スマートフォンタブレット向けクライアント証明書

ユーザが携帯端末を使用してリソースにアクセスできるようにするには、クライアント証明書を使用してSecurity Gatewayに認証できることを確認します。

多くの組織では、クライアント証明書の割り当てや管理の日常業務は、セキュリティゲートウェイ閉じた Check Point ソフトウェアを実行してトラフィックを検査し、接続されたネットワークリソースにセキュリティポリシーを適用する専用Check Pointサーバ。を管理する部署とは別の部署が行っている。例えば、コンピュータのヘルプデスク。SmartConsole閉じた Check Point 環境の管理に使用される Check Point GUI アプリケーション-セキュリティポリシーの構成、デバイスの構成、製品とイベントの監視、アップデートのインストールなど。を使用してクライアント証明書を作成することを許可された管理者を作成し、その他の権限を制限することができます(「クライアント証明書への権限付与」を参照)。

クライアント証明書を設定するには、SmartConsoleを開き、Security Policies > Access Control > Access Tools > Client Certificates

モバイルアクセス閉じた 管理対象クライアントと管理対象外のクライアントにリモートアクセス VPN アクセスを提供するセキュリティゲートウェイ上の Check Point Software Blade。頭字語:MAB。ポリシーを設定するには、Manage & Settings > Blades > Mobile Access > Configure in SmartDashboard に移動します。SmartConsole のClient Certificates ページは、SmartDashboard閉じた R77.30以前のバージョンでセキュリティ設定を作成および管理するために使用されるレガシーのCheckPoint GUIクライアント。バージョンでは、特定のレガシー設定を構成するために R80.X 以降が引き続き使用されます。Mobile Access タブ、Client Certificates ページへのショートカットです。

クライアント証明書の管理

モバイル・デバイス向けの Check Point Mobile Apps では、証明書による認証のみ、またはクライアント証明書とユーザ名/パスワードによる 2 要素認証を使用できます。この証明書は、モバイルアクセスセキュリティゲートウェイを管理するセキュリティ管理サーバの内部CAによって署名されています。

クライアント証明書をSecurity Policies > Access Control > Access Tools > Client Certificates で管理する。

ページには2つのペインがあります。

  • Client Certificates 」ペインで。

    • クライアント証明書を作成、編集、失効する。

    • すべての証明書、そのステータス、有効期限、登録キーを確認できます。デフォルトでは、最初の50件だけが証明書リストに表示されます。Show more をクリックすると、より多くの結果が表示されます。

    • 指定した証明書を検索する。

    • ユーザへ証明書情報を送信する。

  • Email Templates for Certificate Distribution 」ペインで。

    • クライアント証明書配布用のメールテンプレートを作成・編集。

    • メールテンプレートのプレビュー

クライアント証明書の作成

- LDAPまたはADを使用している場合、クライアント証明書を作成しても、LDAPまたはADサーバは変更されません。LDAP/ADの書き込みアクセスに関するエラーメッセージが表示された場合は、無視してウィンドウを閉じて続行してください。

  1. SmartConsoleでSecurity Policies > Access Control > Access Tools > Client Certificatesを選択します。

  2. Client Certificates ペインで、New をクリックします。

    Certificate Creation and Distribution ウィザードが開きます。

  3. Certificate Distribution ページで、登録キーをユーザに配布する方法を選択します。どちらか一方、または両方を選択することができます。

    1. Send an email containing the enrollment keys using the selected email template -各ユーザは、選択したテンプレートに基づき、登録キーを含む電子メールを受け取ります。

