証明書認証・証明書確認は、PC・スマートフォン・タブレット端末に配布した電子証明書に基づきアクセス制限を可能にする 機能です。クライアント端末にインストールされたクライアント証明書を使ってログインを行います。
証明書認証・証明書確認をご利用いただくには「端末認証WEB」「端末認証WEB / 証明書付き(NRA-PKI)」のご契約が 必要です。
また、Gluegent Gate 側で用意したクライアント証明書の配布を行う機能があります。こちらをご利用いただくには「端末認証 WEB / 証明書付き(NRA-PKI)」のご契約が必要です。
サポート端末・オペレーティングシステムについて
NRA-PKI
NRA-PKI 証明書の対応 OS は以下の通りです。
- Windows 8.1 以降
- MacOS
- iOS / iPadOS
- Android
重要:
- 上記 OS の現行バージョンにて利用可能です。旧バージョンに関してはお客様側で動作確認の上ご利用ください。
- サポート終了となった OS およびバージョンは除外となります。
- Android については、機種により証明書の利用方法が異なりますので、事前に対象機種で の動作確認を行ってください。
- 上記以外の OS や各種アプリケーションでも動作する場合がありますが、機能が意図した通りに動作するかは保証できません。
- Microsoft 365 が提供するスマートフォンアプリケーションでは一部で証明書認証がご利用いただけないものがあります。Microsoft Authenticator ではスマートフォン認証が利用できます。
→【付録】Microsoft Authenticator の設定方法 - ChromeOS については、NRA-PKI のサポート対象ではありますが、Gluegent Gate としてはサポート対象となっておりません。
Cybertrust DeviceID
Cybertrust DeviceID 証明書の対応 OS は以下の通りです。
- Windows
- macOS
- iOS / iPadOS
- Android
- ChromeOS
対応 OS のサポートしているバージョンは以下の通りです。
- Windows : Microsoft 社の基準に準拠
- macOS : 最新 3 世代(コードネーム単位で 1 世代)
- iOS / iPadOS / ChromeOS : 最新 3 世代(メジャーバージョン単位で 1 世代)
- Android : 最新 4 世代(コードネーム単位で 1 世代)
重要:
- サポート終了となった OS およびバージョンはサポート対象外となります。
- Android については、機種により証明書の利用方法が異なりますので、事前に対象機種で の動作確認を行ってください。
- 上記以外の OS や各種アプリケーションでも動作する場合がありますが、機能が意図した通りに動作するかは保証できません。
- Microsoft 365 が提供するスマートフォンアプリケーションでは一部で証明書認証がご利用いただけないものがあります。Microsoft Authenticator ではスマートフォン認証が利用できます。
→【付録】Microsoft Authenticator の設定方法
証明書の正当性確認
クライアント証明書の正当性確認のため、Gluegent Gate に認証局の証明書(CA 証明書)を設定します。クライア ント端末に、認証局から発行されたクライアント証明書を配布・インストールします。クライアント証明書 の正当性確認はサービスログイン時に行われ、正しい認証局から発行されたクライアント証明書であるかを検証します。
注意:
Microsoft Edge、Google Chrome、Safariをご利用の場合は、端末への証明書のインストールのみでご利用いただけますが、Firefoxをご利用の場合は、ブラウザへの証明書のインストール(インポート)が必要です。
情報:
自己認証局で発行されたクライアント証明書を利用することも可能です。
「 端末認証WEB / 証明書付き(NRA-PKI)」「端末認証 WEB / 証明書付き(Cybertrust DeviceID)」をご契約の場合、認証局の証明書の設定は不要です。
証明書認証とは
「証明書認証」証明書内のサブジェクトフィールドに記載されたユーザーを特定します。そのため、その証明書を用いて別 のユーザーが証明書認証を試みると FALSE と判断します。
証明書認証はその証明書でログインできるユーザーまで特定 / 限定するため、よりセキュアで厳密な証明書管理のもとで端 末制御が可能になります。一方で、ユーザー数の分、証明書が必要となり運用コストが増加します。
証明書確認とは
「証明書確認」は証明書内のサブジェクトフィールドに記載されたユーザーとログイン を試みているユーザーを特定しません。
その証明書を使うユーザーを特定 / 限定しないため、ユーザー共通の証明書を端末にインストールし、端末制御が可能となり ます。運用コストを抑えつつログイン端末を限定したいアクセス制御要件に有効です。一方でユーザー共通の証明書であるため、その 証明書の期限が切れたり失効させたりすると、その証明書を使用している全てのユーザーで認証に失敗します。
認証局の種類と特徴
認証局 |
特徴 |
Gluegent Gate |
---|---|---|
商用認証局 ・Cybertrus t社 デバイス ID 証明書 |
・お客様で契約し用意するクライアント証明書 |
端末認証WEB |
自己認証局 お客様のサーバーで認証局を構築してクライアント証明書を発行/管理 |
・お客様でサーバー運用 / 管理して用意するクライアント証明書 |
|
Gluegent Gate NRA-PKI 配布機能 Gluegent Gate の管理画面上で日本 RA 社のクライアント証明書を発行 / 管理が行える機能 |
・Gluegent Gate 管理画面上で日本 RA 社のクライアント証明書を発行 / 管理できる |
端末認証WEB / 証明書付き |
Gluegent Gate Cybertrust DeviceID 配布機能 Gluegent Gate の管理画面上でサイバートラスト社のクライアント証明書を発行 / 管理が行える機能 |
・Gluegent Gate 管理画面上でサイバートラスト社のクライアント証明書を発行 / 管理できる。 ・1 ユーザーあたりの証明書の発行枚数制限なし |
端末認証 WEB / 証明書付き (Cybertrust DeviceID) ・契約単位:端末 |
CRL(証明書失効リスト)
「端末認証WEB」では CRL(証明書失効リスト)に対応しています。Gluegent Gate は 1 時間に 1 回予め設定した URL から CRL を取得し、有効期限内のクライアント証明書の有効 / 無効を判断します。
情報:
CRLの取得は毎時 30 分に行われ、毎時 50 分に反映されます。
例えば、1:00 に「CRL の URL」が入力された場合、1:50に反映されます。
1:35 に入力された場合は、1:30 の取得には間に合わないため、2:30 に取得、2:50 に反映されます。
制限事項
iOS / iPadOS の Chrome では証明書認証・確認は利用できません。Safari をお使いください。