クイックツアー / 電子証明書の発行

ここでは802.1X認証におけるEAP-TLS（証明書ベースの認証方式）で使用する電子証明書（証明書）の発行とインポート（適用）方法を記載します。

証明書について

AT-RADgateには証明書を発行する認証局（CA）としての機能（ローカルCA機能）を備えており、以下の証明書を発行できます。

ルートCA証明書（CA証明書）
証明書配布サイト証明書（証明書配布サイト用サーバー証明書）
サーバー証明書（RADIUSサーバー証明書）
クライアント証明書

802.1X認証におけるEAP-TLS（証明書ベースの認証方式）ではRADIUSサーバー（AT-RADgate）とユーザーが使用する端末に証明書が必要です。

Note
AT-RADgateで発行した証明書は、AT-RADgateをRADIUSサーバーとして使用する構成でのみサポートです。

AT-RADgateとユーザーが使用する端末に必要な証明書は以下です。

AT-RADgate
- CA証明書
- サーバー証明書
　
ユーザーが使用する端末
- CA証明書
- クライアント証明書

Note
AT-RADgateとユーザーが使用する端末のCA証明書は同一のものを使用します。

Note
サーバー証明書とクライアント証明書はAT-RADgateのCAによって署名されます。

証明書の発行とインポート（適用）

ここでは例として証明書の発行とインポート（適用）を次の手順で行います。

Note
手順2.の証明書プロファイルの設定は任意です。

Note
手順6.でクライアント証明書の発行時にパスワードの有無を設定します。クライアント証明書をインポートする端末に合わせて設定してください。

Note
AT-RADgate 1.2.0で発行したクライアント証明書は設定しない（パスワードなし）と同じです。
複数のエントリーを選択してクライアント証明書発行時に「パスワードを設定する」を指定した場合は、選択したすべてのエントリーに対して発行されるクライアント証明書に同じパスワードが使用されます。

Note
手順7.ではメールでクライアント証明書とCA証明書配布サイトのURLを通知しますが、事前設定として「システム管理 / メール設定」画面の項目で有効なSMTPサーバーの設定があるものとします。有効なSMTPサーバーの設定がない場合は、手順7.と手順8.を行わず手順9.に進んでください。

1. CAの作成

CAの作成は「CA管理」画面で行います。
「作成」ボタンをクリックします。

証明書に記載する「一般名称(CN)」「組織(O)」等を設定できますが、ここでは必須項目の「一般名称(CN)」のみを設定し、公開鍵方式「ECC P-384」、署名ハッシュアルゴリズム「SHA-384」、有効日数「3650」は初期設定のものを使用します。
設定を行い「保存」ボタン→「OK」ボタンの順にクリックします。なお、設定していない他の項目は空欄になります。

表 1：設定例
一般名称(CN)	AT-RADgate-CA

「CA管理」画面が下記の表示に変わります。

　
CAを作成すると、以下の証明書が発行されます。ルートCA（CA証明書）と証明書配布サイト（証明書配布サイト用サーバー証明書）の2つの証明書は「CA管理 / CAについて」画面で確認できます。

ルートCA（CA証明書）
証明書配布サイト（証明書配布サイト用サーバー証明書）

なお、ここでは証明書配布サイト用の証明書は使用しません。

2. サーバー証明書とクライアント証明書の証明書プロファイルの設定

「CA管理」画面の「証明書プロファイル」タブでサーバー証明書とクライアント証明書の証明書プロファイルを設定することができますが、本設定は任意です。本設定を行うことで証明書発行時に国(C)や組織(O)等が反映されます。ここでは証明書プロファイルの設定は行わないため、初期設定の公開鍵方式「ECC P-384」、署名ハッシュアルゴリズム「SHA-384」、有効日数「3650」が使用されます（他の項目は空欄）。

3. ルートCA（CA証明書）のインポート（適用）

手順1.でCAを作成した際に発行された「ルートCA（CA証明書）」をAT-RADgate（RADIUSサーバー）にインポート（適用）します。
これは「RADIUS管理 / 一般」画面の「信頼されたCA証明書」で行います。

「信頼されたCA証明書」の「インポート」ボタンをクリックして「ローカルCA証明書を使用」を選択し、「OK」ボタンをクリックします。

　
「信頼されたCA証明書」に「AT-RADgate-CA」が表示されます。

4. サーバー証明書の発行

手順1.でCAを作成するとサーバー証明書（RADIUSサーバー証明書）が発行できます。
これは「システム管理 / ネットワーク設定」画面の「サーバー証明書」で行います。

「サーバー証明書」の「役割」に表示されている「RADIUS」の右端に表示されている「発行」ボタンをクリックします。

「証明書の発行」ダイアログが表示されます。
ここでは必須項目の「一般名称(CN)」のみを設定し、「発行」ボタン→「OK」ボタンの順にクリックします（「代替サブジェクト(SAN)」は空欄）。

表 2：設定例
一般名称(CN)	AT-RADgate-server-certificate

　
「RADIUS」の「一般名称(CN)」が「AT-RADgate-server-certificate」に変わります。

　
「サーバー証明書」を発行すると「CA管理」画面の「証明書」タブに発行した証明書が表示されます。

5. ポリシー管理 / ユーザーの追加（登録）

クライアント証明書の発行は「CA管理」画面の「ユーザー証明書発行ツール」タブで行いますが、「ユーザー証明書発行ツール」に表示されるエントリーは「ポリシー管理 / ユーザー」画面で作成したユーザーが表示されるため「ポリシー管理 / ユーザー」画面で追加（登録）を行います。

