5.1. クライアント証明書認証の設定をする¶
5.1.1. 注意事項、前提条件¶
各変更手順にて注意事項・前提条件をご確認ください。
- Fsecコンソールに表示されるクライアント証明書のCA証明書の有効期限が切れるとクライアント証明書認証が利用できなくなるので、ご注意ください。有効期限が切れる前に 5.1.5. クライアント証明書のCA証明書を変更する を行ってください。
- 利用者端末へクライアント証明書のインストールが必要になります。
- 以下の手順の変更を実施する前に利用者端末にクライアント証明書をインストールしておく必要があります。
5.1.2. 事前に準備いただくもの¶
- お客さまが発行したクライアント証明書に対応したCA証明書
5.1.3. お申込みの流れ、全体説明¶
図5.1.3.1. 設定変更の流れ
5.1.4. クライアント証明書認証の設定をする¶
5.1.4.1. 注意事項、前提条件¶
- 設定は必ず0系/1系(東西冗長を利用している場合は各エリアの0系/1系)で同じ設定にしてください。
- 設定変更後、0系/1系で必ずコミットを実施してください。
- 設定変更後、FRAクライアントを再接続すると設定が反映されます。
5.1.4.2. 事前に準備いただくもの¶
なし
5.1.4.3. クライアント証明書プロファイルの作成手順(FRAが発行する証明書を利用する場合))¶
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
- ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。②[クライアント証明書認証]をクリックします。
図5.1.4.3.1 サービスグループ選択
- [新規追加]ボタンを押下します。
図5.1.4.3.2 [新規追加]ボタン
- 「クライアント証明書認証新規追加」画面で必要な情報を入力します。入力が完了したら[確認]ボタンを押下します。
図5.1.4.3.3 クライアント証明書認証新規追加
| 項番 | 項目 | 説明 | 変更可否 |
| 1 | 証明書プロファイル名 | 証明書プロファイルの名前を入力してください。半角英数記号(-_) のみ使用可能です。 | × |
| 2 | 説明 | 本設定に任意の説明文を登録することができます。説明文は半角英数記号(-_) のみ使用可能です。 | × |
| 3 | 認証時に使用する証明書ファイルの発行元 | 「サービス側で発行する証明書ファイルを利用する」を選択してください。
|
× |
- 入力内容の確認を行い、[実行]ボタンを押下します。
図5.1.4.3.4 設定内容の確認
- [OK]ボタンを押下します。
図5.1.4.3.5 申し込み完了
- 「クライアント証明書認証」画面で証明書プロファイルが作成されたことを確認します。
図5.1.4.3.6 申し込み完了後のクライアント証明書認証画面
- 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。
5.1.4.4. クライアント証明書のダウンロード(FRAが発行する証明書を利用する場合)¶
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
- ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。②[クライアント証明書認証]をクリックします。
図5.1.4.4.1 サービスグループ選択
- 「クライアント証明書認証」画面で作成した証明書プロファイルの[操作]プルダウンメニューより、[ダウンロード]をクリックします。
図5.1.4.4.2 [クライアント証明書のダウンロード]ボタン
- 「クライアント証明書認証ダウンロード」画面で、証明書インストール時に使用するパスフレーズを設定します。パスフレーズは以下条件を満たしてください。①8~31文字で入力してください②大文字英字/小文字英字/数字を最低1文字入力してください。
図5.1.4.4.3 クライアント証明書認証ダウンロード
- [ダウンロード]ボタンを押下します。
図5.1.4.4.4 [ダウンロード]ボタン
- ご利用端末の任意の場所にクライアント証明書ファイルを保存してください。Edgeブラウザでアクセスしている場合、ダウンロード通知の「名前を付けて保存」ボタンを押下後、保存先を選択して「保存」ボタン押下で証明書ファイルを保存します。
図5.1.4.4.5 [名前を付けて保存]ボタン
図5.1.4.4.6 保存ボタン
- ダウンロードしたクライアント証明書をダブルクリックします。
図5.1.4.4.7 クライアント証明書をダブルクリック
- [開く]ボタンを押下します。
図5.1.4.4.8 クライアント証明書を開く
- [証明書のインストール]をクリックします。
図5.1.4.4.9 クライアント照明書のインストール
- 現在のユーザーにチェックをし、[次へ]ボタンを押下します。
図5.1.4.4.10 [次へ]ボタンを押下
- 秘密キーのパスワード入力が必要になります。①手順4.で設定したパスフレーズを入力してください②すべての拡張プロパティを含めるにチェックを入れてください。③[次へ]ボタンを押下します。
図5.1.4.4.11 秘密キーの設定
- 証明書をすべて次のストアに配置する(P)にチェックをし、[参照]ボタンを押下します。
