技術記事・調査
OneGateから発行した証明書を使ってAWS ALBをセキュアにする-その3「公開したCRLをALBに自動反映」
【EPS技術記事】NetAttest EPS-ap ゼロタッチ証明書配布のご紹介(Active Directory)
目次
概要
「NetAttest EPS-ap(ネットアテスト イーピーエス エーピー)」は、インターネット経由でも秘密鍵を外部に漏らさず、安全に証明書の配布ができる製品です。
オールインワン認証アプライアンス 「NetAttest EPS (ネットアテスト イーピーエス)」のオプション製品として、株式会社ソリトンシステムズが開発・販売しています。
NetAttest EPS-ap は、SCEP(Simple Certificate Enrollment Protocol)経由で証明書を配布することにより、端末内の証明書情報(秘密鍵)の漏洩を防ぎ、安全な証明書認証環境を構築することができます。
証明書の配布方法において、EPS-apではSoliton KeyManagerという専用アプリをインストールして使用します。
本記事では、以下の3つの項目についてご紹介します。
- Soliton KeyManagerのサイレントインストール方法
- ユーザーストアへ証明書のインストール方法(ログオンスクリプト)
- コンピューターストアへ証明書のインストール方法(スタートアップスクリプト)
Soliton KeyManagerのサイレントインストール方法
Windowsでは、プログラムをインストールする際などに管理者権限を要求されることがあります。
Soliton KeyManagerをインストールする際には管理者権限が必要になります。
管理者権限を持ったアカウントであれば問題ありませんが、ユーザー権限のみ付与しているアカウントもあるかと思います。
その場合、Soliton KeyManagerをインストールすることができません。
Active Directoryのグループポリシーに於けるスタートアップスクリプトを利用することで、管理者権限がない環境でもSoliton KeyManagerのインストールが可能です。
動作イメージ
デモ動画
事前準備
- Soliton KeyManagerのインストーラーを共有フォルダに保存します。
- Soliton KeyManagerをサイレントインストールするバッチファイルを作成します。
例)Soliton KeyManagerサイレントインストール実行コマンド
-----バッチファイルの中身------
"\\(ファイルサーバー)\(共有フォルダ) \SolitonKeyManagerV2011.exe" -s
--------------------------------------
-s:サイレントインストールオプション
Active Directory側の操作
- [グループポリシーの管理]-[グループポリシーオブジェクト]-[Default Domain Policy]-[セキュリティフィルター処理]より、Domain Users/Domain Computersを登録します。
(デフォルトでは、Authenticated Usersしか登録されてません)
- 「1」で使用した”Default Domain Policy”の編集で、[グループポリシー管理エディター]を開き、[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[スクリプト(スタートアップ/シャットダウン)]-[スタートアップ]より、スタートアップのプロパティを開きます。
- 「追加」より、"事前準備-2"で作成したバッチファイルを登録します。
- バッチファイルの保存場所は「参照」ボタンをクリックすると開かれるフォルダです。
例)ドメイン名が win2022.example.com の場合
\\win2022.example.com\sysvol\win2022.example.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Scripts\Startup
※{31B2F340-016D-11D2-945F-00C04FB984F9}は、GPOのIDになるので適用するGPOなど環境によって異なります。
該当のグループポリシー-[詳細]-[一意なID]より確認可能です。
- 登録後、「適用」ボタンをクリックします。
クライアントPC側の操作
- グループポリシー適用済みのクライアントPCを再起動します。
- ログイン後、Soliton KeyManagerがインストールされていることを確認してください。
補足
クライアントPCには、以下のコマンドを入力することでグループポリシーを強制適用することも可能です。
コマンド:gpupdate /force
ユーザーストアへ証明書のインストール方法(ログオンスクリプト)
ユーザーストアへ証明書をインストールするには、ログオンスクリプトを使用します。
ログオンスクリプトでは、ユーザーのログオン時にログオンユーザーの権限でスクリプトが実行されます。
動作イメージ
デモ動画
事前準備
ユーザーログオン時にユーザーストアへ証明書をインストールするバッチファイルを作成します。
例)ユーザーストアへ証明書のインストール実行コマンド
-----バッチファイルの中身------
"C:\Program Files (x86)\Soliton KeyManager\KeyManager.exe" /cl /su /h (EPS-apのホスト名またはIPアドレス) /hp 443 /u tsoliton /p password
-------------------------------
| オプション | 説明 |
| /cl | コマンドラインで実行 |
| /su | 格納先を指定する(/su = ユーザーストア) |
| /h | ホスト名またはIPアドレスを指定する |
| /hp | ポート番号を指定する |
| /u | 申請ユーザーを指定する |
| /p | 申請ユーザーのパスワード(平文)を指定する (暗号化したパスワードを使用することも可能です) |
※ご紹介しているオプションは一部となります。
全てのオプションについては製品マニュアルをご参照ください。(現在、マニュアル準備中です)
Active Directory側の操作
