前提条件
- ユーザーから提示された証明書に署名した CA からルート証明書と中間証明書を入手します。
- (オプション)証明書認証のための有効な証明書ポリシーのオブジェクト識別子 (OID) のリスト。
- (オプション)CRL を失効チェック用に設定します。
- (オプション)OCSP サーバを失効チェック用に設定し、OCSP レスポンダ URL を把握します。OCSP サーバで失効チェックが有効になっている場合は、有効にする前に OCSP サーバが正常に動作していることを確認します。
- (オプション)OCSP 応答署名証明書ファイルの場所。
- 認証の前にユーザーに同意書が表示される場合は、同意書の内容。
手順
- Workspace ONE Access コンソールの ページで、[証明書(クラウド デプロイ)] を選択します。
- [構成] をクリックし、証明書認証設定を構成します。
- 証明書をアップロードします。
設定 説明 証明書アダプタを有効にする 証明書認証を有効にするには、[証明書アダプタを有効にする] トグルを有効にします。 ルートおよび中間 CA 証明書 アップロードする証明書ファイルを選択します。DER または PEM としてエンコードされた複数のルート CA および中間 CA 証明書を選択できます。 アップロードされた CA 証明書 アップロードされた証明書ファイルは、フォームの [アップロードされた CA 証明書] セクションに表示されます。 - 証明書内のユーザー ID を特定するためのユーザー ID 検索順序を選択します。
設定 説明 ユーザー ID の検索順序 証明書内のユーザー ID を特定する検索順序を選択します。
- [upn]:Subject Alternative Name の UserPrincipalName の値
- [email]:Subject Alternative Name のメール アドレス。
- [subject]:サブジェクトの UID 値。サブジェクト DN に UID が見つからない場合、CN テキスト ボックスが構成されていれば、CN テキスト ボックスの UID 値が使用されます。
UPN フォーマットを検証 UserPrincipalName の形式を検証するには、この設定を [はい] に切り替えます。 - [要求のタイムアウト]。応答を待機する時間を秒単位で入力します。ゼロ (0) の値は応答の待ち時間を制限しないことを意味します。
- [承認された証明書ポリシー]。証明書ポリシー拡張機能で受け入れられるオブジェクト識別子 (OID) のリストを作成します。証明書発行ポリシーのオブジェクト識別子番号を入力します。[追加] をクリックして、OID を追加します。
- 証明書失効チェックを構成するには、[証明書の失効を有効にする] トグルを有効にします。失効チェックにより、ユーザー証明書が失効したユーザーは認証されなくなります。
証明書失効リスト (CRL) とオンライン証明書ステータス プロトコル (OCSP) 失効チェックの両方がサポートされています。
Workspace ONE Access での証明書認証のための証明書失効チェックの使用を参照してください。
[CRL のみを失効チェック用に構成する]
CRL は、証明書を発行した CA が公開する失効された証明書のリストです。失効に [証明書の CRL を使用する] を有効にすると、Workspace ONE Access サーバは CRL を読み取り、ユーザー証明書の失効ステータスを判断します。証明書が失効していると、証明書による認証は失敗します。
失効チェックに使用する CRL の URL を構成します。証明書から URL を有効にするか、[CRL の場所] テキスト ボックスに CRL の URL を入力できます。URL は、証明書自体の [CRL] フィールドから取得されます。
オプション 説明 [証明書の CRL を使用する] トグルを有効にし、[CRL の場所] 設定で値を設定しない [証明書の CRL を使用する] トグルを有効にすると、証明書の [CRL] フィールドから証明書失効リスト (CRL) が取得されます。
注: [CRL の場所] の設定値に値がある場合、この構成では無視されます。[CRL の場所] を設定します。[CRL の場所] を設定した場合は、[証明書の CRL を使用する] トグルを有効にしないでください。 証明書のステータスの検証に使用される CRL を取得する CRL の URL を入力します。 注: [証明書の CRL を使用する] トグルはこの構成では有効になっていません。[OCSP のみを失効チェック用に構成する]
失効チェックに OCSP のみを使用するには、次の設定を構成します。
