全ユーザー共通のクライアント証明書で二要素認証

ユーザー名とパスワードによる認証に加え、2要素目としてのクライアント証明書認証を追加する方法の1つ目です。

ここでは「全ユーザーが共通のクライアント証明書を持ち、そのクライアント証明書を持たないクライアントPCは接続させない」という設定を行います。クライアント証明書認証の設定としては最も簡単な方法です。

クライアント証明書認証を行うには、各ユーザーのPCにクライアント証明書をインポートしてもらう必要があります。

「各ユーザーにその共通クライアント証明書を何らかの方法(例: USBメモリを使う)で配布して、各ユーザーに手作業でインポートしてもらう」というのも一つの手段ですが、ユーザー数が多いとかなり時間と手間のかかる作業になります。

その手間を省く目的で、GlobalProtectでは、「ユーザー名とパスワード認証の際に、同時にクライアント証明書を配布する」という機能が提供されていますので、ここではその設定を行います。

全ユーザー共通のクライアント証明書の生成

a)「Device」 → 「証明書の管理」の下のb)「証明書」 → c)「デバイス証明書」→ d)「生成」をクリックします。

a)証明書名および共通名に「Common-ClientCert(任意)」と入力し、c)署名者に「PA-Certificate-Authority」を選択して、e)「生成」をクリックします。

Gateway用のサーバー証明書と同じ形で、クライアント証明書が生成されます。

証明書プロファイルの設定とGatewayへの割当て

証明書プロファイル設定し、それをPortalやGatewayに割当てることで、クライアント証明書認証が可能になります。

このプロファイルでは、クライアント証明書認証に使用する、証明書発行機関の証明書(ルート証明書)を指定します。

a)「Device」 → 「証明書の管理」の下のb)「証明書プロファイル」 → c)「追加」をクリックします。

a)名前に「Common-ClientCert-Profile(任意)」と入力し、b)「追加」をクリックします。
表示された画面でc)CA証明書「PA-Certificate-Authority」を選択し、d)「OK」をクリックします。
e)「OK」をクリックします。

もう一度「OK」を押して、設定を閉じます。

a)「Network」 → b)「ゲートウェイ」 → c)「External-Gateway」をクリックします。

a)「認証」タブ → b)証明書プロファイルで「Common-ClientCert-Profile」を選択し、d)「OK」をクリックします。

同様の方法で、Internal-Gatewayにも証明書プロファイルを割り当てます。

Portalから共通クライアント証明書を配布する設定

a)「Network」タブ→GlobalProtectの下のb)「ポータル」→設定済みのc)「Portal」をクリックします。

a)「エージェント」タブ→設定済みのb)「GP-Agent」をクリックします。

a)「認証」タブの「クライアント証明書」で、b)「ローカル」を選択し、c)「Common-ClientCert」を選択してd)「OK」をクリックします。

もう一度「OK」をクリックして、設定を閉じます。

「コミット」を実施します。

GP Agentからのログイン(1)

GP AgentからPortalへログインすると、Personalの証明書ストアへ、共通クライアント証明書がインポートされます。

[確認のみ] 例:Chromeブラウザ→「設定」→「セキュリティとプライバシー」→「セキュリティ」→ 「証明書の管理」で表示された画面で、「Personal」タブをクリックし、クライアント証明書がインポートされていることを確認します。

Portalからの共通クライアント証明書配布の解除

GP Agentへの共通クライアント証明書の配布が完了したら、配布設定を解除します。

「Network」タブ → GlobalProtectの下の「ポータル」 → 設定済みの「Portal」をクリック → 「エージェント」タブ → 設定済みの「GP-Agent」をクリックで表示されるa)「認証」タブの「クライアント証明書」で、b)「None」を選択し、c)「OK」をクリックします。

もう一度「OK」をクリックして、設定を閉じます。

「コミット」を実施します。

GP Agentからのログイン(2)

「接続の更新」を行って、正しく認証できることを確認します。

クライアント証明書を持っている状態なので、正しく認証が行われて接続が完了します。

PCに配布されたクライアント証明書「Common-ClientCert」を削除します。

もう一度、「接続の更新」を行います。

クライアント証明書を削除したので、もう接続ができません。

コメント欄 質問や感想、追加してほしい記事のリクエストをお待ちしてます!

タイトルとURLをコピーしました