PKI スマート カード認証を設定する方法
では、PKI スマート カードを使用してログインするユーザを認証できます。アプライアンスでは、スマート カードにロードされているユーザ証明書によって各ユーザを認証します。
capam32
HID_CACUsersPanel
Privileged Access Manager
では、PKI スマート カードを使用してログインするユーザを認証できます。アプライアンスでは、スマート カードにロードされているユーザ証明書によって各ユーザを認証します。FIPS モードは、US DOD CAC システムを含む PKI スマート カードの使用に完全な互換性があります。
PAM
にログインしているユーザのスマート カード認証を有効にするには、以下のタスクを完了します。2
ビデオを視聴
PKI スマート カードのセットアップのデモについては、このビデオを視聴します。
証明書の検証用に OCSP または CRL をセットアップ
スマート カードでログインするユーザを認証するために、アプライアンスではユーザ証明書の失効ステータスを確認する必要があります。証明書の検証を設定することは、スマート カード認証を有効にするための前提条件です。
ユーザ証明書を検証するには、以下のいずれかの方法をセットアップします。
各手順では、必要な証明書をアップロードし、ユーザ証明書の検証オプションを有効にする方法について説明します。
セットアップ プロセスを簡略化するために、証明書バンドルを使用することをお勧めします。証明書バンドルを使用する場合は、個別の証明書をアップロードする必要はありません。
OCSP 検証の使用
オンライン証明書ステータス プロトコル(OCSP)を使用して、ユーザ証明書のステータスを検証できます。
PAM
では、OCSP リクエストを OCSP サーバに送信してユーザ証明書を検証します。OCSP サーバは、ユーザ証明書内の必要な情報を返します。OCSP を使用するには、以下の手順に従います。
- 証明機関(CA)から証明書バンドルまたは個別の証明書を取得します。中間証明書を使用する場合は CRL および中間証明書も取得します。
- [設定]-[セキュリティ]-[証明書]ページに移動します。
- [アップロード]タブを選択します。
- 使用される各チェーンのルート証明書または証明書バンドルをアップロードします。ルート証明書は、ユーザ証明書の証明書パス内に含まれている必要があります。以下のフィールドに入力し、[アップロード]を選択します。
- タイプ:[CA バンドル](推奨)または[証明書]を選択します。Windows システム上で CA バンドルを作成するには、Microsoft の証明書マネージャーを使用します。証明書マネージャーにアクセスするには、[スタート]ボタンを選択します。[検索]フィールドで、「certmgr.msc」と入力します。[証明書マネージャ](certmgr)ダイアログ ボックスが表示されます。
- その他のオプション: アップロードする証明書の形式(X509 または PKCS)を選択します。
- ファイル名:アップロードするローカル システム上のルート証明書またはバンドルを参照します。
- 宛先ファイル名:必要に応じて、証明書のファイル名を変更します。それ以外の場合、このフィールドは空白にします。
- パスフレーズ:必要に応じて、証明書のパスワードを入力します。
- 必要に応じて、CRL および中間証明書をアップロードします。環境内の PKI に応じて、中間証明書が必要になることがあります。証明書は、ユーザ証明書の証明書パス内に含まれている必要があります。以下の設定を完了し、[アップロード]を選択します。
- タイプ:中間証明書を選択します。
- その他のオプション: アップロードする証明書の形式(X509 または PKCS)を選択します。
- ファイル名:アップロードするローカル システム上の証明書を参照します。
- 宛先ファイル名:必要に応じて、証明書のファイル名を変更します。それ以外の場合、このフィールドは空白にします。
- パスフレーズ:必要に応じて、証明書のパスワードを入力します。
ルート証明書または証明書バンドルをアップロードする場合、CRL をアップロードする必要はありません。 - [CRL オプション]タブに移動します。
- [タイプ]設定で[OCSP の使用]を選択し、[更新]を選択します。
次のステップ: スマート カード認証の有効化
CRL 検証の使用
CRL を使用して、ユーザ証明書のステータスを検証できます。
CRL を使用するには、以下の手順に従います
。- 証明機関(CA)から証明書バンドルまたは個別の証明書を取得します。中間証明書を使用する場合は CRL および中間証明書も取得します。
- [設定]-[セキュリティ]-[証明書]ページに移動します。
- [アップロード]タブを選択します。
- 使用される各チェーンのルート証明書または証明書バンドルをアップロードします。ルート証明書は、ユーザ証明書の証明書パス内に含まれている必要があります。以下のフィールドに入力し、[アップロード]を選択します。
- タイプ:[CA バンドル](推奨)または[証明書]を選択します。Windows システム上で CA バンドルを作成するには、Microsoft の証明書マネージャーを使用します。証明書マネージャーにアクセスするには、[スタート]ボタンを選択します。[検索]フィールドで、「certmgr.msc」と入力します。[証明書マネージャ](certmgr)ダイアログ ボックスが表示されます。
- その他のオプション: アップロードする証明書の形式(X509 または PKCS)を選択します。
