リファレンス編 / CA管理

ローカルCA

本製品は電子証明書を発行する認証局（CA）としての機能（ローカルCA機能）を備えています。
ローカルCAでは下記の機能を利用できます。

CA証明書の詳細確認・ダウンロード
CA証明書の有効性チェックと期限切れ通知メールの送信
証明書配布サイト用サーバー証明書の詳細確認とダウンロード
CRL（Certificate Revocation List, 証明書失効リスト）の詳細確認とダウンロード
クライアント証明書の発行
サーバー証明書の発行
クライアント証明書配布メールの送信

ローカルCAの作成は「CA管理」画面で行います。

Note
AT-RADgateで発行した証明書は、AT-RADgateをRADIUSサーバーとして使用する構成でのみサポートです。

証明書の有効性チェックと通知について

AT-RADgateのシステム時刻 00:00:00～00:04:59 の間に以下の処理を実行します。

CA証明書の有効期限確認
発行済み証明書の失効または有効期限確認
CRLの更新
期限切れ証明書の削除

CA証明書は、有効期限日から28日前、21日前、14日前、7日前、1日前に警告メッセージをログに表示します。
さらに、以下の条件を満たす場合は、警告メッセージをメールで送信します。

SMTPサーバーが設定されている（「メール設定」画面）
アカウントにメールアドレスが登録されている（「アカウント管理」画面）
アカウントに「システム設定の変更を許可する。」の権限が付与されている（「アカウント管理」画面）

CA証明書の有効期限切れの場合も同様に、ログにメッセージを表示し、条件を満たす場合はメール通知します
　
発行済みのサーバー証明書およびクライアント証明書は、有効期限日の7日前から毎日警告メッセージをログに表示します。また、条件を満たす場合はメール通知も行います。
ただし、同じユーザーに有効な証明書がある場合は、警告メッセージやメール通知は行いません。
　
発行済みのサーバー証明書およびクライアント証明書が有効期限切れになった場合、警告メッセージやメール通知は行いません。
有効期限切れの証明書は、30日後に自動で削除されます。

ローカルCAの削除

ローカルCAを削除すると、下記の機能が無効になります。

CA証明書の詳細確認・ダウンロード
証明書配布サイト用のサーバー証明書の詳細確認・ダウンロード
CRL（Certificate Revocation List, 証明書失効リスト）の詳細確認・ダウンロード
クライアント証明書の発行
サーバー証明書の発行
クライアント証明書の配布メールの送信
CAの管理領域に置かれているすべての証明書

Note
ローカルCAを削除しても、既にクライアントノード等に配布済みの証明書は有効期限まで有効です。また、AT-RADgateの各機能で使用中の証明書も自動では削除されません。

ローカルCAの削除は「CAについて」画面で行います。

CA管理（ローカルCA未登録時）

CA管理 > CA管理（ローカルCA未登録時）
　
デフォルトではローカルCAが登録されていませんので、下記の画面が表示されます。
「作成」ボタンをクリックすると「CAの作成」ダイアログが開きます。

CAの作成

CA管理（ローカルCA未登録時） > CAの作成
　
「CAの作成」ダイアログでローカルCAを作成します。

表 1：CAの作成
項目・ボタン名	必須	書式	説明
一般名称(CN)	○	文字列（最大64文字）	証明書の一般名称フィールドの値です。
国 (C)	－	文字列（2文字）	国コードです。
都道府県(ST)	－	文字列（最大128文字）	都道府県名です
市区町村(L)	－	文字列（最大128文字）	市区町村名です。
組織(O)	－	文字列（最大64文字）	組織名です。
メールアドレス	－	メールアドレス	証明書の所有者を識別するメールアドレスです。通常は管理者や申請者の連絡先を指定します。
公開鍵方式	○	－	使用する暗号アルゴリズムを「RSA-4096」「ECC P-256」「ECC P-384」から選択します。デフォルトは「ECC P-384」です。
署名ハッシュアルゴリズム	○	－	署名生成に使用するハッシュ関数を「SHA-256」「SHA-384」から選択します。デフォルトは「SHA-384」です。
有効日数	○	整数値（10-99999）	有効期限（日数）です。デフォルトは「3650（日）」です。
証明書配布サイトのドメイン名またはIPアドレス	－	文字列（最大253文字）	証明書配布サイトのドメイン名またはIPアドレスです。指定がない場合は、現在のAT-RADgateのホスト名を使用します。
OCSPレスポンダのドメイン名またはIPアドレス	－	文字列（最大253文字）	OCSPレスポンダのドメイン名またはIPアドレスです。
「キャンセル」ボタン	－	－	ローカルCAの作成をキャンセルします。
「保存」ボタン	－	－	ローカルCAを作成します。

