Similar documents
Microsoft Word - Wyse Thin Client&XD設定手順1112.doc

Microsoft Word - Android認証設定手順(EAP-TLS)1105.doc

Microsoft Word - Exchange認証設定手順1301.doc

Microsoft Word - Windows(NPS)設定手順1207.doc

Microsoft Word - Android認証設定手順(AnyConnect) doc



~AccessMatrix USO連携~ クライアント証明書を利用した認証設定例



AW-PCS認証設定手順1805

Active Directory フェデレーションサービスとの認証連携

WL-RA1Xユーザーズマニュアル



Ver.0 目次. はじめに.... 証明書の発行 ( ダウンロード ) 手順... 付録 A. ルート証明書無しでの証明書の発行 ( ダウンロード ) 手順... 5 付録 B. ブラウザの設定... Copyright 04 SECOM Trust Systems CO.,LTD. All Ri

PowerPoint プレゼンテーション

Microsoft Word - HP_IceWall_SSO設定手順v.1.2.docx

プライベート認証局Gléas ホワイトペーパー Per-App VPN BIG-IP APM / Workspace ONE UEM Ver 年 10 月 Copyright by JCCH Security Solution Systems Co., Ltd. All Righ



[ 証明書の申請から取得まで ] で受領したサーバ証明書を server.cer という名前で任意の場所に保存してください ( 本マニュアルではローカルディスクの work ディレクトリ [C:\work] に保存しています ) 中間 CA 証明書を準備します 次の URL にアク

Microsoft Word - Cisco ACS連携設定手順 doc

貸出デバイス用設定手順書

SILAND.JP テンプレート集

RW-5100 導入説明書 Windows7 用 2017 年 7 月 シャープ株式会社

MaiNet スタートアップガイド ( 電子証明書取得 PC 設定編 ) 第 2 版 2018 年 11 月

クライアント証明書導入マニュアル

目次 実践編 -Windows10 での設定方法... 2 A.1 端末ロックによる利用者認証の有効化 ( 利用者認証の設定方法 )... 2 A.2 端末ロックによる利用者認証の安全性強化 ( 利用者認証失敗時の動作設定方法 )... 8 C.1 ドライブ / フォルダの暗号化設定と端末ロックによ

USB トークン (epass2003) ユーザマニュアル Ver2.0 1 / 25 Copyright 2018 Mitsubishi Electric Information Network Corporation All rights reserved.

PowerPoint Presentation

1-2

1 Ver デジタル証明書の更新手順 1 S T E P 1 netnaccs 専用デジタル ( クライアント ) 証明書 の更新作業を開始する前に 次の準備を行って下さい (1) お使いになるパソコンのブラウザのバージョンを確認して下さい ( デジタル証明書の取得等は 必ず Inte

RW-4040 導入説明書 Windows 7 用 2017 年 7 月 シャープ株式会社

Ver.70 改版履歴 版数 日付 内容 担当 V /09/5 初版発行 STS V /0/8 証明書バックアップ作成とインストール手順追加 STS V /0/7 文言と画面修正 STS V..0 0//6 Firefox バージョンの変更 STS V..40

DigiCert SSL/TLS 証明書 Microsoft IIS 8.0/8.5 証明書コピー/サーバー移行手順書

更新用証明書インポートツール 操作マニュアル 2011 年 10 月 31 日 セコムトラストシステムズ株式会社 Copyright 2011 SECOM Trust Systems CO.,LTD. All rights reserved. P-1

クイックセットアップ for モバイル(Windows)

サーバー証明書 インストール手順-Microsoft IIS 8.x

Windows ログオンサービス インストールマニュアル 2018/12/21 1

クイックセットアップ for モバイル(Windows)

はじめに

Microsoft Word - (171118_v4250)ACS_インストールマニュアル.doc

インターネットファームバキグ 電子証明書ガイドブック ~証明書取扱手順編~ - 契約会社向け -(対応 OS :Windows 8)

Ver1.40 証明書発行マニュアル (Export 可能 ) Windows 10 InternetExplorer 2018 年 3 月 14 日 セコムトラストシステムズ株式会社 Copyright SECOM Trust Systems CO.,LTD. All Rights Reserve

クイックセットアップ for モバイル(iOS/Android)

