4.16. テナント設定 - クライアント証明書¶
クライアント証明書認証の設定を行います。設定には、アプリケーション管理者以上の権限が必要です。
クライアント証明書認証設定¶
クライアント証明書認証を使用する場合、チェックボックスを選択します。
証明書ユーザ自動登録¶
クライアント証明書認証を使用したユーザの自動登録(プロビジョニング)を有効にする場合は、チェックボックスを選択します。
無効の場合は、事前に専用のユーザを登録して運用します。詳細は ユーザ管理 を参照下さい。
信頼する発行者¶
信頼する発行者には、クライアント証明書を発行したCA(Issuer)のSubject情報(DN)を指定します。
クライアント証明書のIssuerと比較し、不一致の場合はアクセスを拒否します。
注釈
複数のCAを対象とする場合、Subject情報を改行で区切って列挙します。
なお、設定を1つも行わない場合(空欄)、発行者のチェックは行われません。
注釈
TLS の終端に HAProxy を使用して X-SSL-Issuer-DN ヘッダを付与している場合、Issuer DN は "/C=JP/ST=Tokyo/..." のようにスラッシュ区切りとなります。
またTomcatで直接TLSの終端を行う場合、IssuerのDN は" CN=TestCA, OU=TestOU, O= ..." のようにカンマ区切りとなります。
Issuerが不一致の場合、エラー応答と、クライアント証明書のIssuer DNを返却します。 正確なIssuer DNの値が不明な場合、信頼する発行者に任意の値を入力してクライアント証明書認証を行ってください。エラー応答からDNを確認することができます。