固有証明書認証+自己署名証明書でユーザー認証
シン・テレワークシステムを使いたおす(9)
前回は高度なユーザー認証機能有効化と最も簡単なパスワード認証アカウントの設定をご紹介しました。
今回は一歩踏み込んで電子証明書を使ったユーザー認証について解説します。
電子証明書とは?
その名の通り電子的な証明書なのですが、何を証明するかというと”通信内容が改ざんされていないこと”と”通信相手が偽装されていないこと”を証明します。
詳細な仕組みついては省きますが、シン・テレワークシステムは接続してくるクライアントPCに電子証明書があるかどうかで認証する機能があります。
シン・テレワークシステムの電子証明書認証機能の注意点
この記事の結論は”固有証明書認証+事故署名証明書はお勧めしない”です。
『じゃあこの記事読まなくていいじゃん』となりますが、シン・テレワークシステムの電子証明書認証がどういうものかを知りたい方は読み進めてください。
この辺を既に知っている方は確かに読まなくていいかもしれないです(なんかすんません)。
さて、話を戻してシン・テレワークシステムの電子証明書認証はクライアントPCが認証するときに”証明書マネージャ(certmgr.msc)は使いません。”
クライアントPCが証明書を提示するときは”エクスプローラ機能を使い証明書ファイル(PKCS#12)そのものにアクセスします。”
これがどういうことかというと、証明書マネージャによる秘密鍵のエクスポート制限や証明書のコピー制限は使えないので、電子証明書を無限に複製できてしまいます。
実務的にはコピーガードの施された形式で電子証明書を保存する方法が別途必要です(証明書をコピーされると第三者や不正PCでなりすまされますので)。
銀行や行政手続き系で電子証明書を取り扱ったことのある方はこの違いがお分かりになると思います。
そうでない方は流れに沿って説明しますのでそのまま読み進めてください。
肝心のコピーガードの方法ですが、その1つとしてシン・テレワークシステムではマイナンバーカードの電子証明書を利用できます。
別の方法としてコピーガード機能付きUSBメモリや資産管理ソフトによりコピー制限をかける方法があります。
固有証明書認証を自己署名証明書で使う
今回は電子証明書認証の中で最も簡単な方法で固有証明書認証機能を自己署名証明書で使ってみます。
設定の流れは次のようになります。
- シン・テレワークシステムサーバーで証明書作成
- 証明書をクライアントPCへ移動
- クライアントPCが接続するときに証明書を提示
シン・テレワークシステムサーバーで証明書作成
遠隔操作を受け付けるシン・テレワークシステムサーバーの設定開きます。
その中のセキュリティ設定⇒”高度なユーザー認証機能を使う”にチェックが入っていることを確認して”ユーザーの管理”をクリックしましょう。
するとユーザーの管理画面が開きますので、固有証明書認証を使うユーザーを新規作成します。
ユーザーの新規作成画面が表示されたら”ユーザー名”を入力し、認証方法から”固有証明書認証”をクリックして”証明書作成ツール”をクリックします。
ここで作成される電子証明書は自己署名証明書(別名、オレオレ証明書)と呼ばれます。
新しい証明書の作成画面が表示されたら次の要領で入力します。ちなみに必須項目は”名前(CN)”のみで後の入力は任意ですが、せっかくなので一般的な入力内容をご紹介します。
名前(CN):証明書の名前を入力します。ドメイン名やユーザー名が設定されることが多いですが、ここではひとまずユーザー名と同じにします。
所属機関(O):証明書を扱っている組織や会社の英名を入れることが多いです。
組織単位(OU):証明書を管理している組織の部署を英名で入れることが多いです(専属社内SEだとIT management officeとかsystem divisionとか)。重要度はあまりないので迷ったら空白でもいいと思います。
国(C):証明書を扱う組織の所属する国をアルファベット2文字の短縮形で入れることが多いです(日本ならJP、アメリカならUSなど)。
都道府県(ST):そのまんま都道府県を英語表記で入れることが多いです。
ローカル(L):所属組織の住所や番地を入れることが多いです。これも必須ではないので市区町村までの入力にするとか、そもそも入力しないとかでもOKです。
シリアル番号(S):電子証明書を一意に識別できる番号を入力します。固有証明書認証では設定するメリットはほとんどありません(個人的意見)ので空白にします。
証明書の有効期間:この電子証明書が何日間有効とするかを指定します。有効期限の切れた電子証明書は基本的に使うことができません。銀行や行政系やウェブサイトSSL対応では1年以下の短い期間を指定しますが、シン・テレワークシステムを使う上で特段の事情が無ければ既定の3650日(10年)でよいでしょう(ユーザーのログインを一定期間に限定したいときは電子証明書の有効期間ではなくユーザーの有効期間を設定しましょう)。
暗号強度:長ければ長いほど解読されにくくなりますが、既定の2048bitsで十分強力なので既定のままでOKです。
各項目の入力が完了したらOKボタンをクリックします。
すると証明書と秘密鍵の保存画面が表示されます。
