証明書
SingleID 管理者ポータル>認証>証明書画面では、以下の証明書に関する操作を行うことができます。
- ルートCAおよび中間CAの証明書のダウンロード
- 証明書失効リスト(CRL)のダウンロード
- 証明書プロファイルの登録/編集/削除
- 証明書情報の閲覧/検索
- 証明書のダウンロードリンク送信/ダウンロード/更新/失効
基本情報
SingleID 管理者ポータル>認証>証明書画面の基本情報タブでは、以下の3つのブロックがあります。
-
ルートCAのブロック
ルートCAの証明書の情報です。 ルートCAのタイトル文字の隣のをクリックすることで、ルートCAの証明書をダウンロードできます。
-
中間CAのブロック
中間CAの証明書の情報です。 中間CAのタイトル文字の隣のをクリックすることで、中間CAの証明書をダウンロードできます。 失効リスト配布ポイントの隣のをクリックすることで、証明書失効リスト(CRL)をダウンロードできます。
Info
クライアント証明書が失効された場合、証明書失効リスト(CRL)は即時に更新されます。更新された証明書失効リスト(CRL)の有効期間は、10日間です。
Warning
お客様のシステムによっては、証明書失効リスト(CRL)の有効期限が切れるまで、証明書失効リスト(CRL)をダウンロードしない場合があります。その場合、証明書が失効されても、システム側でクライアント証明書での認証が成功してしまいます。システムに、証明書失効リスト(CRL)を定期的にダウンロードする機能がある場合には、その機能を使用して、定期的(1時間ごとなど)にダウンロードすることをお勧めします。
-
証明書の統計のブロック
以下の統計情報が表示されます。有効期限が近づいているクライアント証明書について、必要に応じて、更新処理の計画をしてください。
- 1ヶ月以内に有効期限が切れる証明書数
- 3ヶ月以内に有効期限が切れる証明書数
- 有効期限内の証明書数
- 失効された証明書数
- 一人当たりの証明書の平均発行数
証明書のプロファイル
SingleID 管理者ポータル>認証>証明書画面のプロファイルタブでは、証明書のプロファイルの設定を行います。設定された証明書のプロファイルにしたがって、クライアント証明書が発行されます。初期状態では、デフォルトで定義されたプロファイルが使用されて、クライアント証明書が発行されます。
デフォルトのプロファイルの初期値は以下です。
| 設定項目 | 設定値 |
|---|---|
| 組織単位/OU(英字) | 未定義 |
| 有効期間 | 10年間 |
| 拡張キー使用法(EKU) | クライアント認証 |
| サブジェクトの代替名 | メールアドレス |
証明書のプロファイルの登録
- 登録ボタンをクリックします。
- プロファイル登録画面がポップアップします。
-
以下を設定します。
- プロファイル名:任意です。
- デフォルトプロファイル:有効にすると、証明書を発行するときのデフォルトとして使用されます。
- 組織単位/OU(英字):任意です。
- 有効期間:1年、5年、10年から選択します。
-
以下、拡張キー使用法(EKU)とサブジェクトの代替名の推奨値です。
拡張キー使用法(EKU) サブジェクトの代替名 クライアント認証の場合 設定は任意 スマートログオンの場合 UPNの設定は必須 電子メールの保護の場合 メールアドレスの設定は必須
-
登録をクリックして、証明書のプロファイルを登録します。
証明書のプロファイルの編集
- 変更したプロファイルの列にある編集ボタンをクリックします。
- プロファイル編集画面がポップアップします。
- 項目を変更して、変更ボタンをクリックして、変更を保存します。
証明書のプロファイルの削除
- 削除したいプロファイルの列にある削除ボタンをクリックします。
- プロファイル削除画面がポップアップします。
- 削除ボタンをクリックして、プロファイルを削除します。
証明書
SingleID 管理者ポータル>認証>証明書画面の証明書タブでは、クライアント証明書情報の閲覧および検索、クライアント証明書のダウンロードリンク送信/ダウンロード/更新/失効を行います。
証明書情報の閲覧および検索
以下の事前定義検索フィルタおよび証明書の属性でクライアント証明書を検索し表示することができます。
事前定義検索フィルタ
- 1か月以内に有効期限が切れる証明書一覧
- 3か月以内に有効期限が切れる証明書一覧
検索可能な属性
- ユーザ名
- メールアドレス
- 証明書のサブジェクト
- 証明書の開始日時
- 証明書の終了日時
- 証明書の失効日時
- 証明書のインストール日時
- 証明書のシリアル番号
