クライアント証明書の確認の設定

クライアント証明書の確認を設定するには、以下の手順に従います。

1. 「デバイス | 設定 > 管理」に移動します。

2. 「証明書確認」を選択します。

   

3. SonicWall セキュリティ装置でのクライアント証明書の確認と CAC サポートを有効にするには、「クライアント証明書の確認を有効にする」を選択します。このオプションを有効にすると、他のオブションが使用できるようになります。次のような確認の警告メッセージが表示されます。

   

4. 「OK」を選択します。

5. クライアント証明書キャッシュを有効にするには、「クライアント証明書キャッシュを有効にする」を選択します。

   キャッシュの有効期限は有効化後 24 時間です。

6. 証明書のどのフィールドからユーザ名を取得するかを指定するには、「ユーザ名フィールド」からオプションを選択します。ユーザ名フィールド:
   • 件名：コモンネーム (既定)
   • サブジェクト代替名: 電子メール
   • サブジェクト代替名: Microsoft ユニバーサル プリンシパル名

7. 証明機関 (CA) 証明書の発行者を選択するには、「クライアント証明書の発行者」ドロップダウン メニューから 1 つを選択します。既定値は「thawte Primary Root CA - G3」です。

   この一覧に目的とする CA がなければ、その CA を SonicWall セキュリティ装置にインポートする必要があります。次を参照してください。証明書の管理 セクションに移動してください。

8. CAC ユーザ グループのメンバーシップを取得する方法を選択するには、「CAC ユーザ グループ メンバーシップの取得方法」ドロップダウン メニューで選択します。これで適切なユーザ権限が決まります。
   • ローカルで構成 (既定) — これを選択した場合は、適切なメンバーシップを持つローカル ユーザ グループを作成してください。
   • LDAP から – これを選択した場合は、LDAP サーバを設定する必要があります (https://www.sonicwall.com/ja-jp/support/technical-documentation/ で提供されている『SonicOS 7.0 ユーザ』マニュアルの「LDAP 用の SonicWALL の設定」セクションを参照してください)。

9. クライアント証明書がまだ有効で失効していないことを確認するための OCSP (Online Certificate Status Protocol) 確認を有効にするには、「OCSP 確認を有効にする」を選択します。このオプションを有効にすると、「 OCSP 応答 URL 」フィールドが表示され、「定期的な OCSP 確認を有効にする」オプションが表示されます。

   

   「OSCP 確認用 URL」フィールドに、クライアント証明書の状況を確認する OCSP サーバの URL を入力します。

   OCSP 確認用 URL は、通常はクライアント証明書内に埋め込まれているため、入力する必要はありません。クライアント証明書に OCSP リンクが含まれていない場合は、URL リンクを入力できます。このリンクは、OCSP による確認を行うサーバ側の CGI (Common Gateway Interface) を参照している必要があります。例えば、http://10.103.63.251/ocsp です。

10. クライアント証明書がまだ有効で失効していないことを確認するための定期的な OCSP 確認を有効にするには、以下の手順に従います。
    1. 「定期的な OCSP 確認を有効にする」を選択します。「OCSP 確認間隔」フィールドが使用可能になります。
    2. 「OCSP 確認の間隔: 1 ～ 72 (時間)」フィールドに、OCSP による確認の間隔 (時間) を入力します。最小の間隔は 1 時間、最大の間隔は 72 時間、既定値は 24 時間です。
11. 「適用」を選択します。