リモートアクセスVPN-クライアント証明書認証

文書更新日:2025-03-09

目的

• SingleIDのユーザで、FortiGateへVPNを使ってリモートアクセスします。
• 接続する際の認証方式は、クライアント証明書認証です。

設定方法

SingleIDのユーザの作成

1. SingleID 管理者ポータル＞ユーザ画面へ移動します。
2. 登録ボタンをクリックします。ユーザ登録画面がポップアップします。
3. ユーザ登録画面の基本情報を入力します。
4. 登録ボタンをクリックします。

SingleIDのクライアント証明書の発行

1. SingleID 管理者ポータル＞ユーザ画面へ移動します。
2. クライアント証明書を発行したいユーザの行にあるチェックボックスを選択します。
3. 選択実行ボタンの▼をクリックし、プルダウンメニューの証明書の発行を選択します。
4. 証明書発行画面がポップアップします。
5. プロファイル（例：デフォルト）および配布形式（例：一般）を選択します。
6. 発行ボタンをクリックして、クライアント証明書を発行します。ユーザのメールアドレス宛に発行されたクライアント証明書のダウンロードリンクが送信されます。

SingleIDのサーバ証明書の発行とダウンロード

1. SingleID 管理者ポータル＞認証＞証明書＞証明書タブへ移動します。
2. 発行ボタンの▼をクリックし、プルダウンメニューのサーバ証明書を選択します。
3. サーバ証明書の発行画面がポップアップします。

4. 以下を設定します。

   設定項目	設定内容
   サーバ名	VPNクライアントが接続するIPアドレスまたはホスト名（FQDN）です。
   サブジェクトの代替名	サーバ名にIPアドレスを設定した場合には、IPを選択します。サーバ名にホスト名を設定した場合には、DNSを選択します。
   有効期間	1年、5年、10年から選択します。（例：10年）

5. 発行ボタンをクリックして、サーバ証明書を発行します。

6. 発行されたサーバ証明書の行にあるチェックボックスを選択します。
7. 選択実行ボタンの▼をクリックし、プルダウンメニューの証明書のダウンロードを選択します。

8. ZIP圧縮されたP12形式のサーバ証明書がダウンロードされます。

   Info

   発行された証明書をデバイスへインストールする場合には、パスワードの入力が要求されます。パスワードは、サーバ名と同一です。（例：サーバ名が10.10.10.10の場合、サーバ証明書のパスワードは、10.10.10.10です。）

SingleIDの中間CA証明書のダウンロード

1. SingleID 管理者ポータル＞認証＞証明書＞基本情報タブへ移動します。
2. 中間CAブロックの中間CAのタイトル文字の隣のをクリックします。ダウンロード画面がポップアップします。
3. ダウンロードボタンをクリックして、SingleIDの中間CA証明書をダウンロードします。

Warning

誤って、ルートCA証明書をダウンロードしないようにご注意ください。ルートCA証明書のダウンロードは必要ありません。

FortiGateへ中間CA証明書を追加

1. FortiGate 管理GUI＞システム＞証明書画面へ移動します。

   Info

   メニューに証明書がない場合には、FortiGate 管理GUI＞システム＞表示機能設定画面で、証明書の表示を有効にします。

2. 作成/インポート＞CA証明書ボタンをクリックします。CA証明書をインポート画面が表示されます。

3. 以下を設定し、OKボタンをクリックします。

   設定項目	設定内容
   タイプ	ファイルを選択します。
   アップロード	SingleIDの中間CA証明書のダウンロードの手順でダウンロードしたファイルを選択します。

   Danger

   SingleIDのルートCA証明書をFortiGateへインポートしないようにしてください。意図しないVPN接続の認証が成功してしまいます。

   リモートアクセスクライアントからFortiGateへのVPN接続時、SingleIDのルートCA証明書がFortiGateにインポートされていると、SingleIDのルートCAを発行元とするどんな中間CAが発行したクライアント証明書であっても、証明書のパスの検証に成功してしまいます。

   

FortiGateへ証明書失効リスト（CRL）の設定

1. FortiGate 管理GUI＞システム＞証明書画面へ移動します。
2. 作成/インポート＞CRLボタンをクリックします。CRLをインポート画面が表示されます。

3. 以下を設定し、OKボタンをクリックします。

   設定項目	設定内容
   インポート方式	オンライン更新を選択します。
   HTTPサーバのURL	SingleID 管理者ポータル＞認証＞証明書＞基本情報タブの中間CAの失効リストの配布ポイントです。

   

4. 定期的（1時間ごと）に証明書失効リスト（CRL）を更新するために、FortiGate CLIからset update-interval 3600を以下のように設定します。

   FortiGate CLI

   config vpn certificate crl
       edit "CRL_1"
           set update-interval 3600
       next
   end
   

   FortiGateへサーバ証明書を追加

   1. FortiGate 管理GUI＞システム＞証明書画面へ移動します。
   2. 作成/インポート＞証明書ボタンをクリックします。証明書の作成画面が表示されます。
   3. 証明書をインポートボタンをクリックします。
   4. 以下を設定し、作成ボタンをクリックします。