Note
各項目に設定する文字列にマルチバイト文字（例：日本語、全角文字）を使用した場合の動作は未サポートです。

Note
OCSPレスポンダは証明書の失効情報をリアルタイムで提供することができます。AT-RADgateで認証局（ローカルCA）を作成するとAT-RADgateはOCSPレスポンダとしても動作するため、その場合はこの項目に自身のドメイン名またはIPアドレスを設定する必要はありません。
ただし、レプリカの構成においてプライマリのCA証明書に「OCSPレスポンダのドメイン名またはIPアドレス」が設定されていない場合、レプリカ構成のプライマリでは証明書の有効性チェックはできません。セキュリティー向上のため、レプリカ利用時はプライマリのCA証明書にOCSPレスポンダURLを設定することをおすすめします。

CA管理（ローカルCA登録時）

CA管理 > CA管理（ローカルCA登録時）
　
ローカルCAを登録すると「CA管理」画面が下記の表示に変わります。

証明書

CA管理 > CA管理（ローカルCA登録時） > 証明書　
　
「証明書」タブではローカルCAが発行した証明書が一覧表示されます。

表 2：証明書
項目名	説明
状態	証明書の状態を「有効」「失効」「無効」「期限切れ」のアイコンで表示します。「無効」は証明書が発効日前の状態です。
一般名称(CN)	証明書の一般名称フィールドの値です。
発効日	証明書の発行日です。
有効期限	証明書の有効期限です。

ページの右上にある各ボタンの機能は下記となります。

表 3：各ボタンの機能
ボタン名	機能
「CAについて」ボタン	「CAについて」画面を開きます。
列を管理	表の各列の表示状態を変更します。
再読み込み	証明書一覧を再読み込みします。
「失効」ボタン	選択した証明書を失効します。

一覧の各行の右端にメニューボタンがあり、その行の証明書の管理ができます。

表 4：各メニューの機能
メニュー名	機能
詳細	証明書の詳細を表示します（「証明書の詳細」ダイアログが表示されます）。
ダウンロード	証明書をダウンロードします（PKCS#12形式）。

証明書の失効

CAで発行したサーバー証明書やクライアント証明書を失効できます。失効は、秘密鍵の漏洩などで証明書を無効にしたい場合に使います。
失効した証明書はCRL（証明書失効リスト）に記載されます。証明書の失効は「CA管理 / 証明書」画面の「失効」ボタンで実行します。
CRLは毎日00:00:00～00:04:59に自動更新されます。

OCSPレスポンダ

OCSPレスポンダは、証明書の失効情報をリアルタイムで提供します。
CA作成時にOCSPレスポンダのドメイン名またはIPアドレスを指定できます。指定した場合、そのURLがCA証明書のAIA拡張に設定されます。未指定の場合はAIA拡張に反映されません。
EAP-TLS認証時、AIA拡張にOCSPレスポンダのURLがあれば、そのレスポンダに問い合わせて証明書の有効性を確認します。URLがない場合、ローカルCAがあればローカルOCSPで確認します。どちらもなければ証明書の有効性チェックは行いません。

Note
プライマリのCA証明書に「OCSPレスポンダのドメイン名またはIPアドレス」が設定されていない場合、レプリカでは証明書の有効性チェックはできません。セキュリティー向上のため、レプリカ利用時はプライマリのCA証明書にOCSPレスポンダURLを設定することをおすすめします。

証明書の詳細

証明書の詳細を表示するダイアログです。「閉じる」をクリックすると、ダイアログが閉じます。

証明書プロファイル

CA管理 > CA管理（ローカルCA登録時） > 証明書プロファイル
　
「証明書プロファイル」タブでは、証明書発行用テンプレートの編集ができます。
サーバー証明書用「server」とクライアント証明書用「client」の2種類があり、追加や削除はできません。また、証明書プロファイルを編集しても、既に発行済みの証明書は変更されません。