IIS8でのクライアント証明書の設定方法

Microsoft Word - (171124_v1.30)NTTCom-Jpki_インストールマニュアル.doc

目次. はじめに..... 本書の対象者..... ご利用環境.... 電子証明書更新手順..... 医療資格証電子証明書オンライン更新サービス画面 ご利用パソコン環境の確認 JAVA 実行環境 電子証明書更新の実行 電子証明書更新発行

アカウント情報連携システム 操作マニュアル(一般ユーザー編)

クイックセットアップ for モバイル(iOS/Android)

本文中の記号の意味 本文中で使用している記号の意味について以下に示します システムの操作上または処理の手続き上において 特に注意していただきたい事項を記載しています 記載内容を必ずお読みください システムの操作上または処理の手続き上において 参考にしていただきたい事項を記載しています 必要に応じてお

Ver.00 改版履歴 版数日付内容担当 V /6/ 初版発行 STS Copyright 04 SECOM Trust Systems CO.,LTD. All rights reserved. ii

TDB電子証明書ダウンロード手順書(Microsoft Internet Explorer 版)

EPS設定例

RDP 接続不具合パッチ適用手順 第 1.11 版更新日 :2016/8/30 NTT コミュニケーションズ株式会社

PC にソフトをインストールすることによって OpenVPN でセキュア SAMBA へ接続することができます 注意 OpenVPN 接続は仮想 IP を使用します ローカル環境にて IP 設定が被らない事をご確認下さい 万が一仮想 IP とローカル環境 IP が被るとローカル環境内接続が行えなくな

NetAttest EPS設定例

<4D F736F F D B B90DD92E8837D836A B5F E302E646F63>

Enterprise Premium 電子証明書発行サービス Windows ストア電子証明書インストール手順書 Ver2.0 三菱電機インフォメーションネットワーク株式会社

Net'Attest EPS設定例

手順書

Microsoft Word - ProFTPD認証設定手順1406.doc

年調・法定調書の達人from弥生給与 運用ガイド

BACREX-R クライアント利用者用ドキュメント

クライアント証明書インストールマニュアル

インストール手順 2 セットアップの種類 [ 標準インストール (S)] [Thunderbird を既定のメールプログラムとして使用する (U)] にチェックを入れ [ 次へ (N)] をクリックします インストール手順 3 セットアップ設定の確認 [ インストール (I)] をクリックします 2

京都大学認証基盤ドライバソフト 導入手順書 (WindowsVista ~ Windows10 版 ) 京都大学情報環境機構 第 1 版第 2 版第 3 版 2015 年 3 月 27 日 2015 年 6 月 17 日 2015 年 12 月 9 日

(株) 殿

1

FormPat 環境設定ガイド

1

Cisco Unified Communications Manager サーバ アドレスとユーザ名の自動的な入力

グループポリシーを使用してWindowsデバイス用のHP DaaSクライアントのサイレント登録

Microsoft Word - (151201_v1.29)NTTCom-Jpki_インストールマニュアル.doc

在学生向けメールサービス

認証連携設定例 連携機器 アイ オー データ機器 BSH-GM シリーズ /BSH-GP08 Case IEEE802.1X EAP-PEAP(MS-CHAP V2)/EAP-TLS Rev2.0 株式会社ソリトンシステムズ

1. メールソフトの設定 Windows 10 Microsoft Windows 10 の メール アプリで POP メールの設定を行う方法をご案内いたします 設定を始める前に あらかじめ メールアドレスの登録を行ってください 重要事項 Windows10 のメールアプリで CCNet のメールを

アーカイブ機能インストールマニュアル

EOS 名人.NET Ver1.3.0 以降をご利用の場合 a. 流通業界共通認証局証明書ポリシー (CP) の改訂署名アルゴリズム SHA-1 から SHA-2 への変更 この

Ver.00 改版履歴 版数日付内容担当 V /09/25 新規作成 STS ii

KDDI Smart Mobile Safety Manager Mac OS キッティングマニュアル 最終更新日 2019 年 4 月 25 日 Document ver1.1 (Web サイト ver.9.6.0)

KDDI Smart Mobile Safety Manager Windows キッティングマニュアル 最終更新日 2018 年 12 月 13 日 Document ver1.0 (Web サイト ver.9.5.0)

