Previous Topic

Next Topic

Book Contents

Book Index

SSL - クライアント証明書 - インポート/作成

クライアント証明書のインポート

多くの場合、既存のクライアント証明書を持っているユーザーがそのクライアント証明書を使用して認証できるようにする最も簡単な方法は、ユーザーにサインオンを 1 回試行させ、ユーザーおよび組織の保留タンクに表示された証明書エントリを受け入れることです (詳細については、[Holding Tank (保留タンク)] ページを参照してください)。ただし、ユーザーが初めてサインオンする前に、その証明書を管理者に提示できる場合があります。この場合、管理者はその証明書を MOVEit Transfer ストアにインポートでき、必要に応じて Microsoft の信頼されたルートストアにインポートすることもできます。

SSL 証明書の機能上、管理者がユーザーのクライアント証明書をインポートする際に必要なコンポーネントは「公開」部分だけです (クライアント証明書の「秘密」部分は、ユーザーが保持する必要があり、誰にも提示してはなりません)。ユーザーが証明書の公開部分を提示できる場合、[Import Existing Client Certificate (既存のクライアント証明書のインポート)] ページを使用して MOVEit Transfer にインポートできます。このページにアクセスするには、クライアント証明書管理ページに移動し、[Import (インポート)] リンクをクリックします。

Embedded OLE File Template, D75, H100

インポート後、MOVEit Transfer は証明書の特性を自動的に判断できます。このページで述べたように、証明書が自己署名されている場合、MOVEit Transfer は証明書のサムプリントをユーザーレコードに追加し、証明書を Microsoft の信頼されたルートストアにインポートします。これにより、その証明書を使用するユーザーはサーバーに接続することができます。証明書が CA によって署名されている場合、MOVEit Transfer はその CA が現在の組織によって信頼されているかどうかを最初に確認します。信頼されている場合、MOVEit Transfer は証明書の CN をユーザーレコードに追加します。信頼されていない場合、エラーが返され、管理者は続行する前に CA を信頼するよう求められます。

クライアント証明書の追加

ユーザーが既存のクライアント証明書を持っているが、公開部分を管理者に直接提示できない場合、ユーザーが証明書に関する特定の情報を管理者に提供できるのであれば、その証明書の要素をユーザーのアカウントに関連付ける方法がまだあります。ユーザーがクライアント証明書のサムプリントまたは CN を提供できる場合、管理者はクライアント証明書管理ページに移動し、[Add (manually) (追加 (手動))] リンクをクリックして、この情報をユーザーレコードに追加できます。

Embedded OLE File Template, D75, H100

ここで、管理者は証明書のサムプリントまたは CN を手動で所定のテキストボックスに追加し、入力するデータ型を選択できます。[Add Certificate (証明書の追加)] ボタンをクリックすると、入力した情報がユーザーレコードに追加されます。

注: この方法では信頼の問題は解決されません。ユーザーがクライアント証明書を使用してサーバーに接続するには、クライアント証明書が信頼される必要があります。そのためには、自己署名の場合は Microsoft の信頼されたルートストアに証明書を追加します。あるいは、信頼された CA による署名を取得します。

新しいクライアント証明書の作成

ユーザーがクライアント証明書を持っていない場合、組織の CA によって署名された証明書を MOVEit Transfer で生成できます。この証明書は、管理者がユーザーに提供できるように、サムプリントによって自動的にユーザーアカウントに関連付けられ、[username].pfx ファイルとして管理者に提供されます。ユーザーは、サーバーへの接続にどのクライアントを使用している場合でも、新しい証明書をクライアント証明書ストアにインポートする必要があります (ほとんどの Windows 環境では、*.pfx クライアント証明書ファイルを開くと、クライアント証明書インポートウィザードが起動します)。

ユーザー向けに新しいクライアント証明書を作成するには、そのユーザーの SSL クライアント証明書管理ページに移動し、[新規作成] リンクをクリックします。まだ組織の CA に新しいクライアント証明書に署名してもらっていない場合、クライアント証明書を作成するためのリンクが提供されます (フル管理者の場合)。それ以外の場合、標準の証明書情報を入力するためのフォームが開きます。いくつかのフィールドには、既知の値が入力されています。

Embedded OLE File Template, D75, H100

注: 入力または選択したパスワードを忘れないようにしてください。新しい証明書を正常にインポートするには、このパスワードをエンドユーザーに提供する必要があります。

[Create Certificate (証明書の作成)] ボタンをクリックすると、新しい証明書の詳細がリストされた確認ページが開きます。

Embedded OLE File Template, D75, H100

[Create and Download Certificate (証明書の作成とダウンロード)] ボタンをクリックすると、証明書が作成され、組織の CA によって署名され、ユーザーに関連付けられて、ダウンロードできるよう管理者に提示されます。管理者は新しい *.pfx 証明書ファイルを、インポートできるようにユーザーに提供する必要があります。このとき、最初の [Create Client Certificate (クライアント証明書の作成)] ページで選択したパスワードも提供します。

ユーザーは「使用開始 - サインオン」セクションに記載されている手順に従って、クライアント証明書をブラウザにインポートする必要があります。