表 5：証明書プロファイル
項目名	説明
名称	証明書プロファイルの名前です。「server」はサーバー証明書用、「client」はクライアント証明書用のプロファイルです。
有効日数	有効期限（日数）です。
公開鍵方式	使用する暗号アルゴリズムです。
署名ハッシュアルゴリズム	署名生成に使用するハッシュ関数です。

ページの右上にある各ボタンの機能は下記となります。

表 6：各ボタンの機能
ボタン名	機能
「CAについて」ボタン	「CAについて」画面を開きます。
列を管理	表の各列の表示状態を変更します。
再読み込み	証明書プロファイル一覧を再読み込みします。

一覧の各行の右端にメニューボタンがあり、その行の証明書プロファイルの編集ができます。

表 7：メニューの機能
メニュー名	機能
編集	証明書プロファイルを編集するための「証明書プロファイル編集」ダイアログを表示します。

証明書プロファイル編集

証明書プロファイルの設定を変更することができます。

表 8：証明書プロファイル編集
項目・ボタン名	必須	書式	説明
名称	－	－	証明書プロファイルの名前です。「server」または「client」のいずれかで、変更できません。
国 (C)	－	文字列（2文字）	国コードです。
都道府県(ST)	－	文字列（最大128文字）	都道府県名です。
市区町村(L)	－	文字列（最大128文字）	市区町村名です。
組織(O)	－	文字列（最大64文字）	組織名です。
メールアドレス	－	メールアドレス	証明書の所有者を識別するメールアドレスです。通常は管理者や申請者の連絡先を指定します。
公開鍵方式	○	－	使用する暗号アルゴリズムを「RSA-4096」「ECC P-256」「ECC P-384」から選択します。デフォルトは「ECC P-384」です。
署名ハッシュアルゴリズム	○	－	署名生成に使用するハッシュ関数を「SHA-256」「SHA-384」から選択します。デフォルトは「SHA-384」です。
有効日数	○	整数値（10-99999）	有効期限（日数）です。デフォルトは「3650（日）」です。
「キャンセル」ボタン	－	－	証明書プロファイルの変更をキャンセルします。
「保存」ボタン	－	－	証明書プロファイルの変更内容を保存します。

Note
各項目に設定する文字列にマルチバイト文字（例：日本語、全角文字）を使用した場合の動作は未サポートです。

ユーザー証明書発行ツール

CA管理 > CA管理（ローカルCA登録時） > ユーザー証明書発行ツール
　　
「ユーザー証明書発行ツール」タブでは、「ポリシー管理 / ユーザー」で作成したユーザー覧が表示され、ユーザーに対してクライアント証明書を発行することができます。

クライアント証明書の発行について
- 証明書の「一般名称(CN)」はユーザーポリシーのログイン名を使用します
- ユーザーポリシーにメールアドレスが設定されている場合は、証明書のemailAddressフィールドに反映されます
通知メールの送信について
- 通知メールはユーザーポリシーに登録されたメールアドレスに送信します（証明書プロファイルのメールアドレスには送信されません）
- 有効なSMTPサーバーの設定がない場合は、メールの送信に失敗します
- ユーザーに対して証明書が発行されていない場合は、メールの送信はスキップされます
- ユーザーポリシーにメールアドレスを設定していない場合は、メールの送信はスキップされます
- 大量送信時にスパム判定されるのを防ぐため、送信間隔を1秒空けてメールを送信します

表 9：ユーザー証明書発行ツール
項目・ボタン名	説明
「CAについて」ボタン	「CAについて」画面を開きます。
「発行」ボタン	「ログイン名」左側のチェックボックスにチェックを入れると有効になり、クリックするとクライアント証明書を発行するための「証明書の発行」ダイアログが表示されます。
「配布」ボタン	「ログイン名」左側のチェックボックスにチェックを入れると有効になり、クリックすると証明書配布サイトのURLを通知するメールを送信します。
ログイン名	ユーザーポリシーのログイン名です。
フルネーム	ユーザーポリシーのフルネームです。
メールアドレス	ユーザーポリシーのメールアドレスです。
備考	ユーザーポリシーの備考です。

