機能SecureW2の機能
SecureW2 - マネージドPKI
機能概要
SecureW2の証明書発行サービスは、鍵長・暗号アルゴリズム・鍵用途・有効期間などを個別に指定して証明書を発行することができます。SecureW2は、証明書を発行するユーザー情報をOneLoginなどのIdPへのSAML認証返答で受け取り、自動的に証明書を発行します。業務に最適化した認証局構成を作成することも可能です。ひとつのルート認証局の配下に、業務ごとの中間認証局を作成して、証明書発行機関を多段階に構成することも可能です。さらに、SecureW2のマネージドPKIサービスは、証明書発行したデバイス情報を保持し、世界中の主要なMDMサービスとの連携を実現します。
証明書仕様と認証局仕様
発行する証明書仕様と、認証局仕様を掲載します。
| PKI機能 | SecureW2 スペック | 機能詳細 |
|---|---|---|
| 証明書ライセンス | 50台以上(数万台まで) | ライセンス課金対象はデバイス。1デバイスに複数証明書発行可能 |
| クライアント証明書用途 | Server Authentication | サーバー認証 |
| 〃 | Client Authentication | クライアント認証 |
| 〃 | Email Protection | 電子メール暗号化 |
| 〃 | Smart Card Logon | スマートカード(ICカード)ログオン認証 |
| 〃 | KDC Authentication | ケルベロス認証 |
| 暗号鍵仕様 | 暗号アルゴリズム | RSA / ECC(楕円曲線信号) |
| RSA暗号鍵長 | 暗号アルゴリズム | |
| ECC暗号鍵長 | ECC P-256bit / P-384bit | マネージドPKIサービスで最も堅牢 |
| CRL発行周期 | 24時間 | BaseCRL:1w, DeltaCRL:24h |
| 認証局階層 | 3 階層 | ルート認証局 / 中間認証局 / CA(契約環境内に複数RootCAをもてる) |
| RADIUS | クラウドRADIUS | PrimaryIP / SecondaryIP / Port |
(2021/06/18現在 バージョン 5.31.1.GA1)
証明書発行方法
SecureW2ではデバイス証明書、無線LAN、VPNの認証に使う証明書、ユーザー証明書を発行することができます。SCEP連携やJoinNow(SecureW2オリジナルアプリ)を用いるとデバイス証明書や無線LAN、VPNの認証に使う証明書を発行することができます。ユーザー証明書は管理者が手動で発行する必要があります。
| 証明書発行方法 | デバイス証明書 | 無線LAN(EAP-TLS), VPN(SSL) | ユーザー証明書 |
|---|---|---|---|
| SCEP連携による自動発行 | ○ | ○ | × |
| JoinNow(Webダウンロード)発行 | ○ | ○ | × |
| IdP連携発行 | ○ | ○ | ○ |
| 管理者手動発行 | × | × | ○ |
認証局(CA)
SecureW2では複数のルートCAを作成することができます。また、1つのルートCAの配下に複数の中間CAを作成することもできます。
PKI Management >> Certificate AuthorityでCAの一覧を確認できます。
Certificate Authorityの中の[ Add Certificate Authority ]をクリックするとCAの設定画面が開きます。
同様の操作で中間CAも作成できます。
SecureW2ではCAを簡単な操作で複数作ることができます。
Identity Provider(IdP)
IdP(Idenitity Provider)とはユーザーIDやパスワードなどの認証情報の提供者のことです。
証明書発行するユーザーの認証方法を決めます。SecureW2には、SAML Identity Provider, LDAP Identity Provider, LOCAL Identity Providerなどのディレクトリタイプを参照連携できます。
Identity Management >> Identity ProvidersでIdPの一覧を確認できます。
[ Add Identity Provider ]をクリックするとIdPを追加することができます。
Local IdP
Local IdPとはSecureW2内部にあるディレクトリサービスのことです。
IdPのTypeをLOCALにすることでLocal IdPが作成できます。
ユーザーが認証をするときはSecureW2内で設定したユーザー名、パスワードを使います。
SAML IdP
SecureW2ではOneLoginやAzure ADなどのIDaaSとSAML連携できます。
ユーザーが認証をするときはIDaaSの認証方式に従います。
MDM連携
Intune, JamfなどのMDMサービスと連携することができます。MDMを使用すると証明書と構成プロファイルが自動でユーザーに配布することができます。
証明書テンプレート
証明書テンプレートは認証局が発行する証明書にどのように情報を符号化するかを決定します。PKI Management >> Certificate Authorities >> Add Certificate Templateで証明書テンプレートを作成することができます。
Policy Management > Enrollmentでデバイス証明書発行ルールを設定します。設定した証明書テンプレートに沿った内容の証明書が自動発行されます。
手動で証明書発行
PKI Management >> Create Certificateを開くと証明書発行画面に移ります。以下の画面のように各項目を入力することで証明書を発行することができます。デバイスやユーザー、有効期間、鍵長、暗号アルゴリズムなどを指定することができます。
Distribute PKCSで[ Download ]を選択すると管理者の端末に証明書がダウンロードされます。[ E-Mail ]で宛先を指定して[ Create ]をクリックすると、以下の画像のような証明書を添付したメールが指定したEmailアドレスに届きます。
証明書発行管理
SecureW2のDevice Onboarding > Devicesを開くと、証明書を発行したデバイスやユーザーの情報を確認できます。
左から2列目のDevice欄をクリックすると、証明書を持っているデバイスの情報、OS、証明書の履歴などを確認することができます。
