KDDI Flex Remote Access
KDDI ビジネスセキュア Wi-Fi
証明書インストールマニュアル
macOS / OS X
版
第 1.4 版
2018 年 7 月
KDDI 株式会社
はじめに ... 1 1. 概要 ... 2 証明書インストール手順について ... 2 1.1. ご利用端末について ... 3 1.2. 1.2.1. 証明書の対応 OS とインストール方法 ... 3 1.2.2. ブラウザ ... 3 1.2.3. 言語環境 ... 3 キーチェーンについて ... 4 1.3. 2. 証明書のインストール ... 5 証明書発行通知メール ... 5 2.1. 『Cybertrust DeviceiD Importer』のインストール ... 6
2.2. 証明書のインストール ... 7 2.3. ルート認証局の信頼設定 ... 10 2.4. 3. インストールした証明書の確認 ... 12 証明書の確認方法 ... 12 3.1. 4. トラブルシューティング ... 15 専用アプリケーションでのエラーメッセージ ... 15 4.1. 5. その他 ... 16 証明書の削除方法 ... 16 5.1.
はじめに
※本資料に記載されている内容に関しましては、KDDI 株式会社の都合により変更することがある旨をご了承くだ さい。
※「KDDI Flex Remote Access」および「KDDI ビジネスセキュア Wi-Fi」の両サービス(以下『両サービス』)において 証明書認証機能(以下『本機能』)のご利用前に、本資料を必ずお読みください。 ※免責事項・注意事項をご承諾いただけない場合、本機能のご利用はお控えください。 本資料の一部または全部を両サービスの利用者もしくは運用者以外に対して開示・配布・譲渡すること、両サービ ス以外の利用目的にて用いることを禁じます。 本資料は、両サービスにおいて本機能を利用する際に必要となる証明書をご利用端末にインストールする上で最 低限の事項のみ記述しております。KDDI は本資料の作成に当たり、サービス提供上問題が発生しないよう、細心 の注意を払っておりますが、この資料に記載された内容に準拠した手順にて利用された場合においても、端末の 機種や OS のバージョンにより証明書をインストールできない可能性があります。その場合は KDDI 法人営業担当 者までお問い合わせください。 設定方法・仕様などは、KDDI の都合により、予告なしに変更される可能性がありますのであらかじめご了承くださ い。なお、問題点・変更点などを発見した場合は、お手数ですが KDDI 法人営業担当者までお気付きの点をご連 絡ください。今後の資料作成に反映させていただきます。 ※両サービスでは、証明書の発行をサイバートラスト株式会社へ委託しており、サイバートラスト株式会社の『サ イバートラスト デバイス ID』を使用します。 ※両サービスでは、それぞれのサービスで提供する証明書以外はご利用いただけません。既にサイバートラスト 社の証明書をご利用中の場合でも、両サービスで提供する証明書以外はご利用いただけません。 ※本資料内の画面および証明書ダウンロード用 URL は実際とは異なる場合がありますので、あらかじめご了承く ださい。
1. 概要
証明書インストール手順について
1.1.
お客さま管理者さま(以下、管理者さま)により発行された証明書をmacOS/MAC OS X端末へ個別に取得・イ ンストールすることができます。インストールまでの手順の概要は以下の通りです。 ※ 証明書発行通知メールの送信者アドレス(Fromアドレス)は、システムの自動送信用アドレス<no-reply@deviceid.kddi.ne.jp>のため、返信されても対応ができません。あらかじめご了承ください。対応 が必要な場合は、管理者さまへご連絡をお願いします。 ※ セキュリティ上、証明書の取得(インストール)期間が設けられています。発行通知メール受信後、下 記、取得期限内に証明書のインストールを完了させてください。 取得期限: 証明書発効日(メール送信日)から7日間 または証明書の初回ダウンロードから3日間 取得期限を超えると、証明書を取得できなくなります。その場合、管理者さまにて『取得可否変更』 の操作を行うことで、再度取得可能になります。(変更後も同様の取得期限があります) ※ 管理者さまが証明書発行時に指定したパソコン以外には証明書をインストールできません。 ※ クライアント証明書は1回のインストール操作手順でユーザーのキーチェーン、およびシステムのキ ーチェーンそれぞれに対して登録されます。(キーチェーンについては、1.3 『キーチェーンについて』 をご参照ください。) ① 管理者さまより証明書カスタマーコントロールにて証明書 の発行申請を実施 じ。 ② 認証局(サイバートラスト)にて証明書の発行後、発行通知 のメールをシステムより送信 証明書の発行申請を行います。 ③ 発行通知のメールに記載の URL より証明書を取得するた めの専用アプリケーションを対象の端末にインストール 証明書の発行申請を行います。 ④ 専用アプリケーションを起動し、発行通知メールに記載の 識別子を使って証明書を対象の端末にインストールご利用端末について
1.2.
