安全・確実な電子証明書配布

電子証明書認証は非常に強固な認証方式ですが、証明書をどう配布するかが課題です。
電子ファイル(PKCS#12)でのメール配布では通信経路にファイルが残ってしまい、不正コピーの恐れがあります。
また、管理側の許可なく別の端末にインポートされる可能性もあります。

Gléasであれば、ユーザ用ウェブ画面(UA)から直接端末に証明書をインポートできます。
証明書の秘密鍵が「エクスポート不可」として証明書ストアに格納された電子証明書は、
ファイルとして保存できないため、他のPCなどにコピーをすることはできなくなります。

インポートワンス機能

電子証明書の証明書ストアへのインポートを1回に制限する機能です。
通常は正式なユーザーとしてGléasのユーザ画面にログインすれば、複数の端末に同じ証明書をインポートできます。

インポートワンス機能を有効にすると、2回目以降の証明書インポートはできなくなります。
そのため、証明書認証でサーバにアクセスできるクライアント端末を限定することができます。

インポートワンス

メール通知

登録局(RA)で作成されたアカウントに対し、発行局(IA)から電子証明書が発行されると
アカウントに紐付けられたメールアドレスに、メールで通知できます。

メールテンプレートは任意に変更可能です。姓名やアカウント名を差し込めます。
証明書の更新時期が近づいた際に、管理者やユーザへアラートメールを送信できます。

管理機能

証明書管理

証明書の検索

Gléasは、証明書の要求・作成・失効・有効期限切れまでの
ライフサイクルを管理します。
複数の条件で証明書を検索し、一覧表示・一括操作できます。

アカウント管理

アカウントの抽出

ユーザやコンピュータ、サーバなど、証明書発行の対象は
「アカウント」として管理されます。
アカウントはグループに参加することで、組織や役割、属性を与えられます。
所属するグループの数は無制限です。複雑な組織構造にも対応できます。

ユーザアカウントはCSVによって一括作成することもできます。
さまざまな条件でアカウントを抽出し、一括処理を実行できます。

テンプレート機能

Gléasは、証明書の内容とポリシーを「テンプレート」で管理します。
アカウントが参加するグループにテンプレートを設定することで、
グループに参加するアカウントに発行できる証明書の枚数や、有効期限、サブジェクトなどを設定できます。

テンプレートを組み合わせることで、柔軟かつ簡単に証明書を管理することができます。

デバイス管理

Gléasの管理画面で、認証デバイスへの電子証明書のインポートができます。
また、USBトークンやICカードなどの認証デバイスのシリアルと名前を管理できます。

認証デバイスに証明書を格納した履歴や、認証デバイスを利用したユーザーの履歴を管理できます。
認証デバイスでの鍵生成や証明書要求作成もサポートしています。

管理画面のセキュリティ

Gléas管理者としてログインするには、管理者専用USBトークンとパスワードによる二因子認証が必要です。

管理者の操作履歴は全て記録されています。削除することはできません。
管理者が複数いる場合でも、USBトークンに格納された電子証明書により、管理者ごとに操作履歴が記録されます。

またGléasは、いつ誰がどの端末に証明書をインポートしたのかログをとっています。
セキュリティ監査への対応や、操作ミス発生時の原因究明などに活用できます。

セルフサービス

セルフサービスオプションを使うと、Gléasのユーザ画面(UA)で、ユーザ自身によるアカウントの登録申請や証明書発行/失効申請と、発行されたクライアント証明書のインポートができます。

アカウントの作成申請時に、メールアドレスの存在確認を行うこともできます。証明書発行に、管理者の承認を要するか、自動発行とするかを選択できます。

セルフサービス

Active Directory/LDAP連携

GléasはCSVファイルによってActive DirectoryやLDAPと連携できます。
Active Directory/LDAP上のユーザ属性と、Gléasのユーザグループをマッピングし、
ディレクトリの情報に合わせて自動的にGléasのグループに参加させることができます。

グループに参加したユーザに発行される証明書には、テンプレートによって証明書の有効期間の設定、サブジェクトなどの付与がされます。

また、ユーザ画面(UA)へのログイン時に、GléasはActive Directory/LDAPに認証を委任できます。
パスワードの管理をActive Directory/LDAPで一元化できるため、管理者・ユーザ双方の負担を軽減できます。

Active Directory/LDAP連携

事例

マルチテナント

Gléasは1台のサーバで、複数テナントの証明書の管理が簡単にできます。
グループ会社を統括する企業またはサービスプロバイダがGléasを運用し、
テナントとなる子会社またはユーザ企業が自社の管理者を設置することもできます。

それぞれ異なるポリシーの証明書を発行できます。

テナントごとに独立した認証局を構築することもできます。(オプション)

事例

モバイルデバイス管理

モバイルデバイス管理(MDM)は、iPhoneやiPadを管理するため、
構成プロファイル、無線(OTA)登録、Appleプッシュ通知サービスなど、
iOSテクノロジーを基に構築されています。

GléasのMDMは、管理下のiOSデバイスに対して、下記の操作をリモートで実行できます。

  • Gléasから発行された電子証明書を含む構成プロファイルのインストール
  • 電子証明書の更新
  • インストールされているアプリ情報の収集
  • アプリケーション配布
  • リモートワイプ
  • デバイスロック
  • パスコードリセット

BYOD(社員の個人所有)のiOSデバイスから、
メール、クラウドサービス、無線LAN、ファイルサーバなどへのアクセスのため
クライアント証明書を含む構成プロファイルをインストールしていた社員が退職する場合、
管理者は構成プロファイルをリモートワイプすることで
当該iOSデバイスをシステムから遮断できます。

事例

HSM対応

GléasはHSM(ハードウェア・セキュリティ・モジュール)に対応しています。
耐タンパー装置であるHSMで認証局の鍵の生成・保護をおこなうことで、高いセキュリティレベルを備える認証局運用が可能となり、
セキュリティリスクを極限まで低減できます。

  • ジェムアルト(セーフネット) Lunaシリーズ
  • タレス nShieldシリーズ

機能の詳しいご説明や、お見積りをご希望の場合は
各地の販売パートナーをご紹介いたします。


お問い合わせ