

「NetAttest EPS-ap(ネットアテスト イーピーエス エーピー)」は、インターネット経由でも秘密鍵を外部に漏らさず、安全に証明書の配布ができる製品です。
オールインワン認証アプライアンス 「NetAttest EPS (ネットアテスト イーピーエス)」のオプション製品として、株式会社ソリトンシステムズが開発・販売しています。
NetAttest EPS-ap は、SCEP(Simple Certificate Enrollment Protocol)経由で証明書を配布することにより、端末内の証明書情報(秘密鍵)の漏洩を防ぎ、安全な証明書認証環境を構築することができます。
証明書の配布方法において、EPS-apではSoliton KeyManagerという専用アプリをインストールして使用します。
本記事では、以下の3つの項目についてご紹介します。
Windowsでは、プログラムをインストールする際などに管理者権限を要求されることがあります。
Soliton KeyManagerをインストールする際には管理者権限が必要になります。
管理者権限を持ったアカウントであれば問題ありませんが、ユーザー権限のみ付与しているアカウントもあるかと思います。
その場合、Soliton KeyManagerをインストールすることができません。
Active Directoryのグループポリシーに於けるスタートアップスクリプトを利用することで、管理者権限がない環境でもSoliton KeyManagerのインストールが可能です。
補足
クライアントPCには、以下のコマンドを入力することでグループポリシーを強制適用することも可能です。
コマンド:gpupdate /force
ユーザーストアへ証明書をインストールするには、ログオンスクリプトを使用します。
ログオンスクリプトでは、ユーザーのログオン時にログオンユーザーの権限でスクリプトが実行されます。
ユーザーログオン時にユーザーストアへ証明書をインストールするバッチファイルを作成します。
例)ユーザーストアへ証明書のインストール実行コマンド
-----バッチファイルの中身------
"C:\Program Files (x86)\Soliton KeyManager\KeyManager.exe" /cl /su /h (EPS-apのホスト名またはIPアドレス) /hp 443 /u tsoliton /p password
-------------------------------
オプション | 説明 |
/cl | コマンドラインで実行 |
/su | 格納先を指定する(/su = ユーザーストア) |
/h | ホスト名またはIPアドレスを指定する |
/hp | ポート番号を指定する |
/u | 申請ユーザーを指定する |
/p | 申請ユーザーのパスワード(平文)を指定する (暗号化したパスワードを使用することも可能です) |
※ご紹介しているオプションは一部となります。
全てのオプションについては製品マニュアルをご参照ください。(現在、マニュアル準備中です)
補足
[委任]にDomain Computersを登録しないと、ログオンスクリプトがうまく実行されませんでした。
補足
クライアントPCには、以下のコマンドを入力することでグループポリシーを強制適用することも可能です。
コマンド:gpupdate /force
参考
[グループポリシー管理エディター]の[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[公開キーのポリシー]-[信頼されたルート証明機関]で、あらかじめCA証明書をインポートしグループポリシーで配布しておくことで、「3.」のCA証明書のインストールを行う操作を省略する(メッセージを表示させない)ことも可能です。
コンピューターストアへ証明書をインストールするには、スタートアップスクリプトを使用します。
スタートアップスクリプトでは、コンピューター起動時にSYSTEMアカウント権限でスクリプトが実行されます。
クライアントPC起動時にコンピューターストアへ証明書をインストールするバッチファイルを作成します。
例)コンピューターストアへ証明書のインストール実行コマンド
-----バッチファイルの中身------
"C:\Program Files (x86)\Soliton KeyManager\KeyManager.exe" /cl /sc /h (EPS-apのホスト名またはIPアドレス) /hp 443 /u tsoliton /p password
--------------------------------------
オプション | 説明 |
/cl | コマンドラインで実行 |
/sc | 格納先を指定する(/sc = コンピューターストア) |
/h | ホスト名またはIPアドレスを指定する |
/hp | ポート番号を指定する |
/u | 申請ユーザーを指定する |
/p | 申請ユーザーのパスワード(平文)を指定する (暗号化したパスワードを使用することも可能です) |
※ご紹介しているオプションは一部となります。
全てのオプションについては製品マニュアルをご参照ください。(現在、マニュアル準備中です)
補足
クライアントPCには、以下のコマンドを入力することでグループポリシーを強制適用することも可能です。
コマンド:gpupdate /force