1.2.1. 証明書の対応 OS とインストール方法
専用アプリケーション
macOS High Sierra (ver.10.13) ○
macOS Sierra (ver.10.12) ○ OS X El Capitan (ver.10.11) ○
OS X Yosemite (ver.10.10) ○
OS X Mavericks (ver.10.9) ○
OS X Mountain Lion (ver.10.8) ○
OS X Lion (ver.10.7) ○ ※ 専用アプリケーションのインストールには管理者権限が必要です。 1.2.2. ブラウザ ブラウザは、以下をご利用になれます。 Safari 1.2.3. 言語環境 日本語
キーチェーンについて
1.3.
キーチェーンとはMAC OS用のパスワード・証明書・暗号鍵の管理システムです。macOS/OSX端末へ の証明書格納先は、2つのキーチェーンになります。 ログインキーチェーン :ユーザーアカウントごとに格納されます。 システムキーチェーン :端末本体に格納されます。 ※ 管理者/一般アカウントどちらで証明書をインストールする場合も、管理者ID・パスワード入力を要求 され、ログイン・システムキーチェーンの両方に証明書が格納されます。 ※ ログイン/システムキーチェーンの両方に格納後、キーチェーンアクセスを利用してシステムキーチ ェーンの証明書のみを削除することも可能です。(ログインキーチェーンのみでご利用の場合)2. 証明書のインストール
ここでは、ユーザーが自ら管理する macOS/OS X 端末に証明書をインストールする方法について説明します。証明書発行通知メール
2.1.
インストールする端末にて、証明書発行通知のメールを確認します。 件名: サイバートラスト デバイス ID 発行のお知らせ KDDI 株式会社の申請により、デバイス ID が発行されました。 利用約款、認証局運用規程(CPS)をご確認のうえ、デバイス ID を インストールしてください。 デバイス ID は発行から 7 日を経過するとインストールできなくなります。 お早めのインストールをお願いいたします。 発行から 7 日を経過した場合は、管理者へお問い合わせください。 利用約款および認証局運用規程(CPS)は以下から参照してください。 https://www.cybertrust.ne.jp/deviceid/repository.html 手順 1: デバイス ID をインストールするための専用アプリ 「Cybertrust DeviceiD Importer」 をインストールします。以下の URL にアクセスして「CybertrustDeviceiDImporter.dmg」ファイルを ダウンロードしてください。 https://cybertrust.deviceid.ne.jp/tools/CybertrustDeviceiDImporter.dmg 「CybertrustDeviceiDImporter.dmg」ファイルをダブルクリックしてマウントします。 マウントされたディスクイメージの中にある「CybertrustDeviceiDImporter」を、 「アプリケーション」にコピーします。 手順 2:
「Cybertrust DeviceiD Importer」を起動してください。 「証明書識別子」欄に以下の文字列を入力して、 「証明書登録」をクリックすると、デバイス ID がインストールされます。 証明書識別子: DiDk|G3k/DeviceiD_KDDI_OSX|2016XXXXXXXXXXX デバイス ID 情報 リクエスト ID : 2016XXXXXXXXXXX コモンネーム : (idname)@(suffixname) シリアル番号 : 34XXXXXX 証明書有効期間: 2016/XX/XX-XX:XX:XX - 2021/XX/XX-XX:XX:XX デバイス ID のインストールについてご不明な点がありましたら、 貴社システム管理者さまへお問い合わせください。 --- KDDI 株式会社 証明書発行担当 ---
『Cybertrust DeviceiD Importer』のインストール
2.2.
