【EPS技術記事】NetAttest EPS-ap ゼロタッチ証明書配布のご紹介(Active Directory)
概要
「NetAttest EPS-ap(ネットアテスト イーピーエス エーピー)」は、インターネット経由でも秘密鍵を外部に漏らさず、安全に証明書の配布ができる製品です。
オールインワン認証アプライアンス 「NetAttest EPS (ネットアテスト イーピーエス)」のオプション製品として、株式会社ソリトンシステムズが開発・販売しています。
NetAttest EPS-ap は、SCEP(Simple Certificate Enrollment Protocol)経由で証明書を配布することにより、端末内の証明書情報(秘密鍵)の漏洩を防ぎ、安全な証明書認証環境を構築することができます。
証明書の配布方法において、EPS-apではSoliton KeyManagerという専用アプリをインストールして使用します。
本記事では、以下の3つの項目についてご紹介します。
- Soliton KeyManagerのサイレントインストール方法
- ユーザーストアへ証明書のインストール方法(ログオンスクリプト)
- コンピューターストアへ証明書のインストール方法(スタートアップスクリプト)
Soliton KeyManagerのサイレントインストール方法
Windowsでは、プログラムをインストールする際などに管理者権限を要求されることがあります。
Soliton KeyManagerをインストールする際には管理者権限が必要になります。
管理者権限を持ったアカウントであれば問題ありませんが、ユーザー権限のみ付与しているアカウントもあるかと思います。
その場合、Soliton KeyManagerをインストールすることができません。
Active Directoryのグループポリシーに於けるスタートアップスクリプトを利用することで、管理者権限がない環境でもSoliton KeyManagerのインストールが可能です。
動作イメージ
デモ動画
事前準備
- Soliton KeyManagerのインストーラーを共有フォルダに保存します。
- Soliton KeyManagerをサイレントインストールするバッチファイルを作成します。
例)Soliton KeyManagerサイレントインストール実行コマンド
-----バッチファイルの中身------
"\\(ファイルサーバー)\(共有フォルダ) \SolitonKeyManagerV2011.exe" -s
--------------------------------------
-s:サイレントインストールオプション
Active Directory側の操作
- [グループポリシーの管理]-[グループポリシーオブジェクト]-[Default Domain Policy]-[セキュリティフィルター処理]より、Domain Users/Domain Computersを登録します。
(デフォルトでは、Authenticated Usersしか登録されてません) - 「1」で使用した”Default Domain Policy”の編集で、[グループポリシー管理エディター]を開き、[コンピュータの構成]-[ポリシー]-[Windowsの設定]-[スクリプト(スタートアップ/シャットダウン)]-[スタートアップ]より、スタートアップのプロパティを開きます。
- 「追加」より、"事前準備-2"で作成したバッチファイルを登録します。
- バッチファイルの保存場所は「参照」ボタンをクリックすると開かれるフォルダです。
例)ドメイン名が win2022.example.com の場合
\\win2022.example.com\sysvol\win2022.example.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Scripts\Startup
※{31B2F340-016D-11D2-945F-00C04FB984F9}は、GPOのIDになるので適用するGPOなど環境によって異なります。
該当のグループポリシー-[詳細]-[一意なID]より確認可能です。 - 登録後、「適用」ボタンをクリックします。
クライアントPC側の操作
- グループポリシー適用済みのクライアントPCを再起動します。
- ログイン後、Soliton KeyManagerがインストールされていることを確認してください。
補足
クライアントPCには、以下のコマンドを入力することでグループポリシーを強制適用することも可能です。
コマンド:gpupdate /force
ユーザーストアへ証明書のインストール方法(ログオンスクリプト)
ユーザーストアへ証明書をインストールするには、ログオンスクリプトを使用します。
ログオンスクリプトでは、ユーザーのログオン時にログオンユーザーの権限でスクリプトが実行されます。
動作イメージ
デモ動画
事前準備
ユーザーログオン時にユーザーストアへ証明書をインストールするバッチファイルを作成します。
例)ユーザーストアへ証明書のインストール実行コマンド
-----バッチファイルの中身------
"C:\Program Files (x86)\Soliton KeyManager\KeyManager.exe" /cl /su /h (EPS-apのホスト名またはIPアドレス) /hp 443 /u tsoliton /p password
-------------------------------
オプション | 説明 |
/cl | コマンドラインで実行 |
/su | 格納先を指定する(/su = ユーザーストア) |
