4.17. テナント設定 - クライアント証明書

クライアント証明書認証の設定を行います。設定には、アプリケーション管理者以上の権限が必要です。

注意

リバースプロキシを使用したクライアント証明書認証設定を行うためには、システム設定のクライアント証明書認証用サーバーキーの設定が必要です。

詳細は、クライアント証明書設定 を参照してください。

概要

クライアント証明書認証の設定を行います。

../_images/clientCert_1.png

設定の変更を行う場合は、「編集」ボタンを選択します。

../_images/clientCert_2.png

「更新」ボタンを選択して設定の反映を行います。

クライアント証明書認証設定

クライアント証明書認証を使用する場合、チェックボックスを選択します。

ユーザに使用する値

ユーザ名として使用する証明書の要素を選択します。

以下の要素をサポートします。

  • CN (Common Name)
  • Serial Number
  • UID

証明書ユーザ自動登録

クライアント証明書認証を使用したユーザの自動登録(プロビジョニング)を有効にする場合は、チェックボックスを選択します。

無効の場合は、事前に専用のユーザを登録して運用します。詳細は ユーザ管理 を参照下さい。

信頼する発行者

信頼する発行者には、クライアント証明書を発行したCA(Issuer)のSubject情報(DN)を指定します。

クライアント証明書のIssuerと比較し、不一致の場合はアクセスを拒否します。

注釈

複数のCAを対象とする場合、Subject情報を改行で区切って列挙します。

なお、設定を1つも行わない場合(空欄)、発行者のチェックは行われません。

注釈

TLS の終端に HAProxy を使用して X-SSL-Issuer-DN ヘッダを付与している場合、Issuer DN は "/C=JP/ST=Tokyo/..." のようにスラッシュ区切りとなります。

またTomcatで直接TLSの終端を行う場合、IssuerのDN は" CN=TestCA, OU=TestOU, O= ..." のようにカンマ区切りとなります。

Issuerが不一致の場合、エラー応答と、クライアント証明書のIssuer DNを返却します。 正確なIssuer DNの値が不明な場合、信頼する発行者に任意の値を入力してクライアント証明書認証を行ってください。エラー応答からDNを確認することができます。