リモートアクセスVPN-クライアント証明書認証

目的

SingleIDのユーザで、YAMAHA UTXへVPNを使ってリモートアクセスします。 接続する際の認証方式は、クライアント証明書認証です。

環境

ユーザの情報

ユーザ名	姓（英字）	名（英字）	メールアドレス
user1	user1	user1	user1@poc.singleid.jp

Info

メールアドレス: 受信可能なメールアドレスを指定してください。

設定方法

SingleIDの設定

管理者ポータルへログイン

1. SingleIDの管理者ポータルへログインします。

ユーザの作成

1. SingleID 管理者ポータル＞ユーザ画面へ移動します。
2. 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
3. ユーザ登録画面の基本情報を入力します。作成するユーザは、ユーザの情報を参照します。

クライアント証明書の発行

1. SingleID 管理者ポータル＞ユーザ画面へ移動します。
2. クライアント証明書を発行したいユーザの行にあるチェックボックスを選択します。クライアント証明書を発行するユーザは、ユーザの情報を参照します。
3. 選択実行ボタンの▼をクリックし、プルダウンメニューの証明書の発行を選択します。
4. 証明書発行画面がポップアップします。
5. プロファイルを選択します。（例：デフォルト）
6. 発行ボタンをクリックして、クライアント証明書を発行します。ユーザのメールアドレス宛に発行されたクライアント証明書のダウンロードリンクが送信されます。

SingleIDの中間CA証明書のダウンロード

1. SingleID 管理者ポータル＞認証＞証明書画面の基本情報タブへ移動します。
2. 中間CAブロックの中間CAのタイトル文字の隣のをクリックします。ダウンロード画面がポップアップします。
3. ダウンロードボタンをクリックして、SingleIDの中間CA証明書をダウンロードします。

Warning

誤って、ルートCA証明書をダウンロードしないようにご注意ください。ルートCA証明書のダウンロードは必要ありません。

YAMAHA UTXの設定

ローカル管理者でログイン

1. YAMAHA UTX GUI https://YAMAHA UTXのIP:4434/ へアクセスします。
2. ローカル管理者のユーザ名、パスワードを入力し、ログインをクリックします。

トラストCAへSingleIDの中間CA証明書を追加

1. YAMAHA UTX GUI＞VPN＞トラストCA画面へ移動します。
2. 追加ボタンをクリックします。トラストCAの追加画面がポップアップします。

3. 以下を設定し、適用ボタンをクリックします。

   設定項目	設定内容
   トラストCAファイル	ダウンロードしたSingleIDの中間CA証明書ファイルを選択
   CA名	任意のCA名（例えば、「SingleID User CA」）

   Warning

   CA名に、２バイト文字は使用できません。

   Danger

   SingleIDのルートCA証明書をYAMAHA UTXへインポートしないようにしてください。意図しないVPN接続の認証が成功してしまいます。

   リモートアクセスクライアントからYAMAHA UTXへのVPN接続時、SingleIDのルートCA証明書がYAMAHA UTXにインポートされていると、SingleIDのルートCAを発行元とするどんな中間CAが発行したクライアント証明書であっても、証明書のパスの検証に成功してしまいます。

動作確認方法

リモートアクセスVPNの認証（クライアント証明書認証）

クライアント証明書のダウンロード

1. SingleIDシステム管理から届いたメールを開きます。

2. ダウンロードリンクをクリックします。P12形式のクライアント証明書がダウンロードされます。

   

Info

もし、PCでメールを受信し、スマートフォンやタブレットにクライアント証明書をインストールしたい場合には、メールに添付されているQRコードを スマートフォンやタブレットで読み取ります。クライアント証明書のダウンロードURLを認識しますので、そのURLへアクセスすることで、 スマートフォンやタブレット にもクライアント証明書をダウンロードできます。

リモートアクセスクライアントのインストール

YAMAHA UTXのリモートアクセスクライアントである、 Check Point Remote Access VPN Clients をインストールしていない場合には、以下よりダウンロードしてインストールします。

ダウンロード

接続先の設定

1. Check Point Remote Access VPN Clientsを起動して、新規サイトを作成します。サイトウィザードが表示されたら、Nextボタンをクリックします。

   

2. Server address or Nameに、YAMAHA UTXのWANのIPアドレスを入力し、Nextボタンをクリックします。

   

3. VPN Client (Default)が選択されていることを確認し、Nextボタンをクリックします。

   

4. Certificateを選択し、Nextボタンをクリックします。

   

5. CAPIを選択し、Nextボタンをクリックします。

   Info

   どちらを選択しても、クライアント証明書を利用した認証を行うことができます。CAPIを選択した場合には、一度、クライアント証明書をPCへインポートすれば、VPN接続時には自動ログインできます。PKCS #12を選択した場合には、VPN接続のたびに、クライアント証明書のパスワードが尋ねられます。

   

6. Site created successfullyが表示されたら、サイトが無事作成されました。Finishボタンをクリックします。

   

VPN接続

1. Connectボタンをクリックします。

   

2. Siteに、作成した接続先を選択します。

3. 以下を設定し、Importボタンをクリックします。

   設定項目	設定内容
   user name	Browseをクリックし、ダウンロードしたSingleIDのユーザ（参照）のクライアント証明書を選択します。
   password	クライアント証明書のパスワードを入力します。クライアント証明書のパスワードは、SingleIDのユーザ名（参照）と同一です。

   

4. クライアント証明書がインポートされました。OKボタンをクリックします。

   

5. Connectボタンをクリックし、YAMAHA UTXへVPN接続を試み、接続が成功することを確認します。

   

6. Detailsボタンをクリックすると、詳細が表示され、接続が成功したことが確認できます。