リファレンス編 / CA管理

ローカルCA

本製品は電子証明書を発行する認証局（CA）としての機能（ローカルCA機能）を備えています。
ローカルCAでは下記の機能を利用できます。

CA証明書の詳細確認・ダウンロード
CA証明書の有効性チェックと期限切れ通知メールの送信
証明書配布サイト用サーバー証明書の詳細確認とダウンロード
クライアント証明書の発行
サーバー証明書の発行
クライアント証明書配布メールの送信

ローカルCAの作成は「CA管理」画面で行います。

Note
AT-RADgateで発行した証明書は、AT-RADgateをRADIUSサーバーとして使用する構成でのみサポートです。

証明書の有効性チェックと通知について

AT-RADgateのシステム時刻 00:00:00～00:05:59 の間に以下の処理を実行します。

CA証明書の有効期限確認
発行済み証明書の有効期限確認
期限切れ証明書の削除

CA証明書は、有効期限日から28日前、21日前、14日前、7日前、1日前に警告メッセージをログに表示します。
さらに、以下の条件を満たす場合は、警告メッセージをメールで送信します。

SMTPサーバーが設定されている（「メール設定」画面）
アカウントにメールアドレスが登録されている（「アカウント管理」画面）
アカウントに「システム設定の変更を許可する。」の権限が付与されている（「アカウント管理」画面）

CA証明書の有効期限切れの場合も同様に、ログにメッセージを表示し、条件を満たす場合はメール通知します
　
発行済みのサーバー証明書およびクライアント証明書は、有効期限日の7日前から毎日警告メッセージをログに表示します。また、条件を満たす場合はメール通知も行います。
ただし、同じユーザーに有効な証明書がある場合は、警告メッセージやメール通知は行いません。
　
発行済みのサーバー証明書およびクライアント証明書が有効期限切れになった場合、警告メッセージやメール通知は行いません。
有効期限切れの証明書は、30日後に自動で削除されます。

ローカルCAの削除

ローカルCAを削除すると、下記の機能が無効になります。

CA証明書の詳細確認・ダウンロード
証明書配布サイト用のサーバー証明書の詳細確認・ダウンロード
クライアント証明書の発行
サーバー証明書の発行
クライアント証明書の配布メールの送信
CAの管理領域に置かれているすべての証明書

Note
ローカルCAを削除しても、既にクライアントノード等に配布済みの証明書は有効期限まで有効です。また、AT-RADgateの各機能で使用中の証明書も自動では削除されません。

ローカルCAの削除は「CAについて」画面で行います。

CA管理（ローカルCA未登録時）

CA管理 > CA管理（ローカルCA未登録時）
　
デフォルトではローカルCAが登録されていませんので、下記の画面が表示されます。
「作成」ボタンをクリックすると「CAの作成」ダイアログが開きます。

CAの作成

CA管理（ローカルCA未登録時） > CAの作成
　
「CAの作成」ダイアログでローカルCAを作成します。

表 1：CAの作成
項目・ボタン名	必須	書式	説明
一般名称(CN)	○	文字列（最大64文字）	証明書の一般名称フィールドの値です。
国 (C)	－	文字列（2文字）	国コードです。
都道府県(ST)	－	文字列（最大128文字）	都道府県名です
市区町村(L)	－	文字列（最大128文字）	市区町村名です。
組織(O)	－	文字列（最大64文字）	組織名です。
メールアドレス	－	メールアドレス	証明書の所有者を識別するメールアドレスです。通常は管理者や申請者の連絡先を指定します。
公開鍵方式	○	－	使用する暗号アルゴリズムを「RSA-4096」「ECC P-256」「ECC P-384」から選択します。デフォルトは「ECC P-384」です。
署名ハッシュアルゴリズム	○	－	署名生成に使用するハッシュ関数を「SHA-256」「SHA-384」から選択します。デフォルトは「SHA-384」です。
有効日数	○	整数値（10-99999）	有効期限（日数）です。デフォルトは「3650（日）」です。
証明書配布サイトのドメイン名	－	文字列（最大253文字）	証明書配布サイトのドメイン名です。指定がない場合は、現在のAT-RADgateのホスト名を使用します。
「キャンセル」ボタン	－	－	ローカルCAの作成をキャンセルします。
「保存」ボタン	－	－	ローカルCAを作成します。

