機能概要

SecureW2の証明書発行サービスは、鍵長・暗号アルゴリズム・鍵用途・有効期間などを個別に指定して証明書を発行することができます。SecureW2は、証明書を発行するユーザー情報をOneLoginなどのIdPへのSAML認証返答で受け取り、自動的に証明書を発行します。業務に最適化した認証局構成を作成することも可能です。ひとつのルート認証局の配下に、業務ごとの中間認証局を作成して、証明書発行機関を多段階に構成することも可能です。さらに、SecureW2のマネージドPKIサービスは、証明書発行したデバイス情報を保持し、世界中の主要なMDMサービスとの連携を実現します。

証明書仕様と認証局仕様

発行する証明書仕様と、認証局仕様を掲載します。

PKI機能 SecureW2 スペック 機能詳細
証明書ライセンス 50台以上(数万台まで) ライセンス課金対象はデバイス。1デバイスに複数証明書発行可能
クライアント証明書用途 Server Authentication サーバー認証
Client Authentication クライアント認証
Email Protection 電子メール暗号化
Smart Card Logon スマートカード(ICカード)ログオン認証
KDC Authentication ケルベロス認証
暗号鍵仕様 暗号アルゴリズム RSA / ECC(楕円曲線信号)
RSA暗号鍵長 暗号アルゴリズム
ECC暗号鍵長 ECC P-256bit / P-384bit マネージドPKIサービスで最も堅牢
CRL発行周期 24時間 BaseCRL:1w, DeltaCRL:24h
認証局階層 3 階層 ルート認証局 / 中間認証局 / CA(契約環境内に複数RootCAをもてる)
RADIUS クラウドRADIUS PrimaryIP / SecondaryIP / Port

(2021/06/18現在 バージョン 5.31.1.GA1)

証明書発行方法

SecureW2ではデバイス証明書、無線LAN、VPNの認証に使う証明書、ユーザー証明書を発行することができます。SCEP連携やJoinNow(SecureW2オリジナルアプリ)を用いるとデバイス証明書や無線LAN、VPNの認証に使う証明書を発行することができます。ユーザー証明書は管理者が手動で発行する必要があります。

証明書発行方法 デバイス証明書 無線LAN(EAP-TLS), VPN(SSL) ユーザー証明書
SCEP連携による自動発行 ×
JoinNow(Webダウンロード)発行 ×
IdP連携発行
管理者手動発行 × ×

認証局(CA)

SecureW2では複数のルートCAを作成することができます。また、1つのルートCAの配下に複数の中間CAを作成することもできます。

PKI Management >> Certificate AuthorityでCAの一覧を確認できます。

Certificate Authorityの中の[ Add Certificate Authority ]をクリックするとCAの設定画面が開きます。

同様の操作で中間CAも作成できます。
SecureW2ではCAを簡単な操作で複数作ることができます。

Certificate Authority

Identity Provider(IdP)

IdP(Idenitity Provider)とはユーザーIDやパスワードなどの認証情報の提供者のことです。
証明書発行するユーザーの認証方法を決めます。SecureW2には、SAML Identity Provider, LDAP Identity Provider, LOCAL Identity Providerなどのディレクトリタイプを参照連携できます。
Identity Management >> Identity ProvidersでIdPの一覧を確認できます。
[ Add Identity Provider ]をクリックするとIdPを追加することができます。

SecureW2 IdPManager

Local IdP

Local IdPとはSecureW2内部にあるディレクトリサービスのことです。
IdPのTypeをLOCALにすることでLocal IdPが作成できます。
ユーザーが認証をするときはSecureW2内で設定したユーザー名、パスワードを使います。

Local_IdP

SAML IdP

SecureW2ではOneLoginやAzure ADなどのIDaaSとSAML連携できます。

ユーザーが認証をするときはIDaaSの認証方式に従います。

SAML IdP

MDM連携

Intune, JamfなどのMDMサービスと連携することができます。MDMを使用すると証明書と構成プロファイルが自動でユーザーに配布することができます。

証明書テンプレート

証明書テンプレートは認証局が発行する証明書にどのように情報を符号化するかを決定します。PKI Management >> Certificate Authorities >> Add Certificate Templateで証明書テンプレートを作成することができます。

Policy Management > Enrollmentでデバイス証明書発行ルールを設定します。設定した証明書テンプレートに沿った内容の証明書が自動発行されます。

enrollment

手動で証明書発行

PKI Management >> Create Certificateを開くと証明書発行画面に移ります。以下の画面のように各項目を入力することで証明書を発行することができます。デバイスやユーザー、有効期間、鍵長、暗号アルゴリズムなどを指定することができます。

Distribute PKCSで[ Download ]を選択すると管理者の端末に証明書がダウンロードされます。[ E-Mail ]で宛先を指定して[ Create ]をクリックすると、以下の画像のような証明書を添付したメールが指定したEmailアドレスに届きます。

create_certificate

証明書発行管理

SecureW2のDevice Onboarding > Devicesを開くと、証明書を発行したデバイスやユーザーの情報を確認できます。

左から2列目のDevice欄をクリックすると、証明書を持っているデバイスの情報、OS、証明書の履歴などを確認することができます。

admin_certificate