Net'Attest EPS設定例

目次 はじめに... 2 動作環境... 2 ユーザーサポートについて... 2 セットアップ ( インストール ) 手順... 3 セットアップ手順 1 ソフトウェアのダウンロード... 4 セットアップ手順 2 Firebird データベースのインストール... 5 セットアップ手順 2 Fir

アーカイブ機能インストールマニュアル

PowerPoint プレゼンテーション

KDDI ビジネスメール 一般ユーザ用カスタマーコントロール操作ガイド Ver.2.04 Copyright , KDDI Corporation All rights reserved 1

Pirates Buster Series Secure Viewer セットアップマニュアル (Web インストーラ)

PRIMEQUEST 1000シリーズ WS2008 NTP設定手順書

Microsoft PowerPoint - BizComクイックセットアップforUSB_ pptx

サイボウズ リモートサービス ユーザーマニュアル

目次 はじめに... 1 本書の対象者... 1 本書の表記... 1 インストール前の注意事項... 2 システムの動作要件... 3 パソコン等の動作要件... 3 クライアントインストール... 4 標準インストール... 4 IC カードの PIN( 暗証番号 ) 変更方法 シス

fse7_permission

ICカードリーダー動作確認手順書

改版履歴 版数 日付 内容 担当 V /5/26 初版発行 STS V /7/28 動作条件の変更 STS メール通知文の修正 V /2/7 Windows8 の追加 STS V /2/2 Windows8. の追加 STS V

手順 2 右下に表示される [ すべてのアプリ ] をクリックします 手順 3 アプリ一覧画面に切り替わるので その中に Windows Live Mail があるかどうか確認します Windows Live Mail が 一覧にあれば P7 の 登録手順 4 にすすんでください 一覧になければ P

独立行政法人 鉄道建設 運輸施設整備支援機構 電子入札システム 初期設定マニュアル 2019 年 4 月

証明書インポート用Webページ

SAMBA Stunnel(Windows) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxx 部分は会社様によって異なります xxxxx 2 Windows 版ダウンロード ボ

SAMBA Stunnel(Mac) 編 1. インストール 1 セキュア SAMBA の URL にアクセスし ログインを行います xxxxx 部分は会社様によって異なります xxxxx 2 Mac OS 版ダウンロー

ホストプログラム操作説明書

目次 1. PDF 変換サービスの設定について )Internet Explorer をご利用の場合 )Microsoft Edge をご利用の場合 )Google Chrome をご利用の場合 )Mozilla Firefox をご利

改版履歴 版数 改版日付 改版内容 /03/14 新規作成 2013/03まで製品サイトで公開していた WebSAM DeploymentManager Ver6.1 SQL Server 2012 製品版のデータベース構築手順書 ( 第 1 版 ) を本 書に統合しました 2

Transcription:

Ver.1.2 2011 年 9 月 Copyright by JCCH Security Solution Systems Co., Ltd., All Rights reserved

JCCH セキュリティ ソリューション システムズ JS3 およびそれらを含むロゴは日本および他の国における株式会社 JCCH セキュリティ ソリューション システムズの商標または登録商標です Gléas は株式会社 JCCH セキュリティ ソリューション システムズの商標です その他本文中に記載されている製品名および社名は それぞれ各社の商標または登録商標です Microsoft Corporation のガイドラインに従って画面写真を掲載しています Copyright by JCCH Security Solution Systems Co., Ltd., All Rights reserved

目次 1. はじめに... 4 1.1. 本書について... 4 1.2. 本書における環境... 4 1.3. 電子証明書の発行時における留意事項... 5 2. ドメインコントローラでの設定... 5 2.1. サーバ証明書のインポート... 5 2.2. ルート証明書のエクスポート... 8 2.3. NTauth ストアへのインポート... 8 2.4. グループポリシーの設定... 9 3. Gléas での認証デバイスの準備... 10 3.1. 認証デバイスへの電子証明書インポート... 10 4. クライアント PC での作業... 12 4.1. 認証デバイスのセットアップ... 12 4.2. スマートカードログオンの利用... 12 5. その他設定... 13 5.1. クライアント PC のログオンをスマートカードに限定する設定... 13 5.2. スマートカード取り出し時の動作の設定... 14 5.3. スマートカードログオンが有効な PC にリモートデスクトップをする設定... 15 5.4. 特定のユーザに対しスマートカードログオンを強制する設定... 16 6. 問い合わせ... 17 3 / 17

