退職者の不正アクセスを防ぐ
無線LAN認証用の証明書を失効させる方法
目的
「退職した社員の端末を無線LAN接続できなくしたい」
「退職者による会社ネットワークへの不正アクセスが心配だ」
企業の情シス担当の方は、このような課題・お悩みをお持ちではないでしょうか。SecureW2には、社員に配った無線LAN認証用の証明書やMDM認証用の証明書などを簡単に失効させる機能が備わっています。
このドキュメントでは、証明書失効についての一般的な仕組みと、SecureW2管理者ポータルでの証明書失効の手順について説明いたします。証明書を配ったものの、その有効期限を迎える前に証明書を失効させたい場合に有効です。
前提条件
- SecureW2の管理者アカウントを持っていること。
証明書失効リスト(CRL)とは
証明書失効リスト(Certificate Revoke List : 以下CRL)は、証明書の失効情報が含まれているリストのことで、認証局毎に作成及び更新されます。CRLにはBase CRLとDelta CRLの2種類が存在します。これら2つの違いは更新頻度です。 
上の図は、Delta CRLが1日、Base CRLが7日毎に更新される場合の更新の流れを表した図です。 Delta CRLにはBase CRLが更新された後に新たに失効された証明書の一覧が記載されます。Delta CRLは前日までの失効情報も記載されます。つまり、2日目のDelta CRLには1日目と2日目に失効された証明書一覧が記載されます。Base CRLはそれらを含めた1週間分の証明書失効一覧が記載されています。 SecureW2では最短で30分のBase CRL更新を提供可能なので、Base CRLを参照するようなサービスに対しても証明書の失効から反映までの時間差を少なくすることが可能です。
2. 手順
管理者ポータルでの失効手順
-
SecureW2によって証明書が発行されたデバイスを確認します。[Data and Monitoring] のDevicesをクリックします。Devicesタブには、今までSecureW2によって証明書が発行されたデバイスの一覧が表示 されるので、失効したい証明書を保有するデバイスを選択します。
-
以下のような画面に遷移します。Issued Certificates のFunctions欄に含まれている [Revoke] をクリックします。
以上の手順で任意のデバイスが保有する証明書を失効することができます。証明書が失効されると、 証明書失効リスト(CRL)に登録されます。なお、このCRLは約24時間で更新されます。故に、[Revoke]を押してから失効が反映されるまでに最大24時間のタイムラグが発生します。
3. 結論
1. 失効反映の確認方法
証明書の失効は、証明書失効直後又はCRLが更新すると反映されます。 無線接続(EAP-TLS)認証の場合、証明書が失効されると瞬時に無線LAN認証への利用ができなくなります。OneLoginへの証明書認証の場合、証明書が失効されてもBase CRLが更新されるまで失効は反映されません。
以下のようにIssued Certificates のCertificate Statusが Revoked であれば、証明書は証明書失効リスト(CRL)に登録されています。
このようにして、SecureW2で配布した無線LAN認証用の証明書を失効させることができます。
補足: CRLの次回更新日の確認方法
Base CRL、Delta CRLが次いつ更新されるのかに関しての情報は、SecureW2管理者ポータルから閲覧可能です。
- Certificate Authority からいつ更新されるのかを知りたいCRLを発行する中間認証局の [View] をクリックします。
- CRLで以下の内容を確認します。
| 項目名 | 値 |
|---|---|
| URL | CRLのURL |
| Update Interval | 更新間隔 |
| Next Publish | 次回の更新日時 |
なお、Next Publishの時刻情報に関しては、お使いのPCのタイムゾーンに則って表示されます。
ペンティオでは、SecureW2をご契約いただいた方に向けて独自のドキュメントを無料で提供しています。
詳細は以下よりご覧ください。