証明書のダウンロードリンク送信
PKCS#12形式(拡張子P12)またはApple構成プロファイル形式(拡張子mobileconfig)のクライアント証明書のダウンロードリンクをユーザのメールアドレス宛に送信します。
- 送信したい証明書の列にあるチェックボックスを選択します。(複数選択可能)
- 選択実行ボタンの▼をクリックし、プルダウンメニューの証明書のメール送信を選択します。
- 証明書メール送信画面がポップアップします。
-
配布形式を選択します。
- 一般・・・PKCS#12形式(拡張子P12)またはApple構成プロファイル形式(拡張子mobileconfig)
- Windows自動構成・・・Windows10/11へ証明書を自動でインストールするツール
-
送信ボタンをクリックして、証明書のダウンロードリンクをメールで送信します。
Info
発行されたクライアント証明書をデバイスへインストールする場合には、パスワードの入力が要求されます。パスワードは、ユーザ名と同一です。(例:ユーザ名がuser1の場合、クライアント証明書のパスワードは、user1です。)
Warning
- メール送信可能な期間は、クライアント証明書を発行してから1か月間です。
- メールで送信されたダウンロードリンクの有効期間は、1週間です。
- Windowsの自動構成を利用して、証明書をインストールすると、メールで送信されたダウンロードリンクは無効となります。
証明書のダウンロード
PKCS#12形式(拡張子P12)のクライアント証明書をZIP圧縮してダウンロードします。
- ダウンロードしたい証明書の列にあるチェックボックスを選択します。(複数選択可能)
- 選択実行ボタンの▼をクリックし、プルダウンメニューの証明書のダウンロードを選択します。
- 証明書ダウンロード画面がポップアップします。
- ダウンロードボタンをクリックして、証明書をダウンロードします。
Info
発行されたクライアント証明書をデバイスへインストールする場合には、パスワードの入力が要求されます。パスワードは、ユーザ名と同一です。(例:ユーザ名がuser1の場合、クライアント証明書のパスワードは、user1です。)
Warning
ダウンロード可能な期間は、クライアント証明書を発行してから1か月間です。1か月が過ぎたクライアント証明書をダウンロードしようとした場合には、ZIP圧縮ファイルの中に、「ユーザ名.txt」ファイルが作成されています。
証明書の更新
既存のクライアント証明書と同一情報で、有効期限を延長してクライアント証明書を発行します。
- 更新したい証明書の列にあるチェックボックスを選択します。(複数選択可能)
- 選択実行ボタンの▼をクリックし、プルダウンメニューの証明書の更新を選択します。
- 証明書更新画面がポップアップします。
- 更新ボタンをクリックして、証明書を更新します。
Info
- クライアント証明書のシリアル番号は既存のクライアント証明書と異なります。
- 既存のクライアント証明書は失効されません。
証明書の失効
クライアント証明書を失効します。
- 失効したいクライアント証明書の列にあるチェックボックスを選択します。(複数選択可能)
- 選択実行ボタンの▼をクリックし、プルダウンメニューの証明書の失効を選択します。
- 証明書失効画面がポップアップします。
- 失効ボタンをクリックして、証明書を失効します。
Warning
- クライアント証明書が失効されたら、即時、証明書失効リスト(CRL)に証明書のシリアル番号が追加されます。
- 失効されたクライアント証明書を有効化することはできません。
クライアント証明書のインストール日時の更新
デバイスごとに異なるクライアント証明書をインストールしたい場合があります。手動または自動で行うことができます。
手動でインストール日時を設定する場合
- クライアント証明書をデバイスへインストールします。
- インストール後に、SingleID 管理者ポータル>認証>証明書画面の証明書タブへ移動します。
- インストールしたクライアント証明書を検索します。
- インストール日時の列にある更新ボタンをクリックします。現在日時がインストール日時として設定されます。クライアント証明書のダウンロードおよびメール送信が不可となります。
- 管理用として、メモボタンをクリックして、証明書をインストールしたデバイス情報を入力します。
自動でインストール日時を設定する場合
クライアント証明書のWindows自動構成ツールを実行します。クライアント証明書のインストール日時の登録およびデバイス情報(Windowsマシンのユーザ名とコンピュータ名)登録が自動で行われます。