Note
各項目に設定する文字列にマルチバイト文字（例：日本語、全角文字）を使用した場合の動作は未サポートです。

CA管理（ローカルCA登録時）

CA管理 > CA管理（ローカルCA登録時）
　
ローカルCAを登録すると「CA管理」画面が下記の表示に変わります。

証明書

CA管理 > CA管理（ローカルCA登録時） > 証明書　
　
「証明書」タブではローカルCAが発行した証明書が一覧表示されます。

表 2：証明書
項目名	説明
状態	証明書の状態を「有効」「無効」「期限切れ」のアイコンで表示します。「無効」は証明書が発効日前の状態です。
一般名称(CN)	証明書の一般名称フィールドの値です。
発効日	証明書の発行日です。
有効期限	証明書の有効期限です。

ページの右上にある各ボタンの機能は下記となります。

表 3：各ボタンの機能
ボタン名	機能
「CAについて」ボタン	「CAについて」画面を開きます。
列を管理	表の各列の表示状態を変更します。
再読み込み	証明書一覧を再読み込みします。
「失効」ボタン	Note 本バージョンでは未サポートです。

一覧の各行の右端にメニューボタンがあり、その行の証明書の管理ができます。

表 4：各メニューの機能
メニュー名	機能
詳細	証明書の詳細情報を表示します。
ダウンロード	証明書をダウンロードします（PKCS#12形式）。

証明書プロファイル

CA管理 > CA管理（ローカルCA登録時） > 証明書プロファイル
　
「証明書プロファイル」タブでは、証明書発行用テンプレートの編集ができます。
サーバー証明書用「server」とクライアント証明書用「client」の2種類があり、追加や削除はできません。また、証明書プロファイルを編集しても、既に発行済みの証明書は変更されません。

表 5：証明書プロファイル
項目名	説明
名称	証明書プロファイルの名前です。「server」はサーバー証明書用、「client」はクライアント証明書用のプロファイルです。
有効日数	有効期限（日数）です。
公開鍵方式	使用する暗号アルゴリズムです。
署名ハッシュアルゴリズム	署名生成に使用するハッシュ関数です。

ページの右上にある各ボタンの機能は下記となります。

表 6：各ボタンの機能
ボタン名	機能
「CAについて」ボタン	「CAについて」画面を開きます。
列を管理	表の各列の表示状態を変更します。
再読み込み	証明書プロファイル一覧を再読み込みします。

一覧の各行の右端にメニューボタンがあり、その行の証明書プロファイルの編集ができます。

表 7：メニューの機能
メニュー名	機能
編集	証明書プロファイルを編集する「証明書プロファイル編集」ダイアログを表示します。

証明書プロファイル編集

証明書プロファイルの設定を変更することができます。

表 8：証明書プロファイル編集
項目・ボタン名	必須	書式	説明
名称	－	－	証明書プロファイルの名前です。「server」または「client」のいずれかで、変更できません。
国 (C)	－	文字列（2文字）	国コードです。
都道府県(ST)	－	文字列（最大128文字）	都道府県名です。
市区町村(L)	－	文字列（最大128文字）	市区町村名です。
組織(O)	－	文字列（最大64文字）	組織名です。
メールアドレス	－	メールアドレス	証明書の所有者を識別するメールアドレスです。通常は管理者や申請者の連絡先を指定します。
公開鍵方式	○	－	使用する暗号アルゴリズムを「RSA-4096」「ECC P-256」「ECC P-384」から選択します。デフォルトは「ECC P-384」です。
署名ハッシュアルゴリズム	○	－	署名生成に使用するハッシュ関数を「SHA-256」「SHA-384」から選択します。デフォルトは「SHA-384」です。
有効日数	○	整数値（10-99999）	有効期限（日数）です。デフォルトは「3650（日）」です。
「キャンセル」ボタン	－	－	証明書プロファイルの変更をキャンセルします。
「保存」ボタン	－	－	証明書プロファイルの変更内容を保存します。

Note
各項目に設定する文字列にマルチバイト文字（例：日本語、全角文字）を使用した場合の動作は未サポートです。

ユーザー証明書発行ツール

CA管理 > CA管理（ローカルCA登録時） > ユーザー証明書発行ツール
　　
「ユーザー証明書発行ツール」タブでは、「ポリシー管理 / ユーザー」で作成したユーザー覧が表示され、ユーザーに対してクライアント証明書を発行することができます。

クライアント証明書の発効について
- 証明書の「一般名称(CN)」はユーザーポリシーのログイン名を使用します
- ユーザーポリシーにメールアドレスが設定されている場合は、証明書のemailAddressフィールドに反映されます
通知メールの送信について
- 通知メールはユーザーポリシーに登録されたメールアドレスに送信します（証明書プロファイルのメールアドレスには送信されません）
- 有効なSMTPサーバーの設定がない場合は、メールの送信に失敗します
- ユーザーに対して証明書が発行されていない場合は、メールの送信はスキップされます
- ユーザーポリシーにメールアドレスを設定していない場合は、メールの送信はスキップされます
- 大量送信時にスパム判定されるのを防ぐため、送信間隔を1秒空けてメールを送信します

