技術記事・調査

【EPS技術記事】NetAttest EPS-ap ゼロタッチ証明書配布のご紹介(Active Directory)

アイキャッチ
目次

概要

「NetAttest EPS-ap(ネットアテスト イーピーエス エーピー)」は、インターネット経由でも秘密鍵を外部に漏らさず、安全に証明書の配布ができる製品です。
オールインワン認証アプライアンス 「NetAttest EPS (ネットアテスト イーピーエス)」のオプション製品として、株式会社ソリトンシステムズが開発・販売しています。

NetAttest EPS-ap は、SCEP(Simple Certificate Enrollment Protocol)経由で証明書を配布することにより、端末内の証明書情報(秘密鍵)の漏洩を防ぎ、安全な証明書認証環境を構築することができます。
証明書の配布方法において、EPS-apではSoliton KeyManagerという専用アプリをインストールして使用します。

本記事では、以下の3つの項目についてご紹介します。

  • Soliton KeyManagerのサイレントインストール方法
  • ユーザーストアへ証明書のインストール方法(ログオンスクリプト)
  • コンピューターストアへ証明書のインストール方法(スタートアップスクリプト)

Soliton KeyManagerのサイレントインストール方法

Windowsでは、プログラムをインストールする際などに管理者権限を要求されることがあります。
Soliton KeyManagerをインストールする際には管理者権限が必要になります。
管理者権限を持ったアカウントであれば問題ありませんが、ユーザー権限のみ付与しているアカウントもあるかと思います。
その場合、Soliton KeyManagerをインストールすることができません。

Active Directoryのグループポリシーに於けるスタートアップスクリプトを利用することで、管理者権限がない環境でもSoliton KeyManagerのインストールが可能です。

動作イメージ

デモ動画

事前準備

  1. Soliton KeyManagerのインストーラーを共有フォルダに保存します。
  2. Soliton KeyManagerをサイレントインストールするバッチファイルを作成します。
    例)Soliton  KeyManagerサイレントインストール実行コマンド
    -----バッチファイルの中身------
    "\\(ファイルサーバー)\(共有フォルダ) \SolitonKeyManagerV2011.exe" -s
    --------------------------------------
    -s:サイレントインストールオプション

Active Directory側の操作

  1. [グループポリシーの管理]-[グループポリシーオブジェクト]-[Default Domain Policy]-[セキュリティフィルター処理]より、Domain Users/Domain Computersを登録します。
    (デフォルトでは、Authenticated Usersしか登録されてません)

  2. 「1」で使用した”Default Domain Policy”の編集で、[グループポリシー管理エディター]を開き、[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[スクリプト(スタートアップ/シャットダウン)]-[スタートアップ]より、スタートアップのプロパティを開きます。

  3. 「追加」より、"事前準備-2"で作成したバッチファイルを登録します。

  4. バッチファイルの保存場所は「参照」ボタンをクリックすると開かれるフォルダです。
    例)ドメイン名が win2022.example.com の場合
    \\win2022.example.com\sysvol\win2022.example.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Scripts\Startup
    ※{31B2F340-016D-11D2-945F-00C04FB984F9}は、GPOのIDになるので適用するGPOなど環境によって異なります。
    該当のグループポリシー-[詳細]-[一意なID]より確認可能です。

  5. 登録後、「適用」ボタンをクリックします。

クライアントPC側の操作

  1. グループポリシー適用済みのクライアントPCを再起動します。
  2. ログイン後、Soliton  KeyManagerがインストールされていることを確認してください。

補足
クライアントPCには、以下のコマンドを入力することでグループポリシーを強制適用することも可能です。
コマンド:gpupdate /force

ユーザーストアへ証明書のインストール方法(ログオンスクリプト)

ユーザーストアへ証明書をインストールするには、ログオンスクリプトを使用します。
ログオンスクリプトでは、ユーザーのログオン時にログオンユーザーの権限でスクリプトが実行されます。

動作イメージ

デモ動画

事前準備

ユーザーログオン時にユーザーストアへ証明書をインストールするバッチファイルを作成します。
例)ユーザーストアへ証明書のインストール実行コマンド
-----バッチファイルの中身------
"C:\Program Files (x86)\Soliton KeyManager\KeyManager.exe" /cl /su /h (EPS-apのホスト名またはIPアドレス) /hp 443 /u tsoliton /p password
-------------------------------

オプション説明
 /clコマンドラインで実行
 /su格納先を指定する(/su = ユーザーストア)
 /hホスト名またはIPアドレスを指定する
 /hpポート番号を指定する
 /u申請ユーザーを指定する
 /p申請ユーザーのパスワード(平文)を指定する
(暗号化したパスワードを使用することも可能です)

※ご紹介しているオプションは一部となります。
 全てのオプションについては製品マニュアルをご参照ください。(現在、マニュアル準備中です)

Active Directory側の操作

  1. [グループポリシー管理エディター]を開き、[ユーザーの構成]-[ポリシー]-[Windowsの設定]-[スクリプト(ログオン/ログオフ)]-[ログオン]より、ログオンのプロパティを開きバッチファイルを登録します。
    登録後、「適用」ボタンをクリックします。