図5.1.4.4.12 [参照]ボタンを押下
- 個人を選択し[OK]ボタンを押下します。
図5.1.4.4.13 個人を選択
- [次へ]ボタンを押下します。
図5.1.4.4.14 [次へ]ボタンを押下
- [完了]ボタンを押下します。
図5.1.4.4.15 [完了]ボタンを押下
- 正常に完了した旨のメッセージが表示されます。[OK]ボタンを押下しインストールを完了します。
図5.1.4.4.16 インストール完了メッセージ
5.1.4.5. クライアント証明書プロファイルの作成手順(お客さまが発行する証明書を利用する場合)¶
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
- ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。②[クライアント証明書認証]をクリックします。
図5.1.4.5.1 サービスグループ選択
- [新規追加]ボタンを押下します。
図5.1.4.5.2 [新規追加]ボタン
- 「クライアント証明書認証新規追加」画面で必要な情報を入力します。入力が完了したら[確認]ボタンを押下します。
図5.1.4.5.3 クライアント証明書認証新規追加
| 項番 | 項目 | 説明 | 変更可否 |
| 1 | 証明書プロファイル名 | 証明書プロファイルの名前を入力してください。半角英数記号(-_) のみ使用可能です。 | × |
| 2 | 説明 | 本設定に任意の説明文を登録することができます。説明文は半角英数記号(-_) のみ使用可能です。 | × |
| 3 | 認証時に使用する証明書ファイルの発行元 | 「お客さまで発行する証明書ファイルを利用する」を選択してください。お客様で発行したクライアント証明書のCA証明書の「+ファイル追加」ボタンを押下し、CA証明書のファイルを追加します。1つのクライアント証明書に複数のCA証明書が紐づいている場合、すべてのCA証明書のファイルを追加してください。証明書ファイルの拡張子は「.crt」または「.cer」としてください。
|
× |
- 入力内容の確認を行い、[実行]ボタンを押下します。
図5.1.4.5.4 [実行]ボタン
- [OK]ボタンを押下します。
図5.1.4.5.5 申し込み完了
- 「クライアント証明書認証」画面で証明書プロファイルが作成されたことを確認します。
図5.1.4.5.6 申し込み完了後のクライアント証明書認証画面
- 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。
5.1.4.6. Global Protectポータルの設定変更手順¶
注釈
Global Protectポータルの設定変更をする前に利用者端末にクライアント証明書をインストールしておく必要があります。
FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。
- ①[Network]をクリックします。②GlobalProtectの[ポータル]をクリックします。③[GP-Portal]をクリックします。
図5.1.4.6.1 ポータル画面
- ①[認証]をクリックします。②クライアント認証の設定画面で[証明書プロファイル]をNoneから選択可能な認証プロファイルを選択します。
図5.1.4.6.2 GlobalProtectポータルの設定(認証)
- [認証]にて変更対象のクライアント認証をクリックするとクライアント認証の設定が表示されます。[ユーザー資格情報またはクライアント証明書を使用した認証を許可]をNoに変更し[OK]ボタンを押下します。
図5.1.4.6.3 クライアント認証
注釈
- クライアント認証の変更は、認証プロファイルとユーザー資格情報またはクライアント証明書を使用した認証を許可の変更のみが可能です。その他の項目は変更しないでください。
5.1.4.7. Global Protectゲートウェイの設定変更手順¶
注釈
Global Protectゲートウェイの設定変更をする前に利用者端末にクライアント証明書をインストールしておく必要があります。
- ①[Network]をクリックします。②GlobalProtectの[ゲートウェイ]をクリックします。③[GP-GW]をクリックします。
図5.1.4.7.1 ゲートウェイ画面
- ①[認証]をクリックします。②クライアント認証の設定画面で[証明書プロファイル]をNoneから選択可能な認証プロファイルを選択します。
図5.1.4.7.2 GlobalProtectゲートウェイの設定(認証)
- [認証]にて変更対象のクライアント認証をクリックするとクライアント認証の設定が表示されます。[ユーザー資格情報またはクライアント証明書を使用した認証を許可]をNoに変更し[OK]ボタンを押下します。
図5.1.4.7.3 クライアント認証の設定
注釈
- クライアント認証の変更は、ユーザー資格情報またはクライアント証明書を使用した認証を許可の変更のみが可能です。その他の項目は変更しないでください。
- 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。
5.1.5. クライアント証明書のCA証明書を変更する¶
5.1.5.1. 注意事項、前提条件¶
設定は必ず0系/1系(東西冗長を利用している場合は各エリアの0系/1系)で同じ設定にしてください。
