コンテンツにスキップ

リモートアクセスVPN-クライアント証明書認証

目的

  • SingleIDのユーザで、Check Point Quantum SparkへVPNを使ってリモートアクセスします。
  • 接続する際の認証方式は、クライアント証明書認証です。
  • SingleIDの標準RADIUSサーバを利用します。

設定方法

SingleIDのユーザの作成

  1. SingleID 管理者ポータル>ユーザ画面へ移動します。
  2. 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
  3. ユーザ登録画面の基本情報を入力します。

SingleIDのクライアント証明書の発行

  1. SingleID 管理者ポータル>ユーザ画面へ移動します。
  2. クライアント証明書を発行したいユーザの行にあるチェックボックスを選択します。
  3. 選択実行ボタンの▼をクリックし、プルダウンメニューの証明書の発行を選択します。
  4. 証明書発行画面がポップアップします。
  5. プロファイル(例:デフォルト)および配布形式(例:一般)を選択します。
  6. 発行ボタンをクリックして、クライアント証明書を発行します。ユーザのメールアドレス宛に発行されたクライアント証明書のダウンロードリンクが送信されます。

SingleIDの中間CA証明書のダウンロード

  1. SingleID 管理者ポータル>認証>証明書画面の基本情報タブへ移動します。
  2. 中間CAブロックの中間CAのタイトル文字の隣のをクリックします。ダウンロード画面がポップアップします。
  3. ダウンロードボタンをクリックして、SingleIDの中間CA証明書をダウンロードします。

Warning

誤って、ルートCA証明書をダウンロードしないようにご注意ください。ルートCA証明書のダウンロードは必要ありません。

Check Point Quantum SparkのトラストCAへSingleIDの中間CA証明書を追加

  1. Check Point Quantum Spark GUI>VPN>トラストCA画面へ移動します。
  2. 追加ボタンをクリックします。トラストCAの追加画面がポップアップします。
  3. 以下を設定し、適用ボタンをクリックします。

    設定項目 設定内容
    トラストCAファイル ダウンロードしたSingleIDの中間CA証明書ファイルを選択
    CA名 任意のCA名(例えば、「SingleID User CA」)

    Warning

    CA名に、2バイト文字は使用できません。

    Danger

    SingleIDのルートCA証明書をCheck Point Quantum Sparkへインポートしないようにしてください。意図しないVPN接続の認証が成功してしまいます。

    リモートアクセスクライアントからCheck Point Quantum SparkへのVPN接続時、SingleIDのルートCA証明書がCheck Point Quantum Sparkにインポートされていると、SingleIDのルートCAを発行元とするどんな中間CAが発行したクライアント証明書であっても、証明書のパスの検証に成功してしまいます。

動作確認方法

リモートアクセスVPNの認証(クライアント証明書認証)

クライアント証明書のダウンロード

  1. SingleIDシステム管理から届いたメールを開きます。
  2. ダウンロードリンクをクリックします。P12形式のクライアント証明書がダウンロードされます。

    Screenshot

Info

もし、PCでメールを受信し、スマートフォンやタブレットにクライアント証明書をインストールしたい場合には、メールに添付されているQRコードを スマートフォンやタブレットで読み取ります。クライアント証明書のダウンロードURLを認識しますので、そのURLへアクセスすることで、 スマートフォンやタブレット にもクライアント証明書をダウンロードできます。

リモートアクセスクライアントのインストール

Check Point Quantum Sparkのリモートアクセスクライアントである、 Check Point Remote Access VPN Clients をインストールしていない場合には、以下よりダウンロードしてインストールします。

ダウンロード

接続先の設定

  1. Check Point Remote Access VPN Clientsを起動して、新規サイトを作成します。サイトウィザードが表示されたら、Nextボタンをクリックします。

    Screenshot

  2. Server address or Nameに、Check Point Quantum SparkのWANのIPアドレスを入力し、Nextボタンをクリックします。

    Screenshot

  3. VPN Client (Default)が選択されていることを確認し、Nextボタンをクリックします。

    Screenshot

  4. Certificateを選択し、Nextボタンをクリックします。

    Screenshot

  5. CAPIを選択し、Nextボタンをクリックします。

    Info

    どちらを選択しても、クライアント証明書を利用した認証を行うことができます。CAPIを選択した場合には、一度、クライアント証明書をPCへインポートすれば、VPN接続時には自動ログインできます。PKCS #12を選択した場合には、VPN接続のたびに、クライアント証明書のパスワードが尋ねられます。

    Screenshot

  6. Site created successfullyが表示されたら、サイトが無事作成されました。Finishボタンをクリックします。

    Screenshot

VPN接続

  1. Connectボタンをクリックします。

    Screenshot

  2. Siteに、作成した接続先を選択します。

  3. 以下を設定し、Importボタンをクリックします。

    設定項目 設定内容
    user name Browseをクリックし、ダウンロードしたクライアント証明書を選択します。
    password クライアント証明書のパスワードを入力します。クライアント証明書のパスワードは、ユーザ名と同一です。(例:ユーザ名が、user1 の場合、証明書のパスワードは user1 です。)

    Screenshot

  4. クライアント証明書がインポートされました。OKボタンをクリックします。

    Screenshot

  5. Connectボタンをクリックし、Check Point Quantum SparkへVPN接続を試み、接続が成功することを確認します。

    Screenshot

  6. Detailsボタンをクリックすると、詳細が表示され、接続が成功したことが確認できます。

    Screenshot