”保存方法を選択してください”とありますが、私の環境ではどこも選択できない(バグ?それとも何か他の条件がある?)状態だったので、そのまま”OK”ボタンをクリックします。
秘密鍵の保護については後述します。
保存場所を指定する画面が表示されますので、わかりやすい名前を付けてわかりやすい場所に保存しましょう。
保存が完了するとユーザーの新規作成画面に戻ります。
固有証明書認証に発行した電子証明書が登録され、設定を確定する”OK”ボタンがクリックできるようになっています。
なお、ここで作成した電子証明書は再発行ができません。
仮に設定値を全て同じ文字列にしたとしても、同じ電子証明書ではありません(内部に持っている公開鍵と秘密鍵が違う数値になる)ので発行した電子証明書は無くさないようにしましょう。
これでアカウントの設定と証明書の発行が完了しましたのでOKボタンをクリックします。
固有証明書認証のユーザーが作成されたことを確認して”閉じる”ボタンをクリックして閉じましょう。
この後表示されるセキュリティ設定画面もOKボタンをクリックして設定を確定します。
証明書をクライアントPCへ移動
作成した電子証明書はクライアントPCが接続するときに使います。
そのため、サーバーPCにあっても役に立ちませんのでクライアントPCに移動することになります。
移動方法は何でもよいですが、”保存した電子証明書は何の特別な操作も必要なく右クリックコピーやCtrl+Cで複製できる”ことを頭の片隅においてください。
クライアントPCが接続するときに証明書を提示
それではシン・テレワークシステムクライアントから遠隔操作を接続してみましょう。
接続方法はこれまでと何も変わりません。クライアントソフトを立ち上げて接続しましょう。
接続先PCが高度なユーザー認証機能を有効にしていると画像のような画面が表示されます。
認証方法を”証明書認証”に設定し、事前に設定したユーザー名を入力しましょう。
その後、証明書認証の参照をクリックして事前に保存した電子証明書を指定します。
指定したらOKボタンをクリックして接続しましょう。正しい証明書が選択されていればシン・テレワークシステムのパスワード入力無しで接続できます(この後のPCログインパスワードは入力してくださいね)。
電子証明書を無効にする
電子証明書を無効にすることで、その証明書を利用した遠隔接続を拒否することができます。
電子証明書の無効化はシン・テレワークシステムサーバーにて行います。
セキュリティ設定の高度なユーザー認証機能設定の中にある”無効な証明書”というボタンをクリックします。
無効な証明書の追加画面が表示されますので、”追加”ボタンをクリックしましょう。
するといろいろな指定項目が表示されますが、入力はすべてすっ飛ばして画面下の”証明書の読み込み”をクリックします。
すると無効にする電子証明書の選択になりますので、発行した電子証明書を指定しましょう。
電子証明書を指定すると下図のように電子証明書の詳細が表示されます。
内容を確認して間違っていなければOKボタンをクリックして設定を確定します。
これで電子証明書の無効化は完了です。
このリストの中にある電子証明書で接続しようとしてきたクライアントPCは遠隔操作接続に失敗するようになります。
セキュリティのお話し
ここまで電子証明書を利用した認証の方法を説明しましたが、セキュリティの面で次のような課題があります。
そのため、固有認証機能+自己署名証明書という組み合わせはできるだけ使わないようにしましょう。
電子証明書をコピーされる
すでに説明の通り、今回の電子証明書の取り扱いではいくらでも電子証明書がコピーできます。
さらに電子証明書を提示さえすればノーチェックで認証が通ってしまいますので、本来やりたかったクライアントPCの機体認証とは程遠い結果となります。
そのため、電子証明書の保管と配布の際にはコピーできない仕組みを併用しましょう。
私としてはマイナンバーカード認証がおすすめです。
なお、秘密鍵の保護機能を使えば電子証明書にパスワードをかけることができますが、それでは本末転倒で『電子証明書は使わずにはじめからパスワード認証でいいよね?』という話になります。
シン・テレワークシステムサーバーごとに電子証明書の無効化処理が必要
こちらは電子証明書が漏えいとか悪用されたときに無効化する課題です。
すでに記載した通り、電子証明書の無効化はシン・テレワークシステムサーバー側で行います。
仮に1枚の電子証明書を10台のシン・テレワークシステムサーバーに設定していたとすると、この証明書を失効処理するにはサーバー設定を10回変えないといけません。50台なら50回です。
かといってサーバーごとに電子証明書を手動で別々に発行していると管理しづらくなります。
コピー可能な電子証明書が大量に存在すると、それこそ電子証明書漏えいリスクが高くなってしまいます。
この解決方法として認証機関(CA)を使います(別記事にまとめます)。
まとめ
- シン・テレワークシステムには電子証明書認証機能がある
- 固有証明書認証+自己署名証明書はセキュリティの課題があるのでなるべくやめよう
- おすすめは認証機関の利用またはマイナンバーカードの利用
次回はHTML版の使い方と長所短所について説明します。
目次はこちら