設定変更後、0系/1系で必ずコミットを実施してください。
設定変更後、FRAクライアントを再接続すると設定が反映されます。
- 以下の手順の変更を実施する前に利用者端末にクライアント証明書をインストールしておく必要があります。
5.1.5.2. 事前に準備いただくもの¶
なし
5.1.5.3. クライアント証明書プロファイルの作成手順(FRAが発行する証明書を利用する場合)¶
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
- ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。②[クライアント証明書認証]をクリックします。
図5.1.5.3.1 サービスグループ選択
- [新規追加]ボタンを押下します。
図5.1.5.3.2 [新規追加]ボタン
- 「クライアント証明書認証新規追加」画面で必要な情報を入力します。入力が完了したら[確認]ボタンを押下します。
図5.1.5.3.3 クライアント証明書認証新規追加
| 項番 | 項目 | 説明 | 変更可否 |
| 1 | 証明書プロファイル名 | 証明書プロファイルの名前を入力してください。半角英数記号(-_) のみ使用可能です。 | × |
| 2 | 説明 | 本設定に任意の説明文を登録することができます。説明文は半角英数記号(-_) のみ使用可能です。 | × |
| 3 | 認証時に使用する証明書ファイルの発行元 | 「サービス側で発行する証明書ファイルを利用する」を選択してください。
|
× |
- 入力内容の確認を行い、[実行]ボタンを押下します。
図5.1.5.3.4 設定内容の確認
- [OK]ボタンを押下します。
図5.1.5.3.5 申し込み完了
- 「クライアント証明書認証」画面で証明書プロファイルが作成されたことを確認します。
図5.1.5.3.6 申し込み完了後のクライアント証明書認証画面
- 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。
5.1.5.4. クライアント証明書のダウンロード(FRAが発行する証明書を利用する場合)¶
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
- ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。②[クライアント証明書認証]をクリックします。
図5.1.5.4.1 サービスグループ選択
- 「クライアント証明書認証」画面で作成した証明書プロファイルの[操作]プルダウンメニューより、[ダウンロード]をクリックします。
図5.1.5.4.2 [クライアント証明書のダウンロード]ボタン
- 「クライアント証明書認証ダウンロード」画面で、証明書インストール時に使用するパスフレーズを設定します。パスフレーズは以下条件を満たしてください。①8~31文字で入力してください②大文字英字/小文字英字/数字を最低1文字入力してください。
図5.1.5.4.3 クライアント証明書認証ダウンロード
- [ダウンロード]ボタンを押下します。
図5.1.5.4.4 [ダウンロード]ボタン
- ご利用端末の任意の場所にクライアント証明書ファイルを保存してください。Edgeブラウザでアクセスしている場合、ダウンロード通知の「名前を付けて保存」ボタンを押下後、保存先を選択して「保存」ボタン押下で証明書ファイルを保存します。
図5.1.5.4.5 [名前を付けて保存]ボタン
図5.1.5.4.6 保存ボタン
- ダウンロードしたクライアント証明書をダブルクリックします。
図5.1.5.4.7 クライアント証明書をダブルクリック
- [開く]ボタンを押下します。
図5.1.5.4.8 クライアント証明書を開く
- [証明書のインストール]をクリックします。
図5.1.5.4.9 クライアント照明書のインストール
- 現在のユーザーにチェックをし、[次へ]ボタンを押下します。
図5.1.5.4.10 [次へ]ボタンを押下
- 秘密キーのパスワード入力が必要になります。①手順4.で設定したパスフレーズを入力してください②すべての拡張プロパティを含めるにチェックを入れてください。③[次へ]ボタンを押下します。
図5.1.5.4.11 秘密キーの設定
- 証明書をすべて次のストアに配置する(P)にチェックをし、[参照]ボタンを押下します。
図5.1.5.4.12 [参照]ボタンを押下
- 個人を選択し[OK]ボタンを押下します。
図5.1.5.4.13 個人を選択
- [次へ]ボタンを押下します。
図5.1.4.4.14 [次へ]ボタンを押下
- [完了]ボタンを押下します。
図5.1.4.4.15 [完了]ボタンを押下
- 正常に完了した旨のメッセージが表示されます。[OK]ボタンを押下しインストールを完了します。
図5.1.5.4.16 インストール完了メッセージ
5.1.5.5. クライアント証明書プロファイルの作成手順(お客さまが発行する証明書を利用する場合)¶
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
- ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。②[クライアント証明書認証]をクリックします。
図5.1.5.5.1 サービスグループ選択
