Check Point FWの評価ガイド② クライアント証明書認証
目次
目的
本評価ガイドは、「Check Point FWの評価ガイド① パスワード認証」に従って設定済みであることを前提とした手順となりますので、ご注意ください。
Check Point FWの以下の認証をSingleIDで実施します。
- リモートアクセスVPNの認証(クライアント証明書認証)
- 無線LANアクセスの認証(EAP-TLS方式のクライアント証明書認証)
- user2は、Check Point FWへVPNでリモートアクセス可能。user1、user3は、アクセスできない。
- user3は、Check Point FWの無線LANアクセスポイントを利用可能。user1、user2は、利用できない。
Check Point FWでは、管理者の認証は、クライアント証明書による認証がサポートされておりません。
環境
「Check Point FWの評価ガイド① パスワード認証」を参照してください。
設定方法
SingleIDの設定
クライアント証明書の発行
SingleIDの管理者ポータルへログインします。
SingleID 管理者ポータル>ユーザ一覧画面へ移動します。
証明書を発行したいユーザ(user1, user2, user3)の行の左端のチェックボックスにチェックし、「選択実行」をクリックします。プルダウンメニューが表示されますので、「証明書の発行」を選択します。

証明書のプロファイルを選択します。ここでは、デフォルトのプロファイルを選択し、「発行」をクリックします。クライアント証明書は、ユーザに設定されているメールアドレス宛に送信されます。

SingleIDの中間CA証明書のダウンロード
クライアント証明書を発行したSingleIDの中間CA証明書をダウンロードします。
SingleID 管理者ポータル >認証>証明書画面へ移動します。「基本情報」タブへ移動します。
中間CAの横の雲のアイコンをクリックします。
誤って、ルートCA証明書をダウンロードしないようにご注意ください。ルートCA証明書のダウンロードは必要ありません。

「ダウンロード」をクリックし、SingleIDの中間CA証明書をダウンロードします。

Check Point FWの設定
ローカル管理者でログイン
https://<Check PointのIP>:4344/ へアクセスします。
管理者のユーザ名、パスワードを入力し、「ログイン」をクリックします。

リモートアクセスユーザの認証の設定
トラストCAへSingleIDの中間CA証明書を追加
Check Point FW GUI>VPN>トラストCA画面へ移動します。
「追加」をクリックします。
「トラストCAの追加」画面の「参照」をクリックし、先ほどダウンロードしたSingleIDの中間CA証明書ファイルを選択し、任意のCA名(例えば、「SingleID User CA」)を入力し、「適用」をクリックします。
注意
CA名に、2バイト文字は使用できません。
注意
SingleIDのルートCA証明書をCheck Point FWへインポートしないようにしてください。
リモートアクセスクライアントからCheck Point FWへのVPN接続時、SingleIDのルートCA証明書がCheck Point FWにインポートされていると、SingleIDのルートCAを発行元とするどんな中間CAが発行したクライアント証明書であっても、証明書のパスの検証に成功してしまいます。結果として、意図しないVPN接続の認証が成功してしまいます。

補足:リモートアクセス時の認証にパスワード認証をさせたくない場合
ローカルのリモートアクセスユーザが登録されていないことを確認
Check Point FW GUI>VPN>リモートアクセスユーザ画面へ移動します。
ユーザが登録されていないことを確認します。
リモートアクセス時の認証にRADIUS認証を利用しないように設定変更
Check Point FW GUI>VPN>認証サーバ画面へ移動します。
「RADIUS ユーザの権限」をクリックします。
「RADIUS認証をユーザ認識、リモートアクセス、ホットスポットに有効にする」のチェックボックスのチェックをはずします。

無線LANアクセスユーザの認証の設定
すでに、設定済みです。
動作確認方法
クライアント証明書のダウンロード
SingleIDシステム管理から届いたメールを開きます。「ダウンロード」をクリックします。P12形式のクライアント証明書がダウンロードされます。
3ユーザ分のクライアント証明書をダウンロードします。
もし、PCでメールを受信し、スマートフォンやタブレットにクライアント証明書をインストールしたい場合には、メールに添付されているQRコードを スマートフォンやタブレットで読み取ります。クライアント証明書のダウンロードURLを認識しますので、そのURLへアクセスすることで、 スマートフォンやタブレット にもクライアント証明書をダウンロードできます。

リモートアクセスVPNの認証(クライアント証明書認証)
Windowsの場合
接続先の設定
Check Point Remote Access VPN Clientsを起動して、新規サイトを作成します。サイトウィザードが表示されたら、「Next」をクリックします。

「Server address or Name」に、Check Point FWのWANのIPアドレスを入力し、「Next」をクリックします。

「VPN Client (Default)」が選択されていることを確認し、「Next」をクリックします。

「Certificate」を選択し、「Next」をクリックします。

「CAPI」を選択し、「Next」をクリックします。
どちらを選択しても、クライアント証明書を利用した認証を行うことができます。
CAPIの場合には、一度、クライアント証明書をPCへインポートすれば、VPN接続時には自動ログインできます。
「PKCS #12」を選択した場合には、VPN接続のたびに、クライアント証明書のパスワードが尋ねられます。

接続先が作成できました。「Finish」をクリックします。

VPN接続
「Connect」をクリックします。

「Site」に、作成した接続先を選択します。

「Browse」をクリックし、ダウンロードしたSingleIDのユーザ(user2)のクライアント証明書を選択します。

「password」にクライアント証明書のパスワードを入力します。 デフォルトでは、クライアント証明書のパスワードは、ユーザ名と同一です。SingleIDのユーザ(user2)のクライアント証明書のパスワードとして、user2を入力します。
「Import」をクリックします。

クライアント証明書がインポートされました。「OK」をクリックします。

「Connect」をクリックし、Check Point FWへVPN接続を試み、 接続が成功することを確認します。

「Details」をクリックすると、詳細が表示され、接続が成功したことを確認できます。

user1やuser3のクライアント証明書ではログインできないことをご確認ください。
無線LANアクセスの認証(EAP-TLS方式のクライアント証明書認証)
Windows 10の場合
クライアント証明書のインストール
ダウンロードしたSingleIDのユーザ(user3)の P12形式のクライアント証明書ファイルをダブルクリックします。
保存場所として「現在のユーザー」を選択し、「次へ」をクリックします。

ダウンロードしたP12形式のファイル名とパスが正しく入力されていることを確認し、「次へ」をクリックします。

「パスワード」に、クライアント証明書のパスワードを入力します。デフォルトでは、クライアント証明書のパスワードは、ユーザ名と同一です。SingleIDのユーザ(user3)のクライアント証明書のパスワードとして、user3を入力し、「次へ」をクリックします。

「証明書の種類に基づいて、自動に証明書ストアを選択する」が選択されていることを確認し、「次へ」をクリックします。

「完了」をクリックし、証明書をインストールします。

クライアント証明書のインストールが成功しました。

Check Point FWの無線LANアクセスポイントへ接続
Check Point FWの無線LANアクセスポイントのSSIDを選択し、「接続」をクリックします。

「証明書を使って接続する」をクリックします。

認証で使用するクライアント証明書を選択します。user3を選択します。

接続先が正しいかどうかの確認を要求されます。「証明書の詳しい内容の表示」でRADIUSサーバのサーバ証明書の情報が表示されますので、接続先の確認を行います。
- 発行先:SingleID 管理者ポータル>認証>RADIUSの基本情報画面のホスト名
- 発行元:R3
接続先が正しければ、「接続」をクリックします。

接続成功したことを確認します。

user1やuser2のクライアント証明書ではログインできないことをご確認ください。