認証にデバイス証明書を使用する
NetScaler Gateway では、デバイスIDを証明書の秘密キーにバインドできるデバイス証明書チェックがサポートされています。デバイス証明書チェックは、従来のまたは高度なエンドポイント分析 (EPA) ポリシーの一部として構成できます。クラシック EPA ポリシーでは、デバイス証明書は事前認証 EPA に対してのみ構成できます。
NetScaler Gateway は、エンドポイント分析スキャンの実行前、またはログオンページが表示される前に、デバイス証明書を検証します。エンドポイント分析を設定すると、エンドポイントスキャンが実行され、ユーザーデバイスが検証されます。デバイスがスキャンに合格し、NetScaler Gateway がデバイス証明書を検証すると、ユーザーはNetScaler Gatewayにログオンできます。
重要:
- デフォルトでは、Windows はデバイス証明書にアクセスするための管理者権限を義務付けています。
- 管理者以外のユーザーのデバイス証明書チェックを追加するには、VPN プラグインをインストールする必要があります。VPN プラグインのバージョンは、デバイス上の EPA プラグインと同じバージョンである必要があります。
- 複数の CA 証明書をゲートウェイに追加し、デバイス証明書を検証できます。
- NetScaler Gateway に2つ以上のデバイス証明書をインストールする場合、ユーザーはNetScaler Gateway へのログオンを開始するとき、またはエンドポイント分析スキャンの実行前に正しい証明書を選択する必要があります。
- デバイス証明書を作成するときは、X.509 証明書である必要があります。
- 中間 CA によって発行されたデバイス証明書がある場合は、中間 CA 証明書とルート CA 証明書の両方をバインドする必要があります。
- EPA クライアントは、ユーザーがマシン証明書ストアにアクセスできるローカル管理者権限を持っている必要があります。これがまれにしか発生しないため、回避策として、ローカルストアにアクセスできる完全なNetScaler Gatewayプラグインをインストールします。
デバイス証明書の作成の詳細については、以下を参照してください。
- Microsoft Web サイトのActive Directory 証明書サービス (AD CS) のネットワークデバイス登録サービス (NDES) 。
- AppleサポートWebサイトのDCE/RPC および Active Directory 証明書プロファイルペイロードを使用して、Microsoft証明機関に証明書を要求する方法 。
- iPad/iPhone 証明書の発行 Microsoft サポートブログの「ディレクトリサービスチームに尋ねる」を参照してください。
- Windows IT Pro の Webサイトでネットワークデバイス登録サービスをセットアップします 。
- Configuration Manager用の PKI 証明書の展開のステップバイステップ例:Microsoft System CenterのWindows Server 2008認証局 。
デバイス証明書を構成する手順
デバイス証明書を設定するには、次の手順を完了する必要があります。
-
デバイス証明書発行者の証明機関証明書をNetScaler Gateway にインストールします。詳しくは、「 NetScaler Gateway への署名付き証明書のインストール」を参照してください。
-
デバイス証明書発行者の証明機関証明書をNetScaler Gateway 仮想サーバーにバインドし、OCSPチェックを有効にします。詳しくは、「 NetScaler Gateway への署名付き証明書のインストール」を参照してください。
-
デバイス証明書発行者の認証局証明書に OCSP(レスポンダ)を作成し、バインドします。詳細については、「 OCSP による証明書ステータスの監視」を参照してください。
仮想サーバーでデバイス証明書のチェックを有効にし、デバイス証明書発行者の認証局証明書をデバイス証明書のチェックリストに追加します。詳細については、 クラシック EPA ポリシーの仮想サーバーでのデバイス証明書チェックの有効化を参照してください。
Windows マシンでクライアント側の設定とデバイス証明書の検証を完了します。詳細については、「 Windows マシンでのデバイス証明書の検証」を参照してください。
注:
デバイス証明書 EPA チェックを利用するすべてのクライアントでは、マシンのシステム証明書ストアにデバイス証明書がインストールされている必要があります。
クラシック EPA ポリシーの仮想サーバーでデバイス証明書チェックを有効にする
デバイス証明書を作成したら、NetScaler Gateway への既存の証明書のインポートとインストールの手順に従って、NetScaler Gateway に証明書をインストールします。
- 「構成」タブで、「 Citrix Gateway」>「仮想サーバー」に移動します。
- NetScaler Gateway 仮想サーバーページで 、既存の仮想サーバーを選択し、「 編集」をクリックします。
- 「 VPN 仮想サーバー 」ページの「 基本設定 」セクションで、「 編集」をクリックします。
- 認証を無効にするには、[ 認証を有効にする ] チェックボックスをオフにします。
- [ デバイス証明書を有効にする ] ボックスを選択して、デバイス証明書を有効にします
- [ 追加 ] をクリックして、使用可能なデバイス証明書発行者の CA 証明書名をリストに追加します。
- CA 証明書を仮想サーバーにバインドするには、[ デバイス証明書の CA] セクションの [CA 証明書 ] をクリックし、[ 追加] をクリックして証明書を選択し、[ +] をクリックします。
注:
高度な EPA ポリシーの仮想サーバーでデバイス証明書を有効にしてバインドする方法については、 EPA コンポーネントとしての nFactor でのデバイス証明書を参照してください。
Windows マシンでのデバイス証明書の検証
-
ブラウザーを開き、NetScaler Gateway FQDNにアクセスします。
-
Citrix エンドポイント分析(EPA)クライアントの実行を許可します。EPA がインストールされていない場合は、EPA をインストールします。
Citrix EPAはデバイス証明書を実行して検証し、デバイス証明書EPAチェックに合格すると認証ページにリダイレクトされ、合格しなかった場合はEPAエラーページにリダイレクトされます。他の EPA チェックがある場合、EPA スキャンの結果は、設定された EPA チェックによって異なります。
クライアントでさらにデバッグするには、クライアントで次の EPA ログを調べます。 C:\Users<User name>\ AppData\ Local\ Citrix\ AGEE\ nsepa.txt
注:
CRL によるデバイス証明書の検証はサポートされていません。