- [新規追加]ボタンを押下します。
図5.1.5.5.2 [新規追加]ボタン
- 「クライアント証明書認証新規追加」画面で必要な情報を入力します。入力が完了したら[確認]ボタンを押下します。
図5.1.5.5.3 クライアント証明書認証新規追加
| 項番 | 項目 | 説明 | 変更可否 |
| 1 | 証明書プロファイル名 | 証明書プロファイルの名前を入力してください。半角英数記号(-_) のみ使用可能です。 | × |
| 2 | 説明 | 本設定に任意の説明文を登録することができます。説明文は半角英数記号(-_) のみ使用可能です。 | × |
| 3 | 認証時に使用する証明書ファイルの発行元 | 「お客さまで発行する証明書ファイルを利用する」を選択してください。お客様で発行したクライアント証明書のCA証明書の「+ファイル追加」ボタンを押下し、CA証明書のファイルを追加します。1つのクライアント証明書に複数のCA証明書が紐づいている場合、すべてのCA証明書のファイルを追加してください。証明書ファイルの拡張子は「.crt」または「.cer」としてください。
|
× |
- 入力内容の確認を行い、[実行]ボタンを押下します。
図5.1.5.5.4 [実行]ボタン
- [OK]ボタンを押下します。
図5.1.5.5.5 申し込み完了
- 「クライアント証明書認証」画面で証明書プロファイルが作成されたことを確認します。
図5.1.5.5.6 申し込み完了後のクライアント証明書認証画面
- 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。
5.1.5.6. Global Protectポータルの設定変更手順¶
注釈
Global Protectポータルの設定変更をする前に利用者端末にクライアント証明書をインストールしておく必要があります。
FRAクライアントソフトでVPN接続後、FRAポータルにアクセスします。
- ①[Network]をクリックします。②GlobalProtectの[ポータル]をクリックします。③[GP-Portal]をクリックします。
図5.1.5.6.1 ポータル画面
- ①[認証]をクリックします。②クライアント認証の設定画面で[証明書プロファイル]を新しく作成した認証プロファイルに変更します。
図5.1.5.6.2 GlobalProtectポータルの設定(認証)
5.1.5.7. Global Protectゲートウェイの設定変更手順¶
注釈
Global Protectゲートウェイの設定変更をする前に利用者端末にクライアント証明書をインストールしておく必要があります。
- ①[Network]をクリックします。②GlobalProtectの[ゲートウェイ]をクリックします。③[GP-GW]をクリックします。
図5.1.5.7.1 ゲートウェイ画面
- ①[認証]をクリックします。②クライアント認証の設定画面で[証明書プロファイル]を新しく作成した認証プロファイルに変更します。
図5.1.5.7.2 GlobalProtectゲートウェイの設定(認証)
- 設定内容をコミットし、正常に反映されたことを確認します。コミット手順は 「2.2.7. 設定を反映する(0系と1系の両方で作業を実施)」 を参照してください。
5.1.6. クライアント証明書のCA証明書の有効期限を確認する¶
5.1.6.1. 注意事項、前提条件¶
なし
5.1.6.2. 事前に準備いただくもの¶
なし
5.1.6.3. クライアント証明書のCA証明書の有効期限確認手順¶
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
- ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。②[クライアント証明書認証]をクリックします。
図5.1.6.3.1 サービスグループ選択
- 「クライアント証明書認証」画面でクライアント証明書のCA証明書の有効期限を確認します。
図5.1.6.3.2 クライアント証明書認証画面
5.1.7. クライアント証明書を削除する¶
5.1.7.1. 注意事項、前提条件¶
なし
5.1.7.2. 事前に準備いただくもの¶
なし
5.1.7.3. クライアント証明書の削除手順¶
SDPFポータルメニューより、「Flexible Remote Access」を選択しFsecコンソールにアクセスします。
- ①左メニューの「サービスグループ情報」から作成したサービスグループを選択します。②[クライアント証明書認証]をクリックします。
図5.1.7.3.1 サービスグループ選択
- 「クライアント証明書認証」画面で削除する証明書の[操作]プルダウンメニューより、[削除]をクリックします。
図5.1.7.3.2 [削除]ボタン
- 内容を確認し、 [上記について確認しました。]にチェックを入れ、[実行]ボタンを押下します。
図5.1.7.3.3 クライアント証明書認証削除の確認
- [OK]ボタンを押下します。
図5.1.7.3.4 削除お申し込み完了
- 「クライアント証明書認証」画面で削除したい証明書プロファイルが削除されたことを確認します。
図5.1.7.3.5 削除お申し込み完了後のクライアント証明書認証画面
- 左メニューの[操作履歴]をクリックし、 「操作履歴」画面 でステータスが「COMPLETE」になっていることを確認します。