一覧の各行の右端にメニューボタンがあり、クリックすると発行メニューが表示されます。

表 10：メニューの機能
メニュー名	機能
発行	クライアント証明書を発行するための「証明書の発行」ダイアログが表示されます。

証明書の発行

「証明書の発行」ダイアログでクライアント証明書を発行します。

表 11：証明書の発行
項目・ボタン名	必須	書式	説明
証明書のパスワード	－	－	証明書のパスワードを設定します。「設定しない」「ユーザーのパスワードを使用する」「パスワードを設定する」の中から選択します。「ユーザーのパスワードを使用する」を選択した場合は、「ポリシー管理 / ユーザー」画面で作成したユーザーのパスワードが使用されます。
パスワード	○	最大63文字	「パスワードを設定する」を選択した場合に表示されます。証明書のパスワードを設定します。
「キャンセル」ボタン	－	－	クライアント証明書の発行をキャンセルします。
「発行」ボタン	－	－	クライアント証明書を発行します。

Note
複数のエントリーを選択してクライアント証明書発行時に「パスワードを設定する」を指定した場合は、選択したすべてのエントリーに対して発行されるクライアント証明書に同じパスワードが使用されます。

送信されるメール

送信されるメールのフォーマットは次のとおりです。
■ 件名

AT-RADgate証明書ダウンロードページ

■ 本文

下記のリンクからAT-RADgateの証明書ダウンロードページにアクセスできます。
　
https://（AT-RADgateのIPアドレス）:9000

リンクをクリックすると「AT-RADgate 証明書のダウンロード」画面を表示します。

AT-RADgate 証明書のダウンロード

証明書配布サイトのURLをクリックすると表示される画面です。CA証明書のダウンロードなどができます。

表 12：AT-RADgate 証明書のダウンロード
項目・ボタン名	説明
「ログイン」ボタン	クライアント証明書の内容を確認できます。クリックするとログイン画面が表示されますので、ユーザーポリシーに登録されたログイン名とパスワードを入力します（ログインアカウントではありません）。ログインに成功するとログイン後の画面に変わります。
CA証明書
「ダウンロード」ボタン	証明書をダウンロードします（PEM形式）。
証明書失効リスト(CRL)
「ダウンロード」ボタン	証明書失効リスト(CRL)をダウンロードします。
クライアント証明書
「ログイン」ボタン	クライアント証明書の内容を確認できます。クリックするとログイン画面が表示されますので、ユーザーポリシーに登録されたログイン名とパスワードを入力します（ログインアカウントではありません）。ログインに成功するとログイン後の画面に変わります。

AT-RADgate 証明書のダウンロード（ログイン後）

ログインに成功するとクライアント証明書の一覧が表示されます。

表 13：AT-RADgate 証明書のダウンロード（ログイン後）
項目・ボタン名	説明
ユーザー名（上記画面例では「user1」）	クリックすると「ログアウト」サブメニューが表示されます。「ログアウト」サブメニューをクリックするとログイン前の画面に戻ります。
CA証明書
「ダウンロード」ボタン	証明書をダウンロードします（PEM形式）。
証明書失効リスト(CRL)
「ダウンロード」ボタン	証明書失効リスト(CRL)をダウンロードします。
クライアント証明書
「再読み込み」ボタン	証明書の状態を最新に更新します。
状態	証明書の状態を「有効」「失効」「無効」「期限切れ」のアイコンで表示します。「無効」は証明書が発効日前の状態です。
一般名称(CN)	証明書の一般名称フィールドの値です。
発効日	証明書の発効日です。
有効期限	証明書の有効期限です。
メニューボタン	一覧の各行の右端にメニューボタンがあり、その行の証明書の管理ができます。　詳細：証明書の詳細情報を表示します。　ダウンロード：証明書をダウンロードします（PKCS#12形式）。

CAについて

CA管理 > CA管理（ローカルCA登録時） > CAについて
　
CA証明書の内容の表示や削除などができます。

表 14：CAについて
項目・ボタン名	説明
「CA管理」ボタン	「CA管理（ローカルCA登録時）」画面に戻ります。
CA証明書
役割	証明書を使用するサービス名です。
一般名称(CN)	証明書の一般名称フィールドの値です。
発効日	証明書の発効日です。
有効期限	証明書の有効期限です。
「詳細」ボタン	証明書の詳細情報を表示します。
「ダウンロード」ボタン	証明書をダウンロードします（PEM形式）。
証明書失効リスト(CRL)
「ダウンロード」ボタン	証明書失効リスト(CRL)をダウンロードします。
CAの削除
「削除」ボタン	ローカルCAを削除します。クリックすると確認のダイアログが表示されますので、ローカルCAを削除してよければ「OK」ボタンをクリックしてください。