックする

証明書配付の設定(招待コード/デバイス予約)

以上で「発行プロファイル設定」の作成は完了です。
最後に、作成したプロファイルを使用して、証明書配付の設定を行います。

参照

証明書配付の設定