- [グループポリシー管理エディター]を開き、[ユーザーの構成]-[ポリシー]-[Windowsの設定]-[スクリプト(ログオン/ログオフ)]-[ログオン]より、ログオンのプロパティを開きバッチファイルを登録します。
登録後、「適用」ボタンをクリックします。
補足
[委任]にDomain Computersを登録しないと、ログオンスクリプトがうまく実行されませんでした。
クライアントPC側の操作
- グループポリシー適用済みのクライアントPCにサインイン(ログオン)します。
- サインイン(ログオン)すると、ログオンスクリプトが実行されます。
ログオンスクリプトが実行されると、バッチファイルに記載されているコマンドに従ってCA証明書、クライアント証明書のインストールが行われます。
セキュリティ警告画面で「はい」をクリックします。
- 「証明書をインストールしました。(ユーザー)」と表示されれば、
クライアント証明書のインストールは完了です。
補足
クライアントPCには、以下のコマンドを入力することでグループポリシーを強制適用することも可能です。
コマンド:gpupdate /force
参考
[グループポリシー管理エディター]の[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[公開キーのポリシー]-[信頼されたルート証明機関]で、あらかじめCA証明書をインポートしグループポリシーで配布しておくことで、「3.」のCA証明書のインストールを行う操作を省略する(メッセージを表示させない)ことも可能です。
コンピューターストアへ証明書のインストール方法(スタートアップスクリプト)
コンピューターストアへ証明書をインストールするには、スタートアップスクリプトを使用します。
スタートアップスクリプトでは、コンピューター起動時にSYSTEMアカウント権限でスクリプトが実行されます。
動作イメージ
デモ動画
事前準備
クライアントPC起動時にコンピューターストアへ証明書をインストールするバッチファイルを作成します。
例)コンピューターストアへ証明書のインストール実行コマンド
-----バッチファイルの中身------
"C:\Program Files (x86)\Soliton KeyManager\KeyManager.exe" /cl /sc /h (EPS-apのホスト名またはIPアドレス) /hp 443 /u tsoliton /p password
--------------------------------------
| オプション | 説明 |
| /cl | コマンドラインで実行 |
| /sc | 格納先を指定する(/sc = コンピューターストア) |
| /h | ホスト名またはIPアドレスを指定する |
| /hp | ポート番号を指定する |
| /u | 申請ユーザーを指定する |
| /p | 申請ユーザーのパスワード(平文)を指定する (暗号化したパスワードを使用することも可能です) |
※ご紹介しているオプションは一部となります。
全てのオプションについては製品マニュアルをご参照ください。(現在、マニュアル準備中です)
Active Directory側の操作
- [グループポリシー管理エディター]を開き、[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[スクリプト(スタートアップ/シャットダウン)]-[スタートアップ]より、スタートアップスクリプトのプロパティを開きバッチファイルを登録します。
登録後、「適用」ボタンをクリックします。
クライアントPC側の操作
- グループポリシー適用済みのクライアントPCを再起動します。
- 再起動後、コンピューターストアへCA証明書、クライアント証明書が自動的にインストールされます。
※スタートアップスクリプトを使用する場合、実行はコンピューター起動時となり、ユーザーがログオンしていないタイミングでの実行となります。そのため、入力ダイアログや「証明書をインストールしました。(コンピューター)」のようなメッセージは表示されません。
補足
クライアントPCには、以下のコマンドを入力することでグループポリシーを強制適用することも可能です。
コマンド:gpupdate /force
ピックアップ Pick up
-
インタビュー都築電気が提案する「リモートアクセス対策強化パッケージ」中小企業に最適なVPNセキュリティ環境|都築電気株式会社×Soliton OneGate
-
インタビューゼロトラスト強化なら国産SIEM「LogStare」─Soliton OneGate連携で認証ログの“気づき”を自動化
-
インタビューCloudflare One × Soliton OneGateが実現する、戦略的なゼロトラスト環境
-
インタビュー無線LAN+認証の導入から運用保守まですべてお任せ、 月額サブスクのマネージドサービスを提供 |Cisco Meraki® × Soliton OneGate
-
イベント報告【ウェビナー】「医療情報システムの安全管理に関するガイドライン」に基づくランサムウェア等へのセキュリティ対策と導入事例/効果について|アクシオ×ソリトンシステムズ
-
インタビュー「切れない」VPNに認証の側面から安心をプラス|Absolute Secure Access ✕ Soliton OneGate
タグ Tag
金融
流通・小売
医療
エネルギー
運輸
サービス
情報通信
中央省庁・独法
自治体・地方公共団体
教育・文教
認証
エンドポイント
ネットワーク
ゼロトラスト
販売店インタビュー
メーカーインタビュー
セミナーレポート
展示会・フェアレポート
サイバーセキュリティ
リモートアクセス
テレワーク
社内LAN
無線LAN
プロダクト検証
サプリカント設定
技術解説記事
調査報告
Windows
iOS
macOS
Android
ChromeOS
DHCP/DNS
Soliton OneGate
NetAttest EPS
NetAttest D3
SmartOn ID
InfoTrace 360
Soliton SecureBrowser
Soliton SecureDesktop
WrappingBox
FileZen S
VVAULT
コラム
調査レポート目次
Soliton SecureWorkspace
HiQZen
