安全・確実な電子証明書配布

一般的な電子証明書の配布は、電子ファイル(PKCS#12)によって行われますが、
複数の端末に証明書ファイルをコピーされる懸念があります。

Gléasの電子証明書配布は、ユーザ用ウェブ画面(UA)から直接端末に証明書をインポートできます。
証明書の秘密鍵が「エクスポート不可」として証明書ストアに格納された電子証明書は、
ファイルとして保存できないため、他のPCなどにコピーすることはできなくなります。

UAでは、ユーザ自身による登録申請や証明書発行申請と、発行されたクライアント証明書のインポートができます。
またセルフサービスオプションを使うと、外部ディレクトリと連携して証明書発行・失効の申請ができます。

セルフサービスオプション

インポートワンス機能

電子証明書の証明書ストアへのインポートを1回に制限する機能です。
通常は正式なユーザーとしてGléasのユーザ画面にログインすれば、複数の端末に同じ証明書をインポートできます。

インポートワンス機能を有効にすると、2回目以降の証明書インポートはできなくなります。
そのため、証明書認証でサーバにアクセスできるクライアント端末を限定することができます。

インポートワンス

メール通知

登録局(RA)で作成されたアカウントに対し、発行局(IA)から電子証明書が発行されると
アカウントに紐付けられたメールアドレスに、メールで通知できます。

メールテンプレートは任意に変更可能です。姓名やアカウント名を差し込めます。
証明書の更新時期が近づいた際に、管理者やユーザへアラートメールを送信できます。

管理機能

証明書管理

証明書の検索

Gléasは、証明書の要求・作成・失効・有効期限切れまでの
ライフサイクルを管理します。
複数の条件で証明書を検索し、一覧表示・一括操作できます。

アカウント管理

アカウントの抽出

ユーザやコンピュータ、サーバなど、証明書発行の対象は
「アカウント」として管理されます。
アカウントはグループに参加することで、組織や役割、属性を与えられます。
所属するグループの数は無制限です。複雑な組織構造にも対応できます。

ユーザアカウントはCSVによって一括作成することもできます。
さまざまな条件でアカウントを抽出し、一括処理を実行できます。

テンプレート機能

Gléasは、証明書の内容とポリシーを「テンプレート」で管理します。
証明書の有効期限や用途など、グループにテンプレートを設定することで、
グループごとに異なるポリシーの証明書を発行したり、
テンプレートに定めたルールに基づいて、
LDAPやActive Directoryなどの外部リポジトリとデータを同期できます。

テンプレートを組み合わせることで、柔軟かつ簡単に証明書を管理することができます。

デバイス管理

Gléasの管理画面で、認証デバイスへの電子証明書のインポートができます。
また、USBトークンやICカードなどの認証デバイスのシリアルと名前を管理できます。

認証デバイスに証明書を格納した履歴や、認証デバイスを利用したユーザーの履歴を管理できます。
認証デバイスでの鍵生成や証明書要求作成もサポートしています。

管理画面のセキュリティ

Gléas管理者としてログインするには、管理者専用USBトークンとパスワードによる二因子認証が必要です。

管理者の操作履歴は全て記録されています。削除することはできません。
管理者が複数いる場合でも、USBトークンに格納された電子証明書により、管理者ごとに操作履歴が記録されます。

またGléasは、いつ誰がどの端末に証明書をインポートしたのかログをとっています。
セキュリティ監査への対応や、操作ミス発生時の原因究明などに活用できます。

外部LDAP/Active Directory連携

GléasはCSVファイルによって外部のID管理システム、LDAP/Active Directoryと連携できます。
ID管理システム上のID情報と Gléasの情報を同期させ、電子証明書を発行・失効できます。
またSCEP(Simple Certificate Enrollment Protocol)を使った外部デバイスからのリクエストによる証明書発行ができます。

ID管理システム上の属性と、Gléasでのアカウントのグループをマッピングできます。
ディレクトリの情報に合わせて自動的にGléasのグループに参加させることもできます。

ユーザが電子証明書をダウンロードするときのGléasでの認証で、LDAP/Active Directory内にあるIDとパスワードを利用できます。
パスワードの管理をLDAP/Active Directoryで一元化でき、管理者・ユーザ双方の負担を軽減できます。

外部LDAP/Active Directory認証連携

マルチテナント

Gléasは1台のサーバで、複数テナントの証明書の管理が簡単にできます。
グループ会社を統括する企業またはサービスプロバイダがGléasを運用し、
テナントとなる子会社またはユーザ企業が自社の管理者を設置することもできます。

それぞれ異なるポリシーの証明書を発行できます。

テナントごとに独立した認証局を構築することもできます。(オプション)

事例

モバイルデバイス管理

モバイルデバイス管理(MDM)は、iPhoneやiPadを管理するため、
構成プロファイル、無線(OTA)登録、Appleプッシュ通知サービスなど、
iOSテクノロジーを基に構築されています。

GléasのMDMは、管理下のiOSデバイスに対して、下記の操作をリモートで実行できます。

  • Gléasから発行された電子証明書を含む構成プロファイルのインストール
  • 電子証明書の更新
  • インストールされているアプリ情報の収集
  • アプリケーション配布
  • リモートワイプ
  • デバイスロック
  • パスコードリセット

BYOD(社員の個人所有)のiOSデバイスから、
メール、クラウドサービス、無線LAN、ファイルサーバなどへのアクセスのため
クライアント証明書を含む構成プロファイルをインストールしていた社員が退職する場合、
管理者は構成プロファイルをリモートワイプすることで
当該iOSデバイスをシステムから遮断できます。

事例

HSM対応

GléasはHSM(ハードウェア・セキュリティ・モジュール)に対応しています。
耐タンパー装置であるHSMで認証局の鍵の生成・保護をおこなうことで、高いセキュリティレベルを備える認証局運用が可能となり、
セキュリティリスクを極限まで低減できます。

GléasへのHSM搭載はオプションです。対応しているHSMのメーカー・機種についてはフォームよりお問い合わせください。

機能の詳しいご説明や、お見積りをご希望の場合は
各地の販売パートナーをご紹介いたします。


お問い合わせ