5.1. クライアント証明書認証の設定をする

FRAポータルにて設定するクライアント証明書認証の利用手順について説明します。
GlobalProtectポータルとGlobalProtectゲートウェイの設定変更が必要です。

5.1.1. 注意事項、前提条件

  • 各変更手順にて注意事項・前提条件をご確認ください。

  • Fsecコンソールに表示されるクライアント証明書のCA証明書の有効期限が切れるとクライアント証明書認証が利用できなくなるので、ご注意ください。
    有効期限が切れる前に 5.1.5. クライアント証明書のCA証明書を変更する を行ってください。
  • クライアント端末へクライアント証明書のCA証明書のインストールが必要になります。

5.1.2. 事前に準備いただくもの

5.1.3. お申込みの流れ、全体説明

図5.1.3.1. 設定変更の流れ

5.1.4. クライアント証明書認証の設定をする

5.1.4.1. 注意事項、前提条件

  • 設定は必ず0系/1系(東西冗長を利用している場合は各エリアの0系/1系)で同じ設定にしてください。
  • 設定変更後、0系/1系で必ずコミットを実施してください。
  • 設定変更後、FRAクライアントを再接続すると設定が反映されます。

5.1.4.2. 事前に準備いただくもの

なし

5.1.4.3. クライアント証明書プロファイルの作成手順

  1. SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。

  2. ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。
    ②[クライアント証明書認証]をクリックします。

図5.1.4.3.1 サービスグループ選択

  1. [新規追加]ボタンを押下します。

図5.1.4.3.2 [新規追加]ボタン

  1. 「クライアント証明書認証新規追加」画面で必要な情報を入力します。入力が完了したら[確認]ボタンを押下します。

図5.1.4.3.3 クライアント証明書認証新規追加

表 5.1.4.3.1. クライアント証明書認証新規追加
項番 項目 説明 変更可否
1 証明書プロファイル名 証明書プロファイルの名前を入力してください。半角英数記号(-_) のみ使用可能です。 ×
2 説明 本設定に任意の説明文を登録することができます。説明文は半角英数記号(-_) のみ使用可能です。 ×
3 お客さまで発行したクライアント証明書のCA証明書
[ファイル追加]ボタンを押下し、お客さまで発行したクライアント証明書のCA証明書のファイルを選択してください。
1つのクライアント証明書に複数のCA証明書が紐づいている場合、すべてのCA証明書のファイルを追加してください。
証明書ファイルの拡張子は「.crt」または「.cer」としてください。
証明書ファイルのフォーマット形式は、「Base 64 encoded X.509」としてください。
×
  1. 入力内容の確認を行い、[実行]ボタンを押下します。

図5.1.4.3.4 設定内容の確認

  1. [OK]ボタンを押下します。

図5.1.4.3.5 申し込み完了

  1. 「クライアント証明書認証」画面で証明書プロファイルが作成されたことを確認します。

図5.1.4.3.6 申し込み完了後のクライアント証明書認証画面

  1. 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。

5.1.4.4. Global Protectポータルの設定変更手順

  1. FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。

  2. ①[Network]をクリックします。
    ②GlobalProtectの[ポータル]をクリックします。
    ③[GP-Portal]をクリックします。

図5.1.4.4.1 ポータル画面

  1. ①[認証]をクリックします。
    ②クライアント認証の設定画面で[証明書プロファイル]をNoneから選択可能な認証プロファイルを選択します。

図5.1.4.4.2 GlobalProtectポータルの設定(認証)

  1. [認証]にて変更対象のクライアント認証をクリックするとクライアント認証の設定が表示されます。
    [ユーザー資格情報またはクライアント証明書を使用した認証を許可]をNoに変更し[OK]ボタンを押下します。

図5.1.4.4.3 クライアント認証

注釈

  • クライアント認証の変更は、認証プロファイルとユーザー資格情報またはクライアント証明書を使用した認証を許可の変更のみが可能です。その他の項目は変更しないでください。

5.1.4.5. Global Protectゲートウェイの設定変更手順

  1. ①[Network]をクリックします。
    ②GlobalProtectの[ゲートウェイ]をクリックします。
    ③[GP-GW]をクリックします。

図5.1.4.5.1 ゲートウェイ画面

  1. ①[認証]をクリックします。
    ②クライアント認証の設定画面で[証明書プロファイル]をNoneから選択可能な認証プロファイルを選択します。

図5.1.4.5.2 GlobalProtectゲートウェイの設定(認証)

  1. [認証]にて変更対象のクライアント認証をクリックするとクライアント認証の設定が表示されます。
    [ユーザー資格情報またはクライアント証明書を使用した認証を許可]をNoに変更し[OK]ボタンを押下します。

図5.1.4.5.3 クライアント認証の設定

注釈

  • クライアント認証の変更は、ユーザー資格情報またはクライアント証明書を使用した認証を許可の変更のみが可能です。その他の項目は変更しないでください。
  1. 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。