1. はじめに 1.1. 本書について 本書では 弊社製品 プライベートCA Gléas で発行した電子証明書と Gemalto.NET( ドットネット ) 製品を利用して Microsoft CorporationのWindows におけるスマートカードログオンを行う環境を構築するための設定例を記載します 本書に記載の内容は 弊社の検証環境における動作を確認したものであり あら ゆる環境での動作を保証するものではありません 弊社製品を用いたシステム構 築の一例としてご活用いただけますようお願いいたします 弊社では試験用のクライアント証明書の提供も行っております 検証等で必要な 場合は 最終項のお問い合わせ先までお気軽にご連絡ください 1.2. 本書における環境 本書における手順は 以下の環境で動作確認を行っています ドメインコントローラ Microsoft Windows Server 2008 R2 Standard SP1 以後 ドメインコントローラ と記載します 認証局 JS3 プライベートCA Gléas ( バージョン1.7) 以後 Gléas と記載します クライアントPC Microsoft Windows 7 Professional SP1 以後 クライアントPC と記載します 認証デバイス Gemalto.NETカード 以後 認証デバイス と記載します.NET 製品には ICカードタイプとUSBトークンタイプがあり どちらでも同様の動作となります ( サードパーティのICカードリーダのインストールを除く ) 本環境では ICカードリーダにGemalto PC Twin Reader(USB 接続 ) を利用しています 以下については 本書では説明を割愛します ドメインコントローラのセットアップ Gléasでのユーザ登録やクライアント証明書発行等の基本操作 Windows 7でのネットワーク設定等の基本設定 認証デバイスのパーソナライズ等の基本操作 4 / 17

これらについては 各製品のマニュアルをご参照いただくか 各製品を取り扱っ ている販売店にお問い合わせください 1.3. 電子証明書の発行時における留意事項 Gléasで電子証明書を発行する際に以下の点に留意する必要があります ドメインコントローラ証明書の発行には Microsoftドメインコントローラ テンプレートを用います その際には ドメインコントローラのホスト名 CRL 配布ポイント GUID(Global Unique Identifier) を正しく設定する必要があります 以下は dc01.js3-test.local という名前のドメインコントローラ上でGUIDを取得するVBスクリプトサンプルです Set objuser = GetObject("LDAP://CN=dc01,OU=Domain Controllers,DC=js3-test,DC=local") Wscript.Echo objuser.guid スマートカード用証明書の発行には スマートカードログオン テンプレ ートを用いて証明書を発行します その際には UPN( ユーザプリンシパル 名 ) CRL 配布ポイントを正しく設定する必要があります 2. ドメインコントローラでの設定 2.1. サーバ証明書のインポート ドメインコントローラにドメインコントローラ証明書と 今回利用するクライアント証明書のトラストアンカとなるルート証明書をインポートします ドメインコントローラで MMC(Microsoft Management Console) を開き メニュ ーの [ ファイル (F)] > [ スナップインの追加と削除 (N)] より [ 証明書 ] を追加します 証明書のスナップイン では [ コンピューターアカウント (C)] を選択し 次の コ ンピューターの選択 では [ ローカルコンピューター (L)] を選択し [ 完了 ] をクリッ クします 5 / 17

スナップインが追加されたら左側のペインより [ 証明書 ] > [ 個人 ] と展開し 右側のペインで右クリックして [ すべてのタスク (K)] > [ インポート (I)] をクリックします 証明書のインポートウィザード が開始されるので サーバ証明書とルート証明書をインポートします 6 / 17

ページ 証明書のインポートウィザードの開始 インポートする証明書ファイル 設定 [ 次へ (N)] をクリック Gléas よりダウンロードした PKCS#12 ファイル ( 拡張子 :p12) を指定して [ 次へ (N)] をクリッ ク パスワード Gléas から PKCS#12 ファイルをダウンロードす る際に設定したパスワードを入力して [ 次へ (N)] をクリック 証明書ストア [ 証明書をすべて次のストアへ配置する (P)] を選 択し [ 証明書ストア ] で [ 個人 ] が選ばれているこ とを確認し [ 次へ (N)] をクリック 証明書インポートウィザードの終了 [ 完了 ] をクリック 完了後 [ 個人 ] に Gléas よりダウンロードしたドメインコントローラ用証明書と Gléas のルート証明書 ( 発行元と発行先とが同じ名前の証明書 ) がインポートされ ていることを確認します 7 / 17

