| 変更前 | 変更後 | |
|---|---|---|
| RSA鍵長 | 1024bit以上が必須 | 2048bit以上が必須 |
| DSA鍵長 | 1024bit以上が必須 | 2048bit以上が必須 |
| ECC鍵長 | 160bit以上が必須 | 224bit以上が必須 |
■よくあるご質問
Q.現在利用中のOneGateが該当しているか、確認する方法を教えてください。
「OneGateの認証局で発行した証明書」か「信頼する外部認証局で発行した証明書」かによって異なります。
両方利用している場合は、両方の確認が必要です。
<OneGateの認証局で発行した証明書の場合>
- CA証明書
デフォルトでRSA 2048bit(現在の新規テナントはデフォルトRSA 4096bit)となっています。
お客様にてRSA 1024bitに変更されている場合にのみ、該当します。
現在の設定は以下で確認可能です。
OneGate管理画面の証明書管理 > CA情報 > 鍵長
- クライアント証明書
RSA 2048bit以上のみ発行できるようになっているため、該当しません。
<信頼する外部認証局で発行した証明書の場合>
外部認証局のCA証明書とクライアント証明書が、基準を満たしていることをご確認ください。
Q.現在利用中のOneGateで、「信頼する外部認証局」を利用中か、確認する方法を教えてください。
以下の設定画面をご確認ください。
OneGate管理画面のシステム設定 > 信頼する外部認証局設定
登録されている外部認証局を利用中です。
未登録の場合は利用していない状態です。
Q. 基準を満たしていない場合の対処方法を教えてください。
- CA証明書が基準を満たさない場合
CA証明書を設定変更して再発行し、その後クライアント証明書を再発行し、
新しいCA証明書とあわせて再配布してください。
- クライアント証明書が基準を満たさない場合
クライアント証明書を設定変更して再発行および再配布してください
以下は「OneGateの認証局で発行した証明書」の場合と「信頼する外部認証局で発行した証明書」の場合について、
もう少し詳しくご説明いたします。
<OneGateの認証局で発行した証明書の場合>
下記URLにある「CAを再構築する場合の注意点を教えてください」をご一読の上、
OneGate管理画面より下記手順にて変更してください。
1.証明書管理>CA情報 の最下部にある「再構築」をクリックします。
2.各必要項目を指定します。
このとき 鍵長 を「2048以上(4096推奨)」に指定してください。
3.「構築」をクリックします。
■CAを再構築する場合の注意点を教えてください
https://faq1.soliton.co.jp/faq/show/17766?site_domain=sog
その後、クライアント証明書の更新を行ってください。
<信頼する外部認証局で発行した証明書の場合>
再発行、再配布方法は、ご利用中の認証局にお問い合わせください。
CA証明書を変更した場合、OneGateの「信頼する外部認証局設定」で、
新しいCA証明書および失効リスト(CRL)を登録してください。
Q.再配布期間中は新旧クライアント証明書を併用可能ですか?
<OneGateの認証局で発行した証明書の場合>
自動的に新旧両方のCA証明書が信頼された状態となるため、併用可能です。
<信頼する外部認証局で発行した証明書の場合>
新旧両方のCA証明書をOneGateに登録することで併用可能です。