注: Workspace ONE Access で AirWatch 認証局を使用している場合は、失効チェックのために OCSP を有効にします。 [証明書の CRL を使用する] 設定を有効にしたり、 [CRL の場所] テキスト ボックスに URL 値を入力したりしないでください。設定 説明 OCSP の失効を有効にする オンライン証明書ステータス プロトコル (OCSP) の証明書検証プロトコルを使用して証明書の失効ステータスを取得するには、[OCSP の失効を有効にする] トグルを有効にします。 OCSP Nonce を送信する OCSP Nonce は、リプレイ攻撃を防ぐために OCSP 応答メッセージを特定の OCSP 要求メッセージに暗号的にバインドするために使用される一意の識別子です。
OCSP 要求の一意の識別子を使用して証明書を検証する場合は、[OCSP Nonce を送信する] トグルを有効にします。
OCSP の URL OCSP URL は、[OCSP の URL] テキスト ボックスに手動で入力するか、検証されている証明書の AIA (Authority Information Access) 拡張機能から抽出することができます。
OCSAP URL を手動で設定するには、失効チェック サーバの OCSP URL を入力します。
OCSP URL のソース 証明書認証を構成するときに選択する OCSP オプションは、Workspace ONE Access が OCSP URL をどのように取得するかを決定します。
ドロップダウン メニューから、失効チェックに使用するソースを選択します。
- [構成のみ]:テキスト ボックスで指定した OCSP URL を使用して証明書の失効チェックを実行し、証明書チェーン全体を検証します。[OCSP URL] テキスト ボックスには、失効チェック用の OCSP サーバ アドレスも構成する必要があります。
- [証明書のみ (必須)]:チェーン内の各証明書の AIA 拡張機能にある OCSP URL を使用して証明書の失効チェックを実行します。チェーン内の各証明書には OCSP URL が定義されている必要があります。そうでないと、証明書の失効チェックは失敗します。
注: AirWatch CA を使用している場合は、ソースとして [証明書のみ (必須)] を選択します。
- [証明書のみ (オプション)]:証明書の AIA 拡張機能にある OCSP URL のみを使用して証明書の失効チェックを実行します。証明書の AIA 拡張機能に OCSP URL がない場合は、失効チェックを実行しません。[OCSP URL] テキスト ボックスの設定は無視されます。
- [構成へのフォールバック付き証明書]:OCSP URL が使用可能なときに、チェーン内の各証明書の AIA 拡張機能から抽出された OCSP URL を使用して証明書の失効チェックを実行します。OCSP URL が AIA 拡張機能にない場合は、OCSP URL のテキスト ボックスで構成した OCSP URL を使用して失効チェックを実行します。OCSP URL のテキスト ボックスには、OCSP サーバ アドレスを設定する必要があります。
OCSP レスポンダの署名証明書 レスポンダの OCSP 証明書ファイルを検索して選択します。 OCSP 署名証明書をアップロードする このセクションにはアップロードされた OCSP 署名証明書ファイルがリストされます。 [CRL と OCSP の両方を失効チェック用に構成する]
CRL と OCSP の両方を失効チェックに使用するには、CRL と OCSP の両方の失効チェックの設定を構成し、[OCSP の障害時に CRL を使用する] トグルを有効にします。
この設定を有効にすると、最初に OCSP がチェックされ、OCSP が失敗すると、失効チェックは CRL にフォールバックされます。CRL で障害が発生した場合、OCSP に戻って失効チェックが実行されることはありません。 - [認証前に同意書を有効にする]。ユーザーが証明書認証を使用して Workspace ONE ポータルにログインする前に同意書ページを表示するには、このチェック ボックスをオンにします。[同意書の内容] テキスト ボックスに、同意書に表示されるテキストを入力します。
- 証明書をアップロードします。
- [保存] をクリックします。
次のタスク
- 組み込み ID プロバイダの証明書(クラウド デプロイ)認証方法を関連付けます。Workspace ONE Access での組み込み ID プロバイダの構成を参照してください。
- 組み込み ID プロバイダで証明書認証方法を関連付けてから、デフォルトのアクセス ポリシーに認証方法を追加します。Workspace ONE Access サービスでのアクセス ポリシーの管理を参照してください。