Pulse Connect Secure での電子証明書認証

Gléas で発行したクライアント証明書を利用して、Pulse Secure 社の SSL-VPN アプライアンス Pulse Connect Secure での電子証明書認証の動作検証を行いました。

その検証内容や手順を記載したホワイトペーパーを公開します。


ホワイトペーパーのダウンロード

ホワイトペーパー Pulse Connect Secure での電子証明書認証(約3.8MB)

検証概要

ホワイトペーパー

Pulse Connect Secure に、Gléas で発行したサーバ証明書をインポートし、信頼するクライアント証明書の認証局として Gléas のルート証明書を登録します。

クライアント端末で Gléas のユーザ用ウェブページにアクセスし、クライアント証明書をインポートします。Gléas は、iOS にクライアント証明書をインポートさせる際に、Pulse Secure Client の接続設定(接続名、ホスト名、オンデマンド接続先)を同時にインポートできます。

各 iOS 端末での接続設定を省くことができるため、キッティングの負担を軽減できます。

社外での Widows 利用時に自動 VPN

Windows では、社外での利用時に自動的にVPN接続を開始させる Location Awareness 機能が使えます。

ホワイトペーパー

① Gléas から電子証明書を端末にインポート
② Pulse Secure Client が DNS 情報などをもとに社外にいることを認識
③ 自動で Pulse Connect Secure に SSL-VPN 接続を開始
④ 電子証明書で認証(有効な証明書がなければ接続拒否)
⑤ 管理者によって定められた端末の健全性ポリシーをチェック(ポリシーを満たさなければ接続拒否)

社外でのクラウドサービスなどへの情報資産アクセスに、証明書認証とデバイスのセキュリティチェックを必須にできるため、シャドー IT への対策としても有効です。社外にいた端末が社内ネットワークに移動すると、自動で VPN 接続を切断する設定もできるため、VPN の帯域が無駄に専有されることを防ぎます。

SCEP を使った証明書配布

ホワイトペーパー

また、BYOD のためのエンタープライズ・オンボーディング機能の動作検証を行いました。

SCEP 通信 (Simple Certificate Enrollment Protocol) を利用するため、SCEP サーバ用証明書を Gléas で発行し、Pulse Connect Secure にアップロードします。

Pulse Connect Secure のユーザ ID と同一のアカウントが Gléas に存在する状態で、クライアント端末 (Windows) から Pulse Connect Secure を経由して証明書発行依頼があった場合、Gléas はクライアント証明書を発行し、ユーザは Pulse Connect Secure から証明書をインポートできます。

関連するコンテンツ