証明書配布機能

ブラウザを使った証明書インポート

証明書認証の信頼性にとって、クライアント証明書をどう配布するかは重要な課題です。Gléas ではあらゆる利用シーンに対応する配布機能を備えています。

Gléas の証明書配布方法でもっとも採用されているのが、OS ネイティブのブラウザを使う方法です。Windows であれば Edge / Chrome、iOS であれば Safari を使って Gléas のユーザ用ウェブ画面にアクセスします。

証明書は直接 OS の証明書ストアにインポートされるためファイル形式でデバイスに残りません。証明書の秘密鍵はエクスポートできない設定がされているため他のデバイスにコピーされることもなく、安全な証明書の配布方法となります。



専用アプリを使った証明書インポート

あらかじめ専用アプリ Cert Importerをデバイスにインストールし、アプリからGléasのユーザ用ウェブ画面にアクセスすることで、証明書をインポートする方法です。主にmacOS、Androidに証明書を配布する際に使われます

証明書は直接OSの証明書ストアにインポートされるため、ファイル形式でデバイスに残りません。証明書はエクスポート不可能の設定がされているため、他のデバイスにコピーされることはありません

Gléasはその他に、macOSでのSafari、AndroidでのChrome、SCEP、Over the Air(OTA)、MDMなどの外部システム連携用API、スマートカードを使った証明書配布にも対応しています。また、PKCS#12ファイルのダウンロードを許可することもできます。



インポートワンス機能

電子証明書認証を使って、情報リソースにアクセスできる端末を限定する場合、1枚の証明書が複数の端末にインポートされてしまっては、目的を果たすことができないでしょう。Gléasでは管理者がインポートワンス機能を有効にすると、一度端末にインポートされた電子証明書は、それ以降にユーザ用ウェブ画面にアクセスしてもインポートはできなくなります。

証明書と対になる秘密鍵はエクスポート不可の設定がされているため、他のデバイスにコピーすることもできません。この機能により、Gléasは1枚の証明書が複数の端末にインポートされることを防ぎます。

インポートワンス機能は、WindowsでのInternet Explorerを使う方式、iOSでのSafariを使う方式、macOS / Androidでの専用アプリを使う方式のときに有効にできます。

インポートワンス機能


証明書をインポートできる端末の限定

Active Directoryなどで収集したWindows端末のフルコンピュータ名や、購入時にリセラーより提供されるiOSのUDID/IMEI(端末識別情報)を、あらかじめGléasに登録し、登録のある端末だけに証明書インポートを許可することができます。

その場合、未登録のWindowsやiOSによるGléasのユーザ画面アクセスがあっても、Gléasは証明書取得を拒否します。

MACアドレスと比較してフルコンピュータ名やUDID/IMEIは詐称が困難です。インポートワンス機能と併用することにより、証明書取得を管理下の端末に限定できます。

証明書をインポートできる端末の限定