   設定項目	設定内容
   タイプ	PKCS12証明書を選択します。
   キーファイルのある証明書	SingleIDのサーバ証明書の発行とダウンロードの手順でダウンロードしたZIPファイルを解凍します。そして、拡張子がP12のファイルを選択します。
   パスワード	証明書ファイルの拡張子を除いた部分がパスワードです。（例：10.10.10.10.p12というファイルの場合には、パスワードは、10.10.10.10です。）
   証明書名	証明書ファイルを選択しアップロードすると自動で入力されます。

   

5. OKボタンをクリックします。

FortiGateのVPNの設定

1. FortiGate 管理GUI＞VPN＞IPsecウィザード画面へ移動します。

2. 以下の項目を設定し、次へボタンをクリックします。

   設定項目	設定内容
   名前	任意の文字列を設定します。（例：IPsecVPN）
   テンプレートタイプ	リモートアクセスを選択します。
   リモートデバイスタイプ	クライアントベース　FortiClientを選択します。

   

3. 以下の項目を設定し、次へボタンをクリックします。

   設定項目	設定内容
   着信インターフェース	FortiGateのWAN側のインターフェースです。環境により異なります。
   認証方式	シグネチャを選択します。
   証明書名	FortiGateへサーバ証明書を追加で追加したサーバ証明書を選択します。
   ユーザグループ	空欄にします。
   ピア証明書CA	FortiGateへ中間CA証明書を追加の手順で追加した中間CAの証明書を選択します。

   

4. 以下の項目を設定し、次へボタンを クリックします。

   設定項目	設定内容
   ローカルインターフェース	FortiGateのLAN側のインターフェースです。環境により異なります。
   ローカルアドレス	LAN側ネットワークを指定します。（例：internal）
   クライアントアドレス範囲	VPNクライアントに割り当てるIPアドレスの範囲です。環境により異なります。
   サブネットマスク	255.255.255.255を設定します。

   

5. 次へボタンをクリックします。

   

6. 設定を確認し、作成ボタンをクリックします。

7. FortiGate 管理GUI＞VPN＞IPsecトンネル画面へ移動します。
8. ウィザードによって作成されたVPNトンネルを選択し、編集ボタンをクリックします。VPNトンネルの編集画面が表示されます。

9. カスタムトンネルへコンバートボタンをクリックします。

   

10. XAUTHのセクションで編集ボタンをクリックし、タイプを無効にします。

11. OKボタンをクリックします。

動作確認方法

Windows端末からクライアント証明書によるリモートアクセスVPNの認証が可能なことを確認します。

クライアント証明書のダウンロード

1. SingleIDシステム管理から届いたメールを開きます。

2. ダウンロードリンクをクリックします。P12形式のクライアント証明書がダウンロードされます。

   

Info

もし、PCでメールを受信し、スマートフォンやタブレットにクライアント証明書をインストールしたい場合には、メールに添付されているQRコードを スマートフォンやタブレットで読み取ります。クライアント証明書のダウンロードURLを認識しますので、そのURLへアクセスすることで、 スマートフォンやタブレット にもクライアント証明書をダウンロードできます。

クライアント証明書のインストール

1. ダウンロードしたP12形式のクライアント証明書ファイルをダブルクリックします。

2. 保存場所として現在のユーザーを選択し、次へボタンをクリックします。

   

3. ダウンロードしたP12形式のファイル名とパスが正しく入力されていることを確認し、次へボタンをクリックします。

   

4. パスワードに、クライアント証明書のパスワードを入力します。クライアント証明書のパスワードは、ユーザ名と同一です。（例：ユーザ名が、user1の場合、クライアント証明書のパスワードは、user1です。）次へボタンをクリックします。

   

5. 証明書の種類に基づいて、自動に証明書ストアを選択するが選択されていることを確認し、次へボタンをクリックします。

   

6. 完了ボタンをクリックし、証明書をインストールします。

   

7. クライアント証明書のインストールが成功しました。

   

リモートアクセスクライアントのインストール

FortiGateのリモートアクセスクライアントである、FortiClientをインストールしていない場合には、以下よりダウンロードしてインストールします。

ダウンロード

接続先の設定

1. FortiClientを起動して、新規VPN接続を作成します。以下を設定します。

   設定項目	設定内容
   VPN	IPsecVPNを選択します。
   接続名	任意の文字列を設定します。（例：SingleID_Cert）
   リモートGW	VPNクライアントが接続するIPアドレスです。
   認証方法	X.509証明書を選択します。
   クライアント証明書	クライアント証明書のインストールの手順でインストールしたクライアント証明書を選択します。
   認証(XAuth)	無効を選択します。

   

2. 保存ボタンをクリックします。

VPN接続

1. 以下を設定し、接続ボタンをクリックします。

   設定項目	設定内容
   VPN名称	接続先の設定の手順で作成した接続先を選択します。（例：SingleID_Cert）
   クライアント証明書	クライアント証明書のインストールの手順でインストールしたクライアント証明書を選択します。

   

2. ログインが成功することを確認します。