2.2. ルート証明書のエクスポート 次に ルート証明書をファイルとして取得します 既に Gléas よりルート証明書をダウンロードしてある場合は エクスポートを行う必要はありません この場合はルート証明書を削除して 2.3 に進んでください インポートされた Gléas のルート証明書を右クリックし [ すべてのタスク (K)] > [ エ クスポート (E)] をクリックします 証明書のエクスポートウィザード が開始され るので ルート証明書をエクスポートします ページ 証明書のエクスポートウィザードの開始 エクスポートファイルの形式 設定 [ 次へ (N)] をクリック DER encoded binary X.509(.CER) か Base64 encoded X.509(.CER) を選択し [ 次へ (N)] をクリ ック エクスポートするファイル 証明書エクスポートウィザードの終了 保存先を指定して [ 次へ (N)] をクリック [ 完了 ] をクリック エクスポートが終了したら [ 個人 ] に入っているルート証明書は不要なため削除し ます 2.3. NTauth ストアへのインポート 次に Windows ドメインとして信頼するルート認証局の証明書を NTauth ストアと 8 / 17

呼ばれる格納領域に登録します コマンドプロンプトを開き 以下のコマンドを入力し NTauth ストアにルート証明書を格納します certutil -dspublish -f [filename] NTAuthCA [filename] には エクスポートしたルート証明書を指定します コマンド実行後 以下のレジストリにルート証明書の拇印と同じ名前のレジストリキーが追加されます HKLM SOFTWARE Microsoft EnterpriseCertificates NTAuth Certificates 追加されない場合は gpupdate コマンドでポリシーの更新を行ってください 2.4. グループポリシーの設定 ドメインに参加しているコンピューターに対して信頼するルート認証機関を追加す る設定を行います [ スタートメニュー ] > [ 管理ツール ] > [ グループポリシーの管理 ] を開き 対象となる グループポリシーオブジェクトを選択し右クリックし [ 編集 ] をクリックします 9 / 17

以下は Default Domain Policy を編集する場合の例です グループポリシー管理エディターが開きますので 左側ペインより [ コンピューターの構成 ] > [ ポリシー ] > [Windows の設定 ] > [ セキュリティの設定 ] > [ 公開キーのポリシー ] > [ 信頼されたルート証明機関 ] を開きます 次にメニューより [ 操作 (A)] > [ インポート (I)] を選択すると 証明書のインポートウィザードが起動するので ルート証明書を登録します ページ 証明書のインポートウィザードの開始 インポートする証明書ファイル 設定 [ 次へ (N)] をクリック エクスポートしたルート証明書ファイルをを選 択し [ 次へ (N)] をクリック 証明書ストア [ 証明書をすべて次のストアへ配置する (P)] を選 択し [ 証明書ストア ] で [ 信頼するルート認証機 関 ] が選ばれていることを確認し [ 次へ (N)] をク リック 証明書インポートウィザードの終了 [ 完了 ] をクリック 以上で Windows Server の設定は完了です 3. Gléasでの認証デバイスの準備 3.1. 認証デバイスへの電子証明書インポート GléasのRAにログインし スマートカード用に発行した証明書の詳細画面まで移動します エンドユーザ用の認証デバイスを管理者端末に接続し 画面上部の [ トークンへのインポート ] をクリックします 事前に認証デバイスのパーソナライズを行っている必要があります 10 / 17

認証デバイスに事前に設定した PIN( 暗証番号 ) を入力し 証明書のインポートを 行います 元の画面に戻ればインポートは成功です この時に画面を下にスクロールしていくと インポート先のデバイス情報が付加さ れています また [ 認証デバイス ] メニューでは この認証デバイスにインポートした証明書を確認 することが可能となります 11 / 17

