「証明書認証」では、証明書認証で利用するクライアント証明書(CA証明書)の登録やCA証明書の登録に関する設定ができます。
証明書認証の設定は基本的に1時間程度で反映されますが、クライアント側の環境(ブラウザの持つキャッシュ情報等)によっては、反映まで1時間以上かかる場合があります。なるべく、システムに影響が少ない時間帯での作業をお願いします。
設定の際には、左メニュー「認証」>「証明書認証」を選択します。
■証明書認証の設定項目
項目名 | 説明 |
証明書のサブジェクト | クライアント証明書のサブジェクトのDNを設定します。
「認証ルール登録」で「認証方式」の「証明書認証」、「証明書確認」にチェックを入れた場合、クライアント証明書のサブジェクトの値と、当項目に入力した値とを比較し、認証を行います。前方一致、または後方一致で確認し、一致しない場合は認証エラーとします。 DNの形式は、カンマ(,)区切りで記述してください。サブジェクトのDNは複数設定することができます。 |
(記述例) | |
証明書サブジェクトが下記の場合
OU=Sales, O=example.com, L=Bunkyo, ST=Tokyo, C=JP
設定画面にはこのように記述します。 O=example.com,L=Bunkyo, ST=Tokyo,C=JP
※この場合、「”O”の値、”L”の値、”ST”の値」が一致しない証明書では認証エラーとなります。 |
|
CA証明書 | クライアント証明書を発行したCA証明書を選択してアップロードします。登録可能な証明書形式は「pem」形式、登録可能な改行コードはlf(ラインフィード)形式です。改行コードにcr(キャリッジリターン)形式が含まれる場合、エラーとなりますのでご注意ください。
また、証明書の数によりアップロードの方法が違います。 |
■ルートCA証明書のみの場合 | |
取得したルートCA証明書をpem形式に変換してアップロードしてください。 | |
■中間証明書がある場合 | |
取得したルートCAの証明書と中間証明書を1ファイルに結合してアップロードしてください。1ファイルに結合する際、一部欠損していたり、記述形式が乱れている場合などはエラーとなります。また、下位のCA証明書から、順に上位に向かうように記述してください。 (例) —–BEGIN CERTIFICATE—– 発行CA証明書 XXXX —–END CERTIFICATE—– —–BEGIN CERTIFICATE—– 中間CA証明書 XXXX —–END CERTIFICATE—– —–BEGIN CERTIFICATE—– ルート証明書CA XXXXX —–END CERTIFICATE—– |
|
■複数のルートCA証明書がある場合 | |
複数のルートCA証明書がある場合、複数ファイルをzip形式で1つにまとめて圧縮したもの(パスワードなし)をアップロードしてください。また、それぞれのルートCA証明書ごとにファイルを分けて結合してください。 また、画面下部の「CA証明書全削除」を押下することで、登録されているCA証明書を削除することができます。 |
|
CRLのURL | CRLをダウンロードするURLを設定します。URLはカンマ(,)区切りで複数登録できます。※設定したURLから毎時30分にCRLリストを取得し、毎時50分に反映されます。反映までの20分の間隔は、取得リストが多い場合の処理時間を考慮したものです。 |
CA証明書有効期限切れ通知 | 「有効」にチェックを入れると、CA証明書の有効期限が切れた際、「テナント情報」内の「システムからの通知先メールアドレス」に設定されたメールアドレス宛に通知が送られます。※毎時35分頃にチェックを行います。有効期限が切れた場合には一度通知をOFFにし、CA証明書の入れ替えを行ってください。 |
CRL有効期限切れ通知 |
「有効」にチェックを入れると、CRLの有効期限が切れた際、「テナント情報」にある、「システムからの通知先メールアドレス」に設定されたメールアドレス宛に通知が送られます。 ※毎時35分頃にチェックを行います。 有効期限が切れた場合には一度通知をOFFにし、CRL発行元のCA局に問い合わせるなどして、最新のCRLに入れ替えてください。 |
クライアント証明書有効期限切れ通知 |
SeciossLinkで発行されたクライアント証明書が有効期限に近づいたタイミングで、「テナント情報」にある「システムからの通知先メールアドレス」に設定されたメールアドレス宛に通知を行います。 ※毎日3時頃にチェックされ、期限切れ1ヶ月前と期限が切れたタイミングで通知を行います。 |