- PR -

クライアント(ユーザ)証明書の事前インストールもしくは共有

1
投稿者投稿内容
jj
会議室デビュー日: 2002/04/02
投稿数: 9
お住まい・勤務地: 東京都
投稿日時: 2008-07-25 11:47
ユーザ企業の情報システム部員です。
SSLクライアント認証を必要とする社内のサーバが何個かあり、そこに一般社員がIEでアクセスする環境を構築しようとしています。この一般社員が使用するPCにクライアント証明書を配布する方法について質問があります。
前提条件1:
一般社員用PCはまずはじめに情報システム部員が必要なアプリ等を
セットアップしたうえで、社員に送付されます。
前提条件2:
ただし、一般社員用PCへのログインには各個人を識別するICカードが必要です。つまり情報システム部員が一般社員にそのPCを送付する以前に、このPCにその渡すべき一般社員としてログインすることは出来ません。

このような前提条件の下、一般社員にPCを送付する以前に、我々情報システム部員がSSLクライアント認証用の電子証明書をPCにインストールすることは可能か?というのが質問です。

SSLクライアント証明書(ユーザストアにインストールされる証明書)はログインユーザ毎の設定だと認識しています。つまり我々情報システム部員は、たとえそのPCの管理者権限を持っていたとしても、将来そのPCを使用する予定の一般社員としてそのPCにログインすることができないのであれば、その一般社員が使用するクライアント証明書はインストールすることは出来ない、と思っています。が、これでは困るのでどうにかしたいのです。困るというのは、一般社員にクライアント証明書を渡しそのインストール作業を行わせたくないと考えるからです。理由は、悪意をもった一般社員がクライアント証明書を会社が配布した正規PC以外のPCにインストールする可能性を排除したいからです。

逆に(矛盾しますが)会社配布の正規PCにログインすることができたユーザであれば、どんなユーザアカウントであっても、同じユーザ証明書を参照できればそれば一番ベストだと思っています。管理者権限でmmcから証明書管理ツールを起動し、どこか適当な場所にただ1つのクライアント証明をインストールすれば、その証明書をその端末上の全ユーザが使うことができる、ということはないものか、ご存じの方はいらっしゃいませんか?

以上、精一杯状況を説明したつもりなのですが、なかなか文書でうまく状況が説明できません。
良い解決策があれば助けていただきたいのですが、、、よろしくお願いします。
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2008-07-25 12:03
会社の端末からのみという要件ならば computer 証明書の方が適切では?

こちらなら、事前に install しておくことできますし、group policy による自動取得も可能ですし。
jj
会議室デビュー日: 2002/04/02
投稿数: 9
お住まい・勤務地: 東京都
投稿日時: 2008-07-27 00:27
ちゃっぴ様

こんにちは。返答ありがとうございます。
念のため確認させてください。computer証明書とはコンピュータストアに格納する証明書のことですよね?

IEだとコンピュータストア内の証明書は認識しないのです。(おっしゃるとおり、コンピュータ証明書が使えるならばそれがベストだとは思ってるのですが。。)
ちゃっぴ
ぬし
会議室デビュー日: 2004/12/10
投稿数: 873
投稿日時: 2008-07-27 07:11
Computer 証明書を利用した IPSec で要件満たせませんか?
1

スキルアップ/キャリアアップ(JOB@IT)