安全・確実な電子証明書配布

電子証明書による認証は、非常に強固な認証方式と言えますが、証明書の配布が大きな課題です。
管理側の意図しないデバイスで証明書を使われてしまっては、なりすましの恐れがあり、認証の意味がなくなってしまいます。

そのため、Gléasは下記の機能を備えています。

  • 証明書がファイル形式でデバイスに残らない
  • インポートされた証明書のエクスポート不可設定
  • 1枚の証明書が複数端末にインポートされない
  • 証明書がインポート可能な端末の限定

ブラウザを使った証明書インポート

Gléasでの証明書配布で最も採用されているのが、ブラウザを使った方法です。
WindowsであればInternet Explorer、iOSであればSafariを使ってGléasのユーザ用ウェブ画面にアクセスします。

証明書は直接OSの証明書ストアにインポートされるため、ファイル形式でデバイスに残りません。
証明書はエクスポート不可能の設定がされているため、他のデバイスで使われることはありません。

専用ソフトも不要で、最も安全な証明書配布方法と言えます。

Cert Importerを使った証明書インポート

macOS、Androidに証明書を配布する際に使われます。
デバイスにインストールしたCert Importerを使ってGléasのユーザ用ウェブ画面にアクセスします。

この方法も、証明書は直接OSの証明書ストアにインポートされるため、ファイル形式でデバイスに残りません。
証明書はエクスポート不可能の設定がされているため、他のデバイスで使われることはありません。

Gléasはその他に、SCEP、Over the Air(OTA)、外部システム連携APIを使った証明書配布にも対応しています。
また、PKCS#12ファイルのダウンロードを許可することもできます。

関連ニュース

  1. 2018.08.23 MobileIronと連携したクライアント証明書発行配布 技術資料
  2. 2017.12.20 AirWatchと連携したクライアント証明書発行配布 技術資料
  3. 2016.01.29 BizMobile Go!でのiOSへの電子証明書配布 アップデート

インポートワンス機能

インポートワンス

インポートワンス機能を有効にすると、一度端末にインポートされた電子証明書は、それ以降にユーザ用ウェブ画面にアクセスしてもインポートはできなくなります。
これの機能により、Gléasは1枚の証明書が複数の端末にインポートされるのを防ぎます。


証明書をインポートできる端末の限定

Active Directoryなどで収集したWindows端末のフルコンピュータ名や、購入時にリセラーより提供されるiOSのUDID/IMEI(端末識別情報)を、あらかじめGléasに登録し、登録のある端末だけに証明書インポートを許可することができます。
その場合、未登録のWindowsやiOSによるGléasのユーザ画面アクセスがあっても、Gléasは証明書取得を拒否します。

MACアドレスと比較してフルコンピュータ名やUDID/IMEIは詐称が困難です。インポートワンス機能と併用することにより、証明書取得を管理下の端末だけに限定できます。

管理機能

証明書管理

証明書の検索

Gléasは、証明書の要求・作成・失効・有効期限切れまでのライフサイクルを管理します。
証明書の状態(有効、失効、期限切れ、停止中)や日付(作成日、終了日、失効日)など、複数の条件で証明書を検索し、一覧表示・一括操作できます。

アカウント管理

アカウントの抽出

Gléasは、ユーザやコンピュータ、サーバなど、証明書発行の対象を「アカウント」として管理します。
アカウントをグループに所属させることで、組織や役割、属性を与えられます。
アカウントが所属できるグループの数は無制限です。複雑な組織構造にも対応できます。

ユーザアカウントはCSVによって一括作成することもできます。
さまざまな条件でアカウントを抽出し、一括処理を実行できます。

テンプレート機能

Gléasのテンプレート機能

Gléasは、証明書の内容とポリシーを「テンプレート」で管理します。
アカウントが所属するグループにテンプレートを設定することで、グループに参加するアカウントに発行できる証明書の枚数や、有効期限、サブジェクトなどを設定できます。

テンプレートを組み合わせることで、アカウントが所属するグループに合わせた証明書が発行されます。
テンプレートの初期設定は、導入時のコンサルティングによって設定されます。
また、管理者によるテンプレートの変更や追加が可能です。

デバイス管理

Gléasの管理画面で、認証デバイスへの電子証明書のインポートができます。
また、USBトークンやICカードなどの認証デバイスのシリアルと名前を管理できます。

認証デバイスに証明書を格納した履歴や、認証デバイスを利用したユーザーの履歴を管理できます。
認証デバイスでの鍵生成や証明書要求作成もサポートしています。

メール通知

Gléasは、電子証明書を発行すると、アカウントに紐付けられたメールアドレスに、証明書発行をメールで通知する機能があります。

メールテンプレートは任意に変更可能です。ユーザの姓名やアカウント名を差し込むこともできます。
また、証明書の有効期限が近づいた際に、管理者やユーザへアラートメールを自動送信する設定ができます。