以上で 認証デバイスの準備は終了です Gléas では パーソナライズした認証デバイスをエンドユーザに配布し エンドユーザに証明書 のインポートを行わせることも可能です 詳細は JS3 までお問い合わせください 4. クライアントPCでの作業 4.1. 認証デバイスのセットアップ 認証デバイスのドライバインストールを行います 詳細は弊社提供のマニュアル等を参照してください なお Widnows7 では認証デバイスを挿した状態でクライアント PC を起動するとロ グオン前に自動的にドライバ類のインストールが行われます ( 要インターネット接 続 ) 4.2. スマートカードログオンの利用 ドライバがインストールされた状態でクライアントPCを起動すると 認証デバイスが自動的に読み込まれログオンユーザ名が表示されるのでクリックします これまでログオンしていたユーザでのログオン画面が表示される場合は [ ユーザの切り替え (W)] をクリックし スマートカードログオンするユーザを選択します ( この時 認証デバイスはクライアントPCに挿しておきます ) 12 / 17

ログオン画面が表示されるので 認証デバイスに予め設定している PIN を入力して ログオンします 失効しているスマートカード証明書でログオンしようとすると 以下のメッセージ が表示されエラーとなります 5. その他設定 5.1. クライアント PC のログオンをスマートカードに限定する設定 [ スタートメニュー ] > [ 管理ツール ] > [ グループポリシーの管理 ] を開き 対象となるグループポリシーオブジェクトを選択し右クリックし [ 編集 ] をクリックします グループポリシー管理エディターが開きますので 左側ペインより [ コンピューターの構成 ] > [ ポリシー ] > [Windowsの設定] > [ セキュリティの設定 ] > [ ローカルポリシー ] > [ セキュリティオプション ] を展開し 右側ペインの [ 対話型ログオン : スマートカードが必要 ] を有効に定義します 13 / 17

このポリシーが適用されたクライアント PC では ユーザ ID パスワードによるログ オンが拒否されるようになります 5.2. スマートカード取り出し時の動作の設定 [ スタートメニュー ] > [ 管理ツール ] > [ グループポリシーの管理 ] を開き 対象となる グループポリシーオブジェクトを選択し右クリックし [ 編集 ] をクリックします グループポリシー管理エディターが開きますので 左側ペインより [ コンピューターの構成 ] > [ ポリシー ] > [Windowsの設定] > [ セキュリティの設定 ] > [ ローカルポリシー ] > [ セキュリティオプション ] を展開し 右側ペインの [ 対話型ログオン : スマートカード取り出し時の操作 ] を以下のどれかに定義します このポリシーはSmart Card Removal Policyサービスが起動していないと動作しないので このサービスも自動起動するようにします グループポリシー管理エディターで 左側ペインより [ コンピューターの構成 ] > [ ポリシー ] > [Windowsの設定] > [ システムサービス ] と展開し 右側ペインでSmart Card Removal Policyを自動起動するよう定義します 14 / 17

] このポリシーをクライアント PC に適用すると 定義した通りの動作を行います 5.3. スマートカードログオンが有効な PC にリモートデスクトップをする設定 同じドメインに参加しているPCより行ってくださいリモートデスクトップ接続を起動し [ オプション ] > [ ローカルリソース ] タブ > ローカルリソースとデバイスの [ 詳細 ] をクリックし 開いた画面で [ スマートカード (M)] にチェックを入れ 接続します 資格情報を入力して下さい というダイアログボックスが表示されたらスマート カードを選択し PIN を入力しログオンします 15 / 17

5.4. 特定のユーザに対しスマートカードログオンを強制する設定 [ スタートメニュー ] > [ 管理ツール ] > [Active Directory ユーザーとコンピューター ] を開き 対象となるユーザオブジェクトを選択し右クリックし [ プロパティ (R)] をクリックします そのユーザのプロパティが開きますので [ アカウント ] タブをクリックし [ アカウント オプション (O):] 項目の [ 対話型ログオンにはスマートカードが必要 ] にチェックを入れま す この設定がされたユーザアカウントでは ユーザ ID パスワードによるログオンが拒否 されるようになります 16 / 17

6. 問い合わせ ご不明な点がございましたら 以下にお問い合わせください Gléasや検証用の証明書に関するお問い合わせ株式会社 JCCH セキュリティ ソリューション システムズ Tel: 03-5615-1020 Mail: support@jcch-sss.com 17 / 17

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック