SecureW2 - マネージドPKI

機能概要

SecureW2の証明書発行サービスは、鍵長・暗号アルゴリズム・鍵用途・有効期間などを個別にカスタマイズして証明書を発行することができます。SecureW2は、証明書を発行するユーザー情報をOneLoginなどのIdPへのSAML認証返答で受け取り、自動的に証明書を発行します。 業務に最適化した認証局構成を作成することも可能です。 ひとつのルート認証局の配下に、業務ごとの中間認証局を作成して、証明書発行機関を多段階に構成することも可能です。 さらに、SecureW2のマネージドPKIサービスは、証明書発行したデバイス情報を保持し、世界中の主要なMDMサービスとの連携を実現します。

証明書(鍵ペア)と認証局

インターネットで電子証明書と表現される「証明書」とは、公開鍵 (錠) と鍵発行者エビデンスが一体になったモノです。このほか同時に、公開鍵 (錠) と対になる 秘密鍵 (鍵) が生成されます。 秘密鍵こそが自分だけが保有する大切な鍵です。

証明書仕様と認証局仕様

一般的に、公開鍵(錠)と秘密鍵(鍵)を「鍵ペア」と表現することもあります。発行される鍵ペアの強靱さを「鍵ペア強度」として堅牢さをあらわす、暗号アルゴリズムをスペックで表現します。 発行する鍵ペア強度と証明書鍵用途については以下のような仕様を持ちます。

PKI機能 SecureW2 スペック 機能詳細
暗号鍵仕様 暗号アリゴリズム RSA / ECC(楕円曲線暗号)
RSA暗号鍵長 RSA 2,048bit / RSA 4,096bit
ECC暗号鍵長 ECC P-256bit / ECC P-384bit 主要PKIデバイスがサポート

(2021/06/18現在 バージョン 5.31.1.GA1)

証明書発行における認証局構成

認証局仕様

一般的に、証明書を発行・認証する機関を「認証局:CA(Certificate Authority)」と表現します。旧来は証明書を発行・認証するCAと、そのCAを認定する「ルート認証局:Root CA(Root Certificate Authority)」と2階層で運用されていましたが、 SecureW2は、Root CA、「中間認証局:Intermediate CA(Intermediate Certification Authority)」、CAの3階層で運用できます。 証明書鍵用途、認証局構成については以下のような仕様を持ちます。

PKI機能 SecureW2 スペック 機能詳細
証明書ライセンス 50台以上(数万台まで) ライセンス課金対象はデバイス。1デバイスに複数証明書発行可能
クライアント証明書用途 Server Authentication サーバー認証
Email Protection 電子メール暗号化
Smart Card Logon スマートカード(ICカード)ログオン認証
KDC Authentication ケルベロス認証
認証局階層 3 階層 ルート認証局 / 中間認証局 / CA(契約環境内に複数RootCAをもてる)

(2021/06/18現在 バージョン 5.31.1.GA1)

内部IdPによる証明書発行と外部IdP連携による証明書発行

発行する証明書に含まれるユーザー情報は、ふたつの方法で取得する証明書発行があります。

  1. 内部IdPによる証明書発行   :SecureW2内部IdPにユーザー情報を登録して発行する方法
  2. 外部IdP連携による証明書発行 :OneLogin / Azure AD / Okta / Ping Identity / 他 からユーザー情報を取得してオンデマンドで発行する連携

内部IdPによる証明書発行

内部IdPで証明書を発行するには、SecureW2内部IdPに証明書に搭載するサブジェクトを事前に登録する必要があります。

SecureW2 マネージドPKIを利用した内部IdPによる証明書発行の流れの図

認証局(CA)による証明書発行

SecureW2では複数のルートCAを作成することができます。また、1つのルートCAの配下に複数の中間CAを作成することもできます。SecureW2ではCAを簡単な操作で複数作ることができます。

SecureW2 マネージドPKIを利用した外部IdPによる証明書発行では複数の中間CAを作成出来ます。

外部IdP連携による証明書発行

SecureW2を外部IdPと連携することで、今現在のユーザー情報を元に即時発行できます。もちろん管理者による情報入力操作は不要で自動的に発行されます。

SecureW2 マネージドPKIを利用した外部IdPによる証明書発行

Idenitity Provider(IdP) 連携の例

SecureW2には、SAML Identity Provider, LDAP Identity Provider, LOCAL Identity Providerなどのディレクトリタイプを参照連携できます。Identity Management >> Identity ProvidersでIdPの一覧を確認できます。 「Add Identity Provider」をクリックするとIdPを追加することができます。

SecureW2では、SAML Identity Provider, LDAP Identity Provider, LOCAL Identity Providerなどのディレクトリタイプを参照出来ます。

問い合わせはこちら

ペンティオでは、SecureW2の無料トライアルを承っております。社内環境をヒヤリングさせていただいた後にトライアル環境を準備いたします。

※トライアル環境の準備には数日要することになります。