退職者の不正アクセスを防ぐ 無線LAN認証用の証明書を失効させる方法

目的

「退職した社員の端末を無線 LAN 接続できなくしたい」

「退職者による会社ネットワークへの不正アクセスが心配だ」

企業の情シス担当の方は、このような課題・お悩みをお持ちではないでしょうか。SecureW2 には、社員に配った無線 LAN 認証用の証明書や MDM 認証用の証明書などを簡単に失効させる機能が備わっています。

このドキュメントでは、証明書失効についての一般的な仕組みと、SecureW2 管理者ポータルでの証明書失効の手順について説明いたします。証明書を配ったものの、その有効期限を迎える前に証明書を失効させたい場合に有効です。

前提条件

• SecureW2 の管理者アカウントを持っていること。

証明書失効リスト(CRL)とは

証明書失効リスト(Certificate Revoke List : 以下 CRL)は、証明書の失効情報が含まれているリストのことで、認証局毎に作成及び更新されます。CRL には Base CRL と Delta CRL の 2 種類が存在します。これら 2 つの違いは更新頻度です。

上の図は、Delta CRL が 1 日、Base CRL が 7 日毎に更新される場合の更新の流れを表した図です。 Delta CRL には Base CRL が更新された後に新たに失効された証明書の一覧が記載されます。Delta CRL は前日までの失効情報も記載されます。つまり、2 日目の Delta CRL には 1 日目と 2 日目に失効された証明書一覧が記載されます。Base CRL はそれらを含めた 1 週間分の証明書失効一覧が記載されています。 SecureW2 では最短で 30 分の Base CRL 更新を提供可能なので、Base CRL を参照するようなサービスに対しても証明書の失効から反映までの時間差を少なくすることが可能です。

2. 手順

管理者ポータルでの失効手順

1. SecureW2 によって証明書が発行されたデバイスを確認します。[Data and Monitoring] の Devices をクリックします。Devices タブには、今まで SecureW2 によって証明書が発行されたデバイスの一覧が表示 されるので、失効したい証明書を保有するデバイスを選択します。

2. 以下のような画面に遷移します。Issued Certificates の Functions 欄に含まれている [Revoke] をクリックします。

以上の手順で任意のデバイスが保有する証明書を失効することができます。証明書が失効されると、 証明書失効リスト(CRL)に登録されます。なお、この CRL は約 24 時間で更新されます。故に、[Revoke]を押してから失効が反映されるまでに最大 24 時間のタイムラグが発生します。

3. 結論

1. 失効反映の確認方法

証明書の失効は、証明書失効直後又は CRL が更新すると反映されます。 無線接続(EAP-TLS)認証の場合、証明書が失効されると瞬時に無線 LAN 認証への利用ができなくなります。OneLogin への証明書認証の場合、証明書が失効されても Base CRL が更新されるまで失効は反映されません。

以下のようにIssued Certificates の Certificate Status が Revoked であれば、証明書は証明書失効リスト(CRL)に登録されています。

このようにして、SecureW2 で配布した無線 LAN 認証用の証明書を失効させることができます。

補足: CRL の次回更新日の確認方法

Base CRL、Delta CRL が次いつ更新されるのかに関しての情報は、SecureW2 管理者ポータルから閲覧可能です。

1. Certificate Authority からいつ更新されるのかを知りたい CRL を発行する中間認証局の [View] をクリックします。
2. CRL で以下の内容を確認します。

⁠ 項目名	⁠ 値
URL	CRL の URL
Update Interval	⁠ 更新間隔
Next Publish	⁠ 次回の更新日時

なお、Next Publish の時刻情報に関しては、お使いの PC のタイムゾーンに則って表示されます。

ペンティオでは、SecureW2 をご契約いただいた方に向けて独自のドキュメントを無料で提供しています。