5.1.5. クライアント証明書のCA証明書を変更する

5.1.5.1. 注意事項、前提条件

  • 設定は必ず0系/1系(東西冗長を利用している場合は各エリアの0系/1系)で同じ設定にしてください。
  • 設定変更後、0系/1系で必ずコミットを実施してください。
  • 設定変更後、FRAクライアントを再接続すると設定が反映されます。

5.1.5.2. 事前に準備いただくもの

なし

5.1.5.3. クライアント証明書プロファイルの作成手順

  1. SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。

  2. ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。
    ②[クライアント証明書認証]をクリックします。

図5.1.5.3.1 サービスグループ選択

  1. [新規追加]ボタンを押下します。

図5.1.5.3.2 [新規追加]ボタン

  1. 「クライアント証明書認証新規追加」画面で必要な情報を入力します。入力が完了したら[確認]ボタンを押下します。

図5.1.5.3.3 クライアント証明書認証新規追加

表 5.1.5.3.1. クライアント証明書認証新規追加
項番 項目 説明
1 証明書プロファイル名 証明書プロファイルの名前を入力してください。半角英数記号(-_) のみ使用可能です。
2 説明 本設定に任意の説明文を登録することができます。説明文は半角英数記号(-_) のみ使用可能です。
3 お客さまで発行したクライアント証明書のCA証明書
[ファイル追加]ボタンを押下し、お客さまで発行したクライアント証明書のCA証明書のファイルを選択してください。
1つのクライアント証明書に複数のCA証明書が紐づいている場合、すべてのCA証明書のファイルを追加してください。
証明書ファイルの拡張子は「.crt」または「.cer」としてください。
証明書ファイルのフォーマット形式は、「Base 64 encoded X.509」としてください。
  1. 入力内容の確認を行い、[実行]ボタンを押下します。

図5.1.5.3.4 設定内容の確認

  1. [OK]ボタンを押下します。

図5.1.5.3.5 申し込み完了

  1. 「クライアント証明書認証」画面で証明書プロファイルが作成されたことを確認します。

図5.1.5.3.6 申し込み完了後のクライアント証明書認証画面

  1. 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。

5.1.5.4. Global Protectポータルの設定変更手順

  1. FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。

  2. ①[Network]をクリックします。
    ②GlobalProtectの[ポータル]をクリックします。
    ③[GP-Portal]をクリックします。

図5.1.5.4.1 ポータル画面

  1. ①[認証]をクリックします。
    ②クライアント認証の設定画面で[証明書プロファイル]を新しく作成した認証プロファイルに変更します。

図5.1.5.4.2 GlobalProtectポータルの設定(認証)

5.1.5.5. Global Protectゲートウェイの設定変更手順

  1. ①[Network]をクリックします。
    ②GlobalProtectの[ゲートウェイ]をクリックします。
    ③[GP-GW]をクリックします。

図5.1.5.5.1 ゲートウェイ画面

  1. ①[認証]をクリックします。
    ②クライアント認証の設定画面で[証明書プロファイル]を新しく作成した認証プロファイルに変更します。

図5.1.5.5.2 GlobalProtectゲートウェイの設定(認証)

  1. 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。

5.1.6. クライアント証明書のCA証明書の有効期限を確認する

5.1.6.1. 注意事項、前提条件

なし

5.1.6.2. 事前に準備いただくもの

なし

5.1.6.3. クライアント証明書のCA証明書の有効期限確認手順

  1. SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。

  2. ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。
    ②[クライアント証明書認証]をクリックします。

図5.1.6.3.1 サービスグループ選択

  1. 「クライアント証明書認証」画面でクライアント証明書のCA証明書の有効期限を確認します。

図5.1.6.3.2 クライアント証明書認証画面

5.1.7. クライアント証明書プロファイルを削除する

5.1.7.1. 注意事項、前提条件

なし

5.1.7.2. 事前に準備いただくもの

なし

5.1.7.3. クライアント証明書プロファイルの削除手順

  1. SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。

  2. ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。
    ②[クライアント証明書認証]をクリックします。

図5.1.7.3.1 サービスグループ選択

  1. 「クライアント証明書認証」画面で削除する証明書プロファイルの[操作]プルダウンメニューより、[削除]をクリックします。

図5.1.7.3.2 [削除]ボタン

  1. 内容を確認し、 [上記について確認しました。]にチェックを入れ、[実行]ボタンを押下します。

図5.1.7.3.3 クライアント証明書認証削除の確認

  1. [OK]ボタンを押下します。

図5.1.7.3.4 削除お申し込み完了

  1. 「クライアント証明書認証」画面で削除したい証明書プロファイルが削除されたことを確認します。

図5.1.7.3.5 削除お申し込み完了後のクライアント証明書認証画面

  1. 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。