管理画面のセキュリティ

Gléas管理者としてログインするには、管理者専用USBトークンとパスワードによる二因子認証が必要です。

管理者の操作履歴は全て記録されています。削除することはできません。
管理者が複数いる場合でも、USBトークンに格納された電子証明書により、管理者ごとに操作履歴が記録されます。

またGléasは、いつ誰がどの端末に証明書をインポートしたのかログをとっています。
セキュリティ監査への対応や、操作ミス発生時の原因究明などに活用できます。

セルフサービス

セルフサービスオプションを使うと、Gléasのユーザ用ウェブ画面(UA)で、ユーザ自身によるGléasへのアカウントの登録申請や証明書発行/失効申請ができます。

ユーザからGléasにアカウント登録の申請があった場合、Gléasは連携するActive Directory / LDAPへIDを問い合わせます。
AD / LDAPに該当のIDが存在すれば、Gléas内にアカウントが作成され、ユーザは証明書の発行申請をすることができます。

申請時に、AD / LDAPに登録されたメールアドレス宛にワンタイムURLを送付する認証を付加することもできます。

セルフサービスオプション

Gléasはユーザ用ウェブ画面を複数持つことができます。
セルフサービスオプションは、ユーザ用ウェブ画面ごとに設定ができます。またユーザグループごとに使用できるユーザ用ウェブ画面を指定できます。

そのため、特定のグループにだけセルフサービスオプションを許可するような運用が可能です。

大学や研究機関など、証明書を利用するユーザやデバイスの追加/削除が頻繁に行われたり、学生と教職員で証明書の運用を分けるようなケースで採用されています。

ユーザグループによってセルフサービスの可/不可を分ける

事例

Active Directory/LDAP連携

GléasはCSVファイルによってActive DirectoryやLDAPと連携できます。
また、ユーザ画面(UA)へのログイン時に、GléasはActive Directory/LDAPに認証を委任できます。
パスワードの管理をActive Directory/LDAPで一元化できるため、管理者・ユーザ双方の負担を軽減できます。

Active Directory/LDAP連携

事例

関連ニュース

  1. 2018.12.27 Office 365とADFSでのクライアント証明書認証 技術資料
  2. 2017.06.06 LDAP Managerからの証明書発行・失効操作 技術資料
  3. 2014.11.10 VANADISシリーズに対応 アップデート

マルチテナント

Gléasは1台のサーバで、複数テナントの証明書の管理が簡単にできます。
グループ会社を統括する企業またはサービスプロバイダがGléasを運用し、テナントとなる子会社またはユーザ企業が自社の管理者を設置することもできます。

それぞれ異なるポリシーの証明書を発行できます。

テナントごとに独立した認証局を構築することもできます。(オプション)

事例

モバイルデバイス管理

モバイルデバイス管理(MDM)は、iPhoneやiPadを管理するため、構成プロファイル、無線(OTA)登録、Appleプッシュ通知サービスなど、iOSテクノロジーを基に構築されています。

GléasのMDMは、管理下のiOSデバイスに対して、下記の操作をリモートで実行できます。

  • Gléasから発行された電子証明書を含む構成プロファイルのインストール
  • 電子証明書の更新
  • インストールされているアプリ情報の収集
  • アプリケーション配布
  • リモートワイプ
  • デバイスロック
  • パスコードリセット

BYOD(社員の個人所有)のiOSデバイスから、メール、クラウドサービス、無線LAN、ファイルサーバなどへのアクセスのためクライアント証明書を含む構成プロファイルをインストールしていた社員が退職する場合、管理者は構成プロファイルをリモートワイプすることで、当該iOSデバイスをシステムから遮断できます。

事例

関連ニュース

  1. 2017.12.20 AirWatchと連携したクライアント証明書発行配布 技術資料
  2. 2016.01.29 BizMobile Go!でのiOSへの電子証明書配布 アップデート

HSM対応

GléasはHSM(ハードウェア・セキュリティ・モジュール)に対応しています。
耐タンパー装置であるHSMで認証局の鍵の生成・保護をおこなうことで、高いセキュリティレベルを備える認証局運用が可能となり、
セキュリティリスクを極限まで低減できます。

  • ジェムアルト(セーフネット) Lunaシリーズ
  • タレス nShieldシリーズ

機能の詳しいご説明や、お見積り、ご相談をご希望の場合は
下記フォームよりお問い合わせ下さい。


お問い合わせ