- ファイル名:アップロードするローカル システム上のルート証明書またはバンドルを参照します。
- 宛先ファイル名:必要に応じて、証明書のファイル名を変更します。それ以外の場合、このフィールドは空白にします。
- パスフレーズ:必要に応じて、証明書のパスワードを入力します。
- CRL をアップロードします。以下のフィールドに入力し、[アップロード]を選択します。ルート証明書または証明書バンドルをアップロードする場合、CRL をアップロードする必要はありません。
- タイプ:証明書失効リストを選択します。
- その他のオプション: このフィールドは無視されます。このフィールドは、CRL には適用されません。
- ファイル名:アップロードするローカル システム上の CRL を参照します。
- 宛先ファイル名:必要に応じて、CRL のファイル名を変更します。それ以外の場合、このフィールドは空白にします。
- パスフレーズ:必要に応じて、CRL のパスワードを入力します。パスワードは通常 CRL に必要とされません。
- 必要に応じて、中間証明書をアップロードします。環境内の PKI に応じて、中間証明書が必要になることがあります。証明書は、ユーザ証明書の証明書パスに含まれている必要があります。フィールドに入力し、[アップロード]を選択します。
- 中間証明書:中間証明書を選択します。
- その他のオプション: 証明書の形式(X509 または PKCS)を選択します。
- ファイル名:アップロードするローカル システム上の証明書を参照します。
- 宛先ファイル名:必要に応じて、証明書のファイル名を変更します。それ以外の場合、このフィールドは空白にします。
- パスフレーズ:必要に応じて、証明書のパスワードを入力します。
- [CRL オプション]タブに移動します。
- [タイプ]設定で、[CRL の使用]を選択します。[CRL タイプ]設定で、デフォルトの[CRL を手動でアップロード]を受け入れます。
- [更新]を選択します。
次のステップ: スマート カード認証の有効化
スマート カード認証の有効化
証明書の検証をセットアップした後に、スマート カード認証を有効にします。
Linux デスクトップでは PKI/スマート カード オプションを使用できません。Windows または Macintosh のデスクトップを使用してください。
以下の手順に従います。
- [構成]-[セキュリティ]-[アクセス]に移動します。
- [PKI/スマート カード オプション]タブを選択します。
- 以下のオプションで[有効]を選択します。
- PKI/スマート カード ユーザ ログイン。このオプションで、スマート カード ログインを有効にします。この設定を有効にすると、アプライアンスでログイン時にユーザ証明書が要求されます。
- ログイン ページで PKI/スマート カード オプションを有効化。このオプションは、ログイン ページに PKI ログイン ボタンを追加します。
- 必要に応じて、以下の設定を有効にできます。
- [PKI/スマート カードがない場合ログイン ページなし]チェック ボックス: [有効]を選択すると、ユーザはログインにスマート カードが必要です。[無効]を選択すると、ユーザは、ユーザ名とパスワード、またはその他の設定済みの認証方法を使用して認証できます。ほとんどの場合、このオプションは無効のままにすることができます。ユーザがスマート カードを使用して認証できない場合は、既知のユーザ名とパスワードを使用して設定ページを利用できます。
- ポリシー識別子:必要に応じて、証明書の PKI ポリシーの識別子を入力します。
- [保存]を選択します。
ログインを許可するスマート カード ユーザの承認
スマート カード ユーザが初めて
PAM
にログインする場合、管理者はそのユーザを承認する必要があります。この要件は、事前承認済みのユーザには適用されません。事前承認済みのユーザとは、CSV のインポート、LDAP のインポート、または API などの方法でアプライアンスに追加されたユーザです。ログイン時に、未承認のユーザには、証明書の登録が処理中であることを示すエラー メッセージが表示されます。このメッセージは、通常の動作によるものです。管理者がユーザを承認すると、そのユーザはログインを再試行できます。ユーザは、承認を与える
PAM
管理者に通知することが必要な場合があります。スマート カード ユーザを承認するには、以下の手順に従います。
- ユーザ/グループ マネージャ、運用管理者、またはグローバル管理者としてPAMにログインします。
- [ユーザ]-[スマートカード ユーザの承認]を選択します。
- 各スマート カード ユーザに対して[承認]を選択します。ユーザを拒否するには、[削除]を選択します。
- [保存]を選択します。
ユーザが承認されます。
ログインに成功した後、アプライアンスには、ユーザ ID を検証するための証明書を要求するメッセージが表示されます。証明書のリストから、ユーザは、スマート カードの使用とログインのために指定されている証明書を選択する必要があります。ユーザは、証明書の詳細を表示して、証明書がスマート カードの使用を目的としたものであるかどうかを確認できます。[詳細]タブの
[Key Usage (キーの使用)]
または[Enhanced Key Usage (拡張キーの使用)]
フィールドに、証明書がスマートカード ログイン用であるかどうかが示されます。ユーザが適切な証明書を選択すると、アプライアンスによって証明書が証明書チェーンと照合されて検証されます。検証に成功すると、ユーザはスマート カードの PIN を入力するよう求められます。