/h | ホスト名またはIPアドレスを指定する |
/hp | ポート番号を指定する |
/u | 申請ユーザーを指定する |
/p | 申請ユーザーのパスワード(平文)を指定する (暗号化したパスワードを使用することも可能です) |
※ご紹介しているオプションは一部となります。
全てのオプションについては製品マニュアルをご参照ください。(現在、マニュアル準備中です)
Active Directory側の操作
- [グループポリシー管理エディター]を開き、[ユーザーの構成]-[ポリシー]-[Windowsの設定]-[スクリプト(ログオン/ログオフ)]-[ログオン]より、ログオンのプロパティを開きバッチファイルを登録します。
登録後、「適用」ボタンをクリックします。
補足
[委任]にDomain Computersを登録しないと、ログオンスクリプトがうまく実行されませんでした。
クライアントPC側の操作
- グループポリシー適用済みのクライアントPCにサインイン(ログオン)します。
- サインイン(ログオン)すると、ログオンスクリプトが実行されます。
ログオンスクリプトが実行されると、バッチファイルに記載されているコマンドに従ってCA証明書、クライアント証明書のインストールが行われます。
セキュリティ警告画面で「はい」をクリックします。 - 「証明書をインストールしました。(ユーザー)」と表示されれば、
クライアント証明書のインストールは完了です。
補足
クライアントPCには、以下のコマンドを入力することでグループポリシーを強制適用することも可能です。
コマンド:gpupdate /force
参考
[グループポリシー管理エディター]の[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[セキュリティの設定]-[公開キーのポリシー]-[信頼されたルート証明機関]で、あらかじめCA証明書をインポートしグループポリシーで配布しておくことで、「3.」のCA証明書のインストールを行う操作を省略する(メッセージを表示させない)ことも可能です。
コンピューターストアへ証明書のインストール方法(スタートアップスクリプト)
コンピューターストアへ証明書をインストールするには、スタートアップスクリプトを使用します。
スタートアップスクリプトでは、コンピューター起動時にSYSTEMアカウント権限でスクリプトが実行されます。
動作イメージ
デモ動画
事前準備
クライアントPC起動時にコンピューターストアへ証明書をインストールするバッチファイルを作成します。
例)コンピューターストアへ証明書のインストール実行コマンド
-----バッチファイルの中身------
"C:\Program Files (x86)\Soliton KeyManager\KeyManager.exe" /cl /sc /h (EPS-apのホスト名またはIPアドレス) /hp 443 /u tsoliton /p password
--------------------------------------
オプション | 説明 |
/cl | コマンドラインで実行 |
/sc | 格納先を指定する(/sc = コンピューターストア) |
/h | ホスト名またはIPアドレスを指定する |
/hp | ポート番号を指定する |
/u | 申請ユーザーを指定する |
/p | 申請ユーザーのパスワード(平文)を指定する (暗号化したパスワードを使用することも可能です) |
※ご紹介しているオプションは一部となります。
全てのオプションについては製品マニュアルをご参照ください。(現在、マニュアル準備中です)
Active Directory側の操作
- [グループポリシー管理エディター]を開き、[コンピューターの構成]-[ポリシー]-[Windowsの設定]-[スクリプト(スタートアップ/シャットダウン)]-[スタートアップ]より、スタートアップスクリプトのプロパティを開きバッチファイルを登録します。
登録後、「適用」ボタンをクリックします。
クライアントPC側の操作
- グループポリシー適用済みのクライアントPCを再起動します。
- 再起動後、コンピューターストアへCA証明書、クライアント証明書が自動的にインストールされます。
※スタートアップスクリプトを使用する場合、実行はコンピューター起動時となり、ユーザーがログオンしていないタイミングでの実行となります。そのため、入力ダイアログや「証明書をインストールしました。(コンピューター)」のようなメッセージは表示されません。
補足
クライアントPCには、以下のコマンドを入力することでグループポリシーを強制適用することも可能です。
コマンド:gpupdate /force
Pickup ピックアップ
-
インタビュー
「切れない」VPNに認証の側面から安心をプラス|Absolute Secure Access ✕ Soliton OneGat...
-
イベント報告
【ウェビナー】知っておきたい「医療ガイドライン第6.0版」のポイントと、求められるセキュリティ対策とは?|アクシオ×ソリトンシ...
-
インタビュー
フルマネージドの連携ソリューションで快適かつ安全な無線環境を負荷なく実現|Hypersonix × Soliton OneGa...
-
インタビュー
「まずは認証から」現場の課題に寄り添い、実現可能なゼロトラストセキュリティソリューションを提案|萩原テクノソリューションズ×ソ...
-
インタビュー
新たな脅威への対応まで『任せられる』。「Prisma SASE」で、組織のセキュリティ対策をシンプルに強化|パロアルトネットワ...