技術記事・調査 2025/11/10

【EPS技術記事】NetAttest EPS-ap ゼロタッチ証明書配布のご紹介（Active Directory）

NetAttest EPS

お知らせ

本記事は、2025年11月10日に以前公開していた内容から大幅に更新されています。
特に「ゼロタッチ証明書配布について」以降の内容に変更があります。
過去にご覧いただいていた方は、改めて内容をご確認いただくことを推奨いたします。

概要

「NetAttest EPS-ap（ネットアテストイーピーエスエーピー）」は、インターネット経由でも秘密鍵を外部に漏らさず、安全に証明書の配布ができる製品です。
オールインワン認証アプライアンス「NetAttest EPS （ネットアテストイーピーエス）」のオプション製品として、株式会社ソリトンシステムズが開発・販売しています。

NetAttest EPS-ap は、SCEP（Simple Certificate Enrollment Protocol）経由で証明書を配布することにより、端末内の証明書情報（秘密鍵）の漏洩を防ぎ、安全な証明書認証環境を構築することができます。
証明書の配布方法において、EPS-apではSoliton KeyManagerという専用アプリをインストールして使用します。

本記事では、以下の項目についてご紹介します。

Soliton KeyManagerのサイレントインストール方法
Soliton KeyManagerを使った端末へのゼロタッチ証明書配布
- ユーザーストアへ証明書のインストール方法（ログオンスクリプト）
- コンピューターストアへ証明書のインストール方法（スタートアップスクリプト）

Soliton KeyManagerのサイレントインストール方法

Windowsでは、プログラムをインストールする際などに管理者権限を要求されることがあります。
Soliton KeyManagerをインストールする際には管理者権限が必要になります。
管理者権限を持ったアカウントであれば問題ありませんが、ユーザー権限のみ付与しているアカウントもあるかと思います。
その場合、Soliton KeyManagerをインストールすることができません。

Active Directoryのグループポリシーにおけるスタートアップスクリプトを利用することで、管理者権限がない環境でもSoliton KeyManagerのインストールが可能です。

動作イメージ

デモ動画

事前準備

Soliton KeyManagerのインストーラーを共有フォルダに保存します。
Soliton KeyManagerをサイレントインストールするバッチファイルを作成します。
例）Soliton KeyManagerサイレントインストール実行コマンド
"\\(ファイルサーバー)\(共有フォルダ) \SolitonKeyManagerV221.exe" -s
-s：サイレントインストールオプション

Active Directory側の操作

[グループポリシーの管理]-[グループポリシーオブジェクト]-[Default Domain Policy]-[セキュリティフィルター処理]より、Domain Users/Domain Computersを登録します。
（デフォルトでは、Authenticated Usersしか登録されていません)
「1」で使用した"Default Domain Policy"の編集で、[グループポリシー管理エディター]を開き、[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[スクリプト(スタートアップ/シャットダウン)]-[スタートアップ]より、スタートアップのプロパティを開きます。
「追加」より、"事前準備"で作成したバッチファイルを登録します。
バッチファイルの保存場所は「参照」ボタンをクリックすると開かれるフォルダです。
例）ドメイン名が win2022.example.com の場合
\\win2022.example.com\sysvol\win2022.example.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Scripts\Startup
※{31B2F340-016D-11D2-945F-00C04FB984F9}は、GPOのIDになるので適用するGPOなど環境によって異なります。
該当のグループポリシー-[詳細]-[一意なID]より確認可能です。
登録後、「適用」ボタンをクリックします。

クライアントPC側の操作

グループポリシー適用済みのクライアントPCを再起動します。
ログイン後、Soliton KeyManagerがインストールされていることを確認してください。

補足
クライアントPCには、以下のコマンドを入力することでグループポリシーを強制適用することも可能です。
コマンド：gpupdate /force

ゼロタッチ証明書配布について

ゼロタッチ証明書配布を行う際、KeyManagerへのログインにユーザーIDが必要となります。
このユーザーIDを共通の管理者アカウントとしてバッチファイルに埋め込むことで、スクリプトの共通化が可能となり、複数端末への展開や運用が効率化されます。
そのため、バッチファイルに埋め込むユーザーは共通の管理者アカウントを使用するケースが多くなります。

注意事項

1、共通の管理者アカウントを使用して複数端末から同時にコマンド実行
SCEPのMDMチャレンジはユーザーIDごとに生成され保持されます。SCEPリクエストに含まれるMDMチャレンジがこれと一致すれば証明書が自動的に発行されます。
しかし、同一ユーザーIDで複数端末から同時に申請が行われると、後から実施した申請のMDMチャレンジが上書きされて、先に行われた申請のSCEPリクエストが自動発行されずに証明書取得に失敗します。
共通の管理者アカウントをコマンドに埋め込んで配布したスクリプトなどで同時に実行された場合に、この問題が発生する可能性があります。
そのため、コマンド実行時の共通の管理者アカウントにWindowsの環境変数を付けてユニークなユーザーIDにすることで回避可能です。

2、同時処理数
ゼロタッチ証明書配布では複数の端末に自動で証明書配布が可能になります。
しかし、EPS-apまたはEPSの処理能力以上の端末から申請を行うと証明書配布に失敗します。
そのため、AD上のグループ毎で実施やバッチファイルに実行タイミングをずらすスクリプトを記載するなど同時申請数の調整を行ってください。

EPSのアドバンス設定

EPSにて、「共通の管理者アカウント」＋「コンピューター名」または「ユーザー名」のユーザーIDでも「共通の管理者アカウント」として認証が成功するように構成します。

例) 「admin01%USERNAME%」、「admin01%COMPUTERNAME%」などを「admin01」として認証させる
サービス管理ページ(https://EPSのホスト名またはIPアドレス:2181)
高度なメニュー＞RADIUS＞詳細設定＞アドバンス設定
・hints_added.in

# RADIUS Hints file
DEFAULT User-Name =~ "admin01.*"
Just-User-Name := admin01

#