Soliton OneGateFAQ(よくあるご質問)

  • 文字サイズ変更
  • S
  • M
  • L
  • No : 17766
  • 公開日時 : 2022/10/24 16:07
  • 更新日時 : 2024/02/13 09:49
  • 印刷

CAを再構築する場合の注意点を教えてください

CAを再構築する場合の注意点を教えてください

カテゴリー : 

回答

CAの再構築は、現在利用中のCAで発行した証明書の使用方法や運用に影響があります。
下記の注意事項を十分理解した上でCA再構築の操作を行ってください。
 
・再構築前のCA(以下旧CA)とは別の新しいCA(以下新CA)が作成され、CRL/OCSP URLも新たに作成されます。
 旧CAのCRL/OCSP URLは以前のままで継続して利用可能です。
・旧CAで発行した証明書の失効は行えますが、旧CAで証明書の発行はできません。
・CA再構築後に、旧CAに戻すことはできません。
・CA証明書のサブジェクトを同名で再構築した場合、証明書を検証する機器によっては、
 新旧CA両方を信頼させた場合、証明書検証に失敗する場合があります。
 また、運用時に利用者が新旧CA証明書を区別しやすいようにするためにも、
 CN,C,S,L,O,OUのいずれかに文字列を付与する等して重複しないサブジェクト名をご指定下さい。

SSL/TLS相互認証の環境では、クライアント側がサーバー証明書を、サーバー側がクライアント証明書を検証します。
新CAが発行したクライアント証明書やサーバー証明書の検証を
旧CAのCA証明書では行えないため、新CAで発行したこれらの証明書を検証する機器には、
新CAのCA証明書をインストールする必要があります。
(なお、OneGateサービスへのログインについては、OneGateにて新旧のCAを両方とも信頼した
状態になるため新旧どちらのCAで発行されたクライアント証明書でも認証が可能です)
 
SSL/TLS相互認証を行う環境では、以下のような作業が必要になります。
 
【クライアント側】
証明書配布済みの端末に、新しい証明書(クライアント証明書、CA証明書等)を再配布します。
再配布手順は、通常のクライアント証明書の更新手順と同じです。
Intune連携、外部MDM連携を利用して証明書を配布している場合、
配布するCA証明書を差し替えてから、クライアント証明書とともに再配布します。
 
【サーバー側】
・Soliton ADConnectorやCRL Uploaderを利用している場合
 連携クライアント用証明書の再発行と再インストール、新CA証明書の再インストールを行います。
 
・SAML連携を利用している場合
 クラウドサービスに登録したIdP証明書の再発行と再インストールを行います。
 
・EPS-edgeのEAP-TLS認証を利用している場合
 OneGateからアプライアンス登録をいったん削除して、再登録を行います。
 これにより新CAが発行するサーバー証明書に切り替わります。
 ※アプライアンスを削除する前に設定内容を控えておき、また各ログをダウンロードしてください。
 
・VPN装置などの外部機器でクライアント証明書認証を行っている場合
 外部機器のサーバー証明書の再発行と再インストールを行い、新CAのCA証明書を登録します。
 また失効情報を取得するURL(CRLのCDPやOCSPのAIA)を再設定します。
 

アンケート:ご意見をお聞かせください

ご意見・ご感想をお寄せください お問い合わせを入力されましてもご返信はいたしかねます