【EPS技術記事】NetAttest EPS-ap ゼロタッチ証明書配布のご紹介（SKYSEA）

お知らせ

本記事は、2025年11月11日に以前公開していた内容から大幅に更新されています。
特に「ゼロタッチ証明書配布について」以降の内容に変更があります。
過去にご覧いただいていた方は、改めて内容をご確認いただくことを推奨いたします。

概要

「NetAttest EPS-ap（ネットアテスト イーピーエス エーピー）」は、インターネット経由でも秘密鍵を外部に漏らさず、安全に証明書の配布ができる製品です。
オールインワン認証アプライアンス 「NetAttest EPS （ネットアテスト イーピーエス）」のオプション製品として、株式会社ソリトンシステムズが開発・販売しています。

NetAttest EPS-ap は、SCEP（Simple Certificate Enrollment Protocol）経由で証明書を配布することにより、端末内の証明書情報（秘密鍵）の漏洩を防ぎ、安全な証明書認証環境を構築することができます。
証明書の配布方法において、EPS-apではSoliton KeyManagerという専用アプリをインストールして使用します。

本記事では、SKYSEA Client View(資産管理ツール)を使い、以下の2つの項目についてご紹介します。

・Soliton KeyManagerのサイレントインストール方法

・コンピューターストアへ証明書のインストール方法

動作イメージ

事前準備

Soliton KeyManagerをサイレントインストールするバッチファイルを作成します。
例）Soliton  KeyManagerサイレントインストール実行コマンド

-s：サイレントインストールオプション

Soliton KeyManagerのサイレントインストール方法

SKYSEA側の操作

1. デスクトップなどにフォルダを作成し、配布したいバッチファイルを保存します。
2. [資産管理] - [アプリケーション一覧] - [ソフトウェア配布]より、「追加」ボタンをクリックし、Soliton KeyManagerをサイレントインストールするバッチファイルを登録します。
   
3. 「実行ファイルやWindows更新プログラム」を選択し、以下の設定を行います。
   「ファイル/フォルダパス：」には、保存したバッチファイルを指定します。
   
4. 設定後「OK」をクリックします。
   バッチファイルの登録が完了しました。
   
5. 登録したバッチファイルを実行します。
   先ほど登録したバッチファイルを選択し、配布対象のクライアントPCを指定した後、「実行」ボタンをクリックします。
   ※「実行設定」タブで「システム権限で実行する」にチェックを入れてください。
   ※バッチファイルをSYSTEM権限で実行します。
   
6. 以上で、SKYSEA側の操作は完了です。
   

クライアントPC側の操作

1. SKYSEAでタスクを実行すると、クライアントPCにバッチファイルが配布されます。
   バッチファイルが配布されると、バッチファイルに記載されているコマンドに従ってSoliton KeyManagerが自動でインストールされます。
   

ゼロタッチ証明書配布について

ゼロタッチ証明書配布を行う際、KeyManagerへのログインにユーザーIDが必要となります。
このユーザーIDを共通の管理者アカウントとしてバッチファイルに埋め込むことで、スクリプトの共通化が可能となり、複数端末への展開や運用が効率化されます。
そのため、バッチファイルに埋め込むユーザーは共通の管理者アカウントを使用するケースが多くなります。

注意事項

1、共通の管理者アカウントを使用して複数端末から同時にコマンド実行
SCEPのMDMチャレンジはユーザーIDごとに生成され保持されます。SCEPリクエストに含まれるMDMチャレンジがこれと一致すれば証明書が自動的に発行されます。
しかし、同一ユーザーIDで複数端末から同時に申請が行われると、後から実施した申請のMDMチャレンジが上書きされて、先に行われた申請のSCEPリクエストが自動発行されずに証明書取得に失敗します。
共通の管理者アカウントをコマンドに埋め込んで配布したスクリプトなどで同時に実行された場合に、この問題が発生する可能性があります。
そのため、コマンド実行時の共通の管理者アカウントにWindowsの環境変数を付けてユニークなユーザーIDにすることで回避可能です。

2、同時処理数
ゼロタッチ証明書配布では複数の端末に自動で証明書配布が可能になります。
しかし、EPS-apまたはEPSの処理能力以上の端末から申請を行うと証明書配布に失敗します。
そのため、AD上のグループ毎で実施やバッチファイルに実行タイミングをずらすスクリプトを記載するなど同時申請数の調整を行ってください。

EPSのアドバンス設定

EPSにて、「共通の管理者アカウント」＋「コンピューター名」または「ユーザー名」のユーザーIDでも「共通の管理者アカウント」として認証が成功するように構成します。

例) 「admin01%USERNAME%」、「admin01%COMPUTERNAME%」などを「admin01」として認証させる
サービス管理ページ(https://EPSのホスト名またはIPアドレス:2181)
高度なメニュー＞RADIUS＞詳細設定＞アドバンス設定
・hints_added.in

事前準備

クライアントPC起動時にコンピューターストアへ証明書をインストールするバッチファイルを作成します。
実行タイミングを0～3600秒の範囲で遅らせます。
例）コンピューターストアへ証明書のインストール実行

環境変数「%COMPUTERNAME%」は申請するPCのコンピューター名が自動的に反映されます。
例えば「/u admin01%COMPUTERNAME%」で申請すると、ユーザーIDは「admin01testPC02」のようになります(%COMPUTERNAME%が「testPC02」の場合)。
また、オプションの「/cn」を使用することで、証明書のCNに申請したPCのコンピューター名を設定することができます。

※ご紹介しているオプションは一部となります。
全てのオプションについては製品マニュアルをご参照ください。(現在、マニュアル準備です)

コンピューターストアへ証明書のインストール方法

SKYSEA側の操作

1. デスクトップなどにフォルダを作成し配布したいバッチファイルを保存します。
2. [資産管理] - [アプリケーション一覧] - [ソフトウェア配布]より、「追加」ボタンをクリックし、コンピューターストアへ証明書をインストールするバッチファイルを登録します。
   
3. 「実行ファイルやWindows更新プログラム」を選択し、以下の設定を行います。
   「ファイル/フォルダパス：」には、保存したバッチファイルを指定します。
   
4. 設定後「OK」をクリックします。
   バッチファイルの登録が完了しました。
   
5. 登録したバッチファイルを実行します。
   先ほど登録したバッチファイルを選択し、配布対象のクライアントPCを指定した後、「実行」ボタンをクリックします。
   ※「実行設定」タブで「システム権限で実行する」にチェックを入れてください。
   ※バッチファイルをSYSTEM権限で実行します。
   
6. 以上で、SKYSEA側の操作は完了です。
   

クライアントPC側の操作

1. SKYSEAでタスクを実行すると、クライアントPCにバッチファイルが配布されます。
   バッチファイルが配布されると、バッチファイルに記載されているコマンドに従って証明書の取得が自動で行われます。
   インストールされたクライアント証明書は、Soliton KeyManagerから確認できます。
   

補足
ユーザーストアに証明書を入れる場合は、SKYSEAのソフトウェア配布用スクリプトを使用して、バッチファイルをログオンユーザー権限で実行する必要があります。

・ユーザーストアへ証明書をインストールする実行コマンド

環境変数「%USERNAME%」は申請するPCのユーザー名が自動的に反映されます。
例えば「/u admin01%USERNAME%」で申請すると、ユーザーIDは「admin01user01」のようになります(%USERNAME%が「user01」の場合)。
また、オプションの「/cn」を使用することで、証明書のCNに申請したPCのユーザー名を設定することができます。