「追加」ボタンをクリックすると「ユーザー追加」ダイアログが表示されます。

ここでは「ログイン名」「パスワード」「メールアドレス」を設定し、「保存」ボタン→「OK」ボタンの順にクリックします（他の項目は空欄）。
「CA管理」画面の「ユーザー証明書発行ツール」の配布では、ここで設定した「メールアドレス」に証明書配布サイトのURLの通知メールが送信されます。

表 3：設定例
ログイン名	user1
パスワード	password1
メールアドレス	sample@example.jp

　
「ログイン名」に「user1」が表示されます。

6. クライアント証明書の発行

「CA管理」画面の「ユーザー証明書発行ツール」タブには手順5.で追加（登録）したエントリーが表示され、そのエントリーに対してクライアント証明書を発行します。

表示されたエントリーの右端のメニューボタンをクリックして「発行」ボタンをクリックします。

「証明書の発行」ダイアログが表示されます。

ここではクライアント証明書に任意のパスワードを設定しますので、「証明書のパスワード」で「パスワードを設定する」を選択して、「パスワード」にパスワードを入力して「発行」→「OK」ボタンをクリックします。

表 4：設定例
証明書のパスワード	パスワードを設定する
パスワード	TopSecret0!

　
「クライアント証明書」を発行すると「CA管理」画面の「証明書」タブに発行した証明書が表示されます。

7. クライアント証明書とCA証明書配布サイトの通知

Note
「システム管理 / メール設定」画面の項目で有効なSMTPサーバーの設定がない場合は手順9.に進んでください。

「CA管理」画面の「ユーザー証明書発行ツール」タブに表示されたエントリーの「ログイン名」左側のチェックボックスにチェックを入れると、「配布」ボタンがクリックできるようになります。

「配布」ボタン→「OK」ボタンの順にクリックすると、「メールアドレス」に設定されたメールアドレスに証明書配布サイトのURLを通知するメールを送信します。

　
「メール送信中」の表示が消えたら、メール送信が完了しています。

8. クライアント証明書とCA証明書のダウンロード

設定されたメールアドレスに証明書配布サイトのURLが以下のような内容で送信されます。
下記のリンクから証明書配布サイト（AT-RADgate 証明書のダウンロードサイト）でダウンロードサイトにアクセスできます。

https://（AT-RADgateのIPアドレス）:9000

上記をクリックすると以下のような画面が表示され、ここではCA証明書とクライアント証明書のダウンロードを行います。

■ CA証明書のダウンロード
CA証明書の「ダウンロード」ボタンをクリックしてCA証明書をダウンロードします。CA証明書はPEM形式です。

■ クライアント証明書のダウンロード
クライアント証明書のダウンロードにはログインする必要があります。クライアント証明書の「ログイン」ボタンをクリックするとログイン画面が表示されますので、ユーザーポリシーに追加（登録）した際のログイン名とパスワードを入力して「ログイン」ボタンをクリックします。
ログインに成功するとクライアント証明書が表示されます。このログイン名とパスワードはAT-RADgateの設定画面にログインする「ログイン名」「パスワード」ではなく、「ポリシー管理 / ユーザー」画面で追加（登録）した際のユーザーの「ログイン名」「パスワード」です。

クライアント証明書の右端にメニューボタンがあり、「ダウンロード」を選択してクライアント証明書をダウンロードします。クライアント証明書はPKCS#12形式です。

ログインの「ログイン名」「パスワード」はクライアント証明書をダウンロードするために必要ですが、クライアント証明書をダウンロード後に再びログインする必要がない場合は「ポリシー管理 / ユーザー」画面で追加（登録）したユーザーは削除しても問題ありません。ただし、この画面でログイン前に「ポリシー管理 / ユーザー」画面で該当のユーザーを削除するとログインできません。
　
ダウンロードした2つの証明書（CA証明書とクライアント証明書）をユーザーが使用する端末へインポート（適用）してください。今回はクライアント証明書にパスワードを設定していますので、インポート（適用）する際には手順6.で設定したパスワードが必要です。インポート（適用）方法は端末のマニュアル等をご参照ください。
　
AT-RADgateとユーザーが使用する端末への証明書の発行とインポート（適用）は以上です。

9. 有効なSMTPサーバーの設定がない場合

「システム管理 / メール設定」画面の項目で有効なSMTPサーバーの設定がない場合は、ユーザーが使用する端末へインポート（適用）する2つの証明書（CA証明書とクライアント証明書）はAT-RADgateでダウンロードします。
　
CA証明書のダウンロードは「CA管理 / CAについて」画面で行います。

クライアント証明書のダウンロードは「CA管理」画面の「証明書」タブで行います。

Note
クライアント証明書を発行後は「ポリシー管理 / ユーザー」画面で追加（登録）したユーザーは削除してもクライアント証明書のダウンロードはできます。

ダウンロードした2つの証明書（CA証明書とクライアント証明書）をユーザーが使用する端末へインポート（適用）してください。今回はクライアント証明書にパスワードを設定していますので、インポート（適用）する際には手順6.で設定したパスワードが必要です。インポート（適用）方法は端末のマニュアル等をご参照ください。
　
AT-RADgateとユーザーが使用する端末への証明書の発行とインポート（適用）は以上です。