証明書配布機能

ブラウザを使った証明書インポート

証明書認証の信頼性にとって、クライアント証明書をどう配布するかは重要な課題です。Gléasではあらゆる利用シーンに対応する配布機能を備えています。

Gléasの証明書配布方法でもっとも採用されているのが、OSネイティブのブラウザを使う方法です。WindowsであればInternet Explorer、iOSであればSafariを使ってGléasのユーザ用ウェブ画面にアクセスします。

証明書は直接OSの証明書ストアにインポートされるため、ファイル形式でデバイスに残りません。証明書の秘密鍵はエクスポートできない設定がされているため、他のデバイスにコピーされることはありません。

専用ソフトも不要で、もっとも安全な証明書配布方法と言えます。


専用アプリを使った証明書インポート

あらかじめ専用アプリ Cert Importerをデバイスにインストールし、アプリからGléasのユーザ用ウェブ画面にアクセスすることで、証明書をインポートする方法です。主にmacOS、Androidに証明書を配布する際に使われます。

証明書は直接OSの証明書ストアにインポートされるため、ファイル形式でデバイスに残りません。証明書はエクスポート不可能の設定がされているため、他のデバイスにコピーされることはありません。

Gléasはその他に、macOSでのSafari、AndroidでのChrome、SCEP、Over the Air(OTA)、MDMなどの外部システム連携用API、スマートカードを使った証明書配布にも対応しています。また、PKCS#12ファイルのダウンロードを許可することもできます。


関連ニュース

インポートワンス機能

電子証明書認証を使って、情報リソースにアクセスできる端末を限定する場合、1枚の証明書が複数の端末にインポートされてしまっては、目的を果たすことができないでしょう。Gléasでは管理者がインポートワンス機能を有効にすると、一度端末にインポートされた電子証明書は、それ以降にユーザ用ウェブ画面にアクセスしてもインポートはできなくなります。

証明書と対になる秘密鍵はエクスポート不可の設定がされているため、他のデバイスにコピーすることもできません。この機能により、Gléasは1枚の証明書が複数の端末にインポートされることを防ぎます。

インポートワンス機能は、WindowsでのInternet Explorerを使う方式、iOSでのSafariを使う方式、macOS / Androidでの専用アプリを使う方式のときに有効にできます。

インポートワンス機能

証明書をインポートできる端末の限定

Active Directoryなどで収集したWindows端末のフルコンピュータ名や、購入時にリセラーより提供されるiOSのUDID/IMEI(端末識別情報)を、あらかじめGléasに登録し、登録のある端末だけに証明書インポートを許可することができます。

その場合、未登録のWindowsやiOSによるGléasのユーザ画面アクセスがあっても、Gléasは証明書取得を拒否します。

MACアドレスと比較してフルコンピュータ名やUDID/IMEIは詐称が困難です。インポートワンス機能と併用することにより、証明書取得を管理下の端末に限定できます。

証明書をインポートできる端末の限定

Gléasは、ユーザ用ウェブページへのログイン認証を、Active Directory / LDAPに委任できます。パスワードの管理をActive Directory/LDAPで一元化できるため、管理者・ユーザ双方の負担を軽減できます。

また、AD / LDAPでのID追加・削除の際に、自動的にGléasの外部連携用APIにCSVファイルを送付することで、証明書発行・失効を自動化する連携も可能です。

Active Directory / LDAP連携

事例

関連ニュース

証明書管理機能はこちら