補足

[委任]にDomain Computersを登録しないと、ログオンスクリプトがうまく実行されませんでした。

クライアントPC側の操作

  1. グループポリシー適用済みのクライアントPCにサインイン(ログオン)します。

  2. サインイン(ログオン)すると、ログオンスクリプトが実行されます。
    ログオンスクリプトが実行されると、バッチファイルに記載されているコマンドに従ってCA証明書、クライアント証明書のインストールが行われます。
    セキュリティ警告画面で「はい」をクリックします。

  3. 「証明書をインストールしました。(ユーザー)」と表示されれば、
    クライアント証明書のインストールは完了です。

補足
クライアントPCには、以下のコマンドを入力することでグループポリシーを強制適用することも可能です。
コマンド:gpupdate /force

参考
[グループポリシー管理エディター]の[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[公開キーのポリシー]-[信頼されたルート証明機関]で、あらかじめCA証明書をインポートしグループポリシーで配布しておくことで、「3.」のCA証明書のインストールを行う操作を省略する(メッセージを表示させない)ことも可能です。

コンピューターストアへ証明書のインストール方法(スタートアップスクリプト)

コンピューターストアへ証明書をインストールするには、スタートアップスクリプトを使用します。
スタートアップスクリプトでは、コンピューター起動時にSYSTEMアカウント権限でスクリプトが実行されます。

動作イメージ

デモ動画

事前準備

クライアントPC起動時にコンピューターストアへ証明書をインストールするバッチファイルを作成します。
例)コンピューターストアへ証明書のインストール実行コマンド
-----バッチファイルの中身------
"C:\Program Files (x86)\Soliton KeyManager\KeyManager.exe" /cl /sc /h (EPS-apのホスト名またはIPアドレス) /hp 443 /u tsoliton /p password
--------------------------------------

オプション説明
 /clコマンドラインで実行
 /sc格納先を指定する(/sc = コンピューターストア)
 /hホスト名またはIPアドレスを指定する
 /hpポート番号を指定する
 /u申請ユーザーを指定する
 /p申請ユーザーのパスワード(平文)を指定する
(暗号化したパスワードを使用することも可能です)

※ご紹介しているオプションは一部となります。
 全てのオプションについては製品マニュアルをご参照ください。(現在、マニュアル準備中です)

Active Directory側の操作

  1. [グループポリシー管理エディター]を開き、[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[スクリプト(スタートアップ/シャットダウン)]-[スタートアップ]より、スタートアップスクリプトのプロパティを開きバッチファイルを登録します。
    登録後、「適用」ボタンをクリックします。

クライアントPC側の操作

  1. グループポリシー適用済みのクライアントPCを再起動します。
  2. 再起動後、コンピューターストアへCA証明書、クライアント証明書が自動的にインストールされます。
    ※スタートアップスクリプトを使用する場合、実行はコンピューター起動時となり、ユーザーがログオンしていないタイミングでの実行となります。そのため、入力ダイアログや「証明書をインストールしました。(コンピューター)」のようなメッセージは表示されません。

補足
クライアントPCには、以下のコマンドを入力することでグループポリシーを強制適用することも可能です。
コマンド:gpupdate /force




記事を書いた人

ソリトンシステムズ・テクニカルチーム

Related Article

関連記事

Microsoft Azure上で動作しているRADIUSサーバーでEAP-TLS認証ができなかった理由と対処方法の画像
技術記事・調査

Microsoft Azure上で動作しているRADIUSサーバーでEAP-TLS認証ができなかった理由と対処方法

  • NetAttest EPS
  • ネットワーク
  • 技術解説記事
More
【OneGate技術記事】Jamf Proと連携した証明書の自動配布の画像
技術記事・調査

【OneGate技術記事】Jamf Proと連携した証明書の自動配布

  • Soliton OneGate
  • 技術解説記事
More
【EPS技術記事】Nutanix AHV 環境へのNetAttest EPS/NetAttest EPS-ap構築手順の画像
技術記事・調査

【EPS技術記事】Nutanix AHV 環境へのNetAttest EPS/NetAttest EPS-ap構築手順

  • NetAttest EPS
More
【EPS技術記事】Jamf Proと連携した証明書の配布の画像
技術記事・調査

【EPS技術記事】Jamf Proと連携した証明書の配布

  • NetAttest EPS
  • macOS
  • iOS
More
2023年版 セキュリティ実態調査
セキュリティ知識をCHECK! 腕試しに挑戦!!
フォルダーのアクセス権 管理作業が1/3に!
分離ネットワーク間で安全なファイル受渡し
自治体情報セキュリティチャンネル
重要情報を守る“認証強化” のススメ

Pickup ピックアップ

特集一覧

Category カテゴリー

Keyword キーワード

製造 金融 流通・小売 建設 医療 エネルギー 運輸 サービス 情報通信 中央省庁・独法 自治体・地方公共団体 教育・文教 認証 エンドポイント ネットワーク ゼロトラスト 販売店インタビュー メーカーインタビュー 社内インタビュー セミナーレポート 展示会・フェアレポート サイバーセキュリティ リモートアクセス テレワーク 社内LAN 無線LAN プロダクト検証 サプリカント設定 技術解説記事 調査報告 Windows iOS macOS Android DHCP/DNS Soliton OneGate NetAttest EPS NetAttest D3 SmartOn ID InfoTrace 360 Soliton SecureBrowser Soliton SecureDesktop WrappingBox FileZen S VVAULT コラム 調査レポート目次
2023年版 セキュリティ実態調査