表 9：ユーザー証明書発行ツール
項目・ボタン名	説明
「CAについて」ボタン	「CAについて」画面を開きます。
「発行」ボタン	「ログイン名」左側のチェックボックスにチェックを入れると有効になり、クリックするとクライアント証明書を発行します。
「配布」ボタン	「ログイン名」左側のチェックボックスにチェックを入れると有効になり、クリックすると証明書配布サイトのURLを通知するメールを送信します。
ログイン名	ユーザーポリシーのログイン名です。
フルネーム	ユーザーポリシーのフルネームです。
メールアドレス	ユーザーポリシーのメールアドレスです。
備考	ユーザーポリシーの備考です。

一覧の各行の右端にメニューボタンがあり、クリックすると発行メニューが表示されます。

表 10：メニューの機能
メニュー名	機能
発行	クライアント証明書を発行します。

送信されるメール

送信されるメールのフォーマットは次のとおりです。
■ 件名

AT-RADgate証明書ダウンロードページ

■ 本文

下記のリンクからAT-RADgateの証明書ダウンロードページにアクセスできます。
　
https://（AT-RADgateのIPアドレス）:9000

リンクをクリックすると「AT-RADgate 証明書のダウンロード」画面を表示します。

AT-RADgate 証明書のダウンロード

証明書配布サイトのURLをクリックすると表示される画面です。CA証明書のダウンロードなどができます。

表 11：AT-RADgate 証明書のダウンロード
項目・ボタン名	説明
「ログイン」ボタン	クライアント証明書の内容を確認できます。クリックするとログイン画面が表示されますので、ユーザーポリシーに登録されたログイン名とパスワードを入力します（ログインアカウントではありません）。ログインに成功するとログイン後の画面に変わります。
CA証明書
「ダウンロード」ボタン	証明書をダウンロードします（PEM形式）。
証明書失効リスト(CRL)
「ダウンロード」ボタン	Note 本バージョンではサポート対象外です。
クライアント証明書
「ログイン」ボタン	クライアント証明書の内容を確認できます。クリックするとログイン画面が表示されますので、ユーザーポリシーに登録されたログイン名とパスワードを入力します（ログインアカウントではありません）。ログインに成功するとログイン後の画面に変わります。

AT-RADgate 証明書のダウンロード（ログイン後）

ログインに成功するとクライアント証明書の一覧が表示されます。

表 12：AT-RADgate 証明書のダウンロード（ログイン後）
項目・ボタン名	説明
ユーザー名（上記画面例では「user1」）	クリックすると「ログアウト」サブメニューが表示されます。「ログアウト」サブメニューをクリックするとログイン前の画面に戻ります。
CA証明書
「ダウンロード」ボタン	証明書をダウンロードします（PEM形式）。
証明書失効リスト(CRL)
「ダウンロード」ボタン	Note 本バージョンでは未サポートです。
クライアント証明書
「再読み込み」ボタン	証明書の状態を最新に更新します。
状態	証明書の状態を「有効」「無効」「期限切れ」のアイコンで表示します。「無効」は証明書が発効日前の状態です。
一般名称(CN)	証明書の一般名称フィールドの値です。
発効日	証明書の発効日です。
有効期限	証明書の有効期限です。
メニューボタン	一覧の各行の右端にメニューボタンがあり、その行の証明書の管理ができます。　詳細：証明書の詳細情報を表示します。　ダウンロード：証明書をダウンロードします（PKCS#12形式）。

CAについて

CA管理 > CA管理（ローカルCA登録時） > CAについて
　
CA証明書の内容の表示や削除などができます。

表 13：CAについて
項目・ボタン名	説明
「CA管理」ボタン	「CA管理（ローカルCA登録時）」画面に戻ります。
CA証明書
役割	証明書を使用するサービス名です。
一般名称(CN)	証明書の一般名称フィールドの値です。
発効日	証明書の発効日です。
有効期限	証明書の有効期限です。
「詳細」ボタン	証明書の詳細情報を表示します。
「ダウンロード」ボタン	証明書をダウンロードします（PEM形式）。
証明書失効リスト(CRL)
「ダウンロード」ボタン	Note 本バージョンでは未サポートです。
CAの削除
「削除」ボタン	ローカルCAを削除します。クリックすると確認のダイアログが表示されますので、ローカルCAを削除してよければ「OK」ボタンをクリックしてください。