      • Template - 使用するメールテンプレートを選択します。

      • Site - ユーザが接続するセキュリティゲートウェイを選択します。

      • Mail Server - Eメールを送信するメールサーバを選択します。

      Edit をクリックすると、その詳細が表示され、変更することができます。

    2. Generate a file that contains all of the enrollment keys - 全ユーザのリストと登録キーを含む記録用のファイルを作成します。

  4. オプション:登録キーの有効期限を変更する場合は、Users must enroll within x days で日数を編集してください。

  5. オプション:Client Certificates ページの証明書リストで、証明書の横に表示されるコメントを追加します。

  6. Nextをクリックします。。

    Users ページが表示されます。

  7. Add をクリックして、証明書を必要とするユーザまたはグループを追加します。

    • 検索フィールドにテキストを入力し、ユーザまたはグループを検索します。

    • グループの種類を選択し、検索を絞り込むことができます。

  8. 含まれるすべてのユーザまたはグループがリストに表示されたら、Generate をクリックして、証明書を作成し、メールを送信します。

  9. 10枚以上の証明書を生成する場合は、Yes をクリックして、続行することを確認します。

    プログレスウィンドウが表示されます。エラーが発生した場合は、エラーレポートが開きます。

  10. Finishをクリックします。。

  11. Saveをクリックします。。

  12. SmartConsoleで、Policyをインストールします。

証明書の失効

証明書のステータスがPending Enrollmentの場合、証明書を失効させると、Client Certificate 一覧に表示されなくなります。

  1. Client Certificate リストから、1つまたは複数の証明書を選択します。

  2. Revokeをクリックします。

  3. OKをクリックします。。

証明書を失効させると、Client Certificate 一覧に表示されなくなります。

証明書配布用のテンプレートを作成する

  1. SmartConsoleでSecurity Policies > Access Control > Access Tools > Client Certificatesを選択します。

  2. 新規にテンプレートを作成する場合。Email Templates for Certificate Distribution ペインで、New を選択します。

    テンプレートを編集するにはEmail Templates for Certificate Distribution ペインで、テンプレートをダブルクリックします。

    Email Templateが開きます。

  3. テンプレートのName を入力します。

  4. オプション:Commentを入力します。コメントは、Client Certificates ページのメールテンプレートリストに表示されます。

  5. オプション:Languages をクリックすると、メールの言語を変更することができます。

  6. 電子メールのSubject を入力します。Insert Field をクリックして、ユーザ名などの定義済みフィールドを追加します。

  7. メッセージの本文にテキストを追加し、書式設定する。Insert Field をクリックして、ユーザ名、登録キー、有効期限などの定義済みフィールドを追加します。

  8. メールテンプレート本文の中をクリックします。

  9. Insert Link をクリックし、追加するリンクの種類(リンクまたはQRコード)を選択します。

    • すでにCheck Pointアプリがインストールされているユーザ向け。

      ユーザがQRコードを読み取るか、リンク先に行くと、サイトが作成され、証明書が登録されます。

      サイトに接続するクライアントの種類を選択する- ユーザがインストールするクライアントの種類を1つ選択します。

      • Capsule Workspace - モバイルデバイス上に安全なコンテナを作成し、ユーザが社内ウェブサイト、ファイル共有、Exchangeサーバにアクセスできるようにするためのアプリです。

      • Capsule Connect/VPN - ユーザがすべてのモバイルアプリケーションにネットワークアクセスできるようにする、完全なレイヤー3トンネルアプリです。

    • ユーザに対して、モバイル・デバイス用のチェック・ポイント・アプリケーションのダウンロードを指示する。

      クライアントデバイスのOSを選択します。

      • iOS

      • Android

      サイトに接続するクライアントの種類を選択する- ユーザがインストールするクライアントの種類を1つ選択します。

      • Capsule Workspace - モバイルデバイス上に安全なコンテナを作成し、ユーザが社内ウェブサイト、ファイル共有、Exchangeサーバにアクセスできるようにするためのアプリです。

      • Capsule Connect/VPN - ユーザがすべてのモバイルアプリケーションにネットワークアクセスできるようにする、完全なレイヤー3トンネルアプリです。

    • 独自のURLを設定することができます。

    • Link URL - 完全なリンクアドレスを入力してください。

    • QR Code - 有効化すると、ユーザはモバイル端末でコードを読み取ります。

    • HTML Link - 有効にすると、ユーザはモバイル端末でリンクをタップします。

      QR CodeHTML Link の両方を選択すると、メールに両方を含めることができます。

    • Display Text - リンクのタイトルのテキストを入力します。

  10. OKをクリックします。。

  11. オプション:Preview in Browser をクリックすると、メールがどのように見えるかのプレビューが表示されます。

  12. OKをクリックします。。

  13. 変更内容を公開する

テンプレートの複製

メールテンプレートのクローンとは、既に存在するメールテンプレートと類似したテンプレートを作成することです。

  1. Client Certificates ページのテンプレート一覧から、テンプレートを選択します。

  2. Cloneをクリックします。

  3. 選択したテンプレートの新しいコピーが開き、編集することができます。

クライアント証明書への権限付与

SmartConsoleを使用してクライアント証明書を作成することを許可する管理者を作成し、その他の権限を制限することができます。

  1. 管理者を定義する(「管理者アカウントの作成、変更、削除」を参照)。

  2. クライアント証明書を扱う権限を持つ、管理者用のカスタマイズされたプロファイルを作成する。管理者プロファイルのOthers ページで設定します。その他の権限を制限する(「管理者アカウントの作成、変更、削除」を参照)。

管理者アカウントの管理」を参照してください。