お使いの OS X に、証明書をインストールするための専用アプリケーション『Cybertrust DeviceiD Importer』をイン ストールします。以下の作業には管理者権限が必要です。なお、本アプリケーションは Cybertrust により随時アッ プデートされますので、既にインストール済みでも本手順により最新版をインストールしてご利用ください(古いバー ジョンでは証明書のインストールは行えません)。
(1) 発行通知メールの『手順 1』の通り、Safari を使って証明書発行通知メールに記載されている URL にアク セスします。Cybertrust DeviceiD Importer のダウンロード URL は以下の通りです。
Cybertrust DeviceiD Importer for OS X ダウンロード用URL
https://cybertrust.deviceid.ne.jp/tools/CybertrustDeviceiDImporter.dmg
(2) ダウンロードしたファイル 『CybertrustDeviceiDImporter.dmg』 をダブルクリックして、マウントします。 (3) マウントされたディスクイメージの中にある『DeviceiD Importer』を、『Applications』フォルダにドラッグして
コピーします。
証明書のインストール
2.3.
インストールした専用アプリケーション『Cybertrust DeviceiD Importer』を使って、お使いのmacOS/OS Xに証明書 をインストールします。
(1) 発行通知メールの『手順 2』の通り、『アプリケーション』内の『Cybertrust DeviceiD Importer』をダブルクリ ックして、『Cybertrust DeviceiD Importer』を起動します。
【ご参考】 システム環境設定のアプリケーションの実行許可に関する設定によっては、起動時に確認のダイア ログが表示されたり、起動できないことがあります。 確認のダイアログが表示された場合 【開く】をクリックしてください。 『開けません』と表示された場合
【OK】をクリックして、ダイアログを閉じます。(1)の画面で、『Cybertrust DeviceiD Importer』を 右クリックして『開く』を選択すると、以下の確認ダイアログが表示されます。 【開く】をクリックしてください。 (2) 【証明書識別子】の欄に、証明書発行通知メールに記載されている証明書識別子をコピー&ペーストして、 【証明書登録】をクリックします。(または、文字列のドラッグ&ドロップでも可能です。) (3) macOS/OS X の ID/パスワード入力画面にて管理者の『名前』と『パスワード』を入力して【OK】をクリック します。 証明書がシステムキーチェーン/ログインキーチェーンに保存されます。
(4) デバイス ID 証明書が自動でインストールされます。インストールが完了すると、以下のウィンドウが表示 されます。『OK』をクリックします。
ルート認証局の信頼設定
2.4.
ここでは、インストールした証明書(ルート認証局証明書)を『信頼済み』に設定する方法を記載します。この操作に は、管理者権限が必要です。 (1) 『アプリケーション』の『ユーティリティ』から『キーチェーンアクセス』をクリックします。 (2) 『システム』を選択すると、認証局の一覧が表示されます。「KDDI FRE」で利用しているサイバートラスト デバイスIDのルート認証局は以下の名前です。・第2世代認証局: Cybertrust DeviceiD Public CA G2k ・第3世代認証局: Cybertrust DeviceiD Public CA G3k
※複数表示された場合は、それぞれについて、以下の手順を実施してルート認証局『信頼済み』にしてく ださい。
(3) Cybertrustのルート証明書を信頼済みに設定します。キーチェーンアクセスにて、『システム』を選択し、 (2)の証明書をダブルクリックしてください。
(4) 下記画面にて『この証明書を使用するとき』を『常に信頼』に変更して、【×】ボタンをクリックします。
パスワードを求められたら、パスワードを入力し【設定をアップデート】をクリックします。
(5) 名前の左側にあるアイコンが青色 のものは、その証明書が信頼されていることを表します。 先に行ったサイバートラストのルート認証局証明書が信頼されていることを確認してください。
3. インストールした証明書の確認
証明書の確認方法
3.1.
ここでは、取得した証明書が端末に正しくインストールされていることを確認する方法について説明します。 以下、MAC OS X を利用した場合の画面イメージを使って説明しています。 (1) Safari を起動して、以下の証明書確認ページURLにアクセスします。 証明書確認ページURL https://cybertrust.deviceid.ne.jp/confirm.info/ (2) 【証明書を確認する】をクリックします。(3) 証明書の選択画面が表示された場合は、発行者が『Cybertrust DeviceiD Public CA G3k(またはG2k)』と 表示されている証明書を選択して、【OK】をクリックします。
※ 証明書を選択せずに【OK】をクリックした場合、または【キャンセル】をクリックした場合は、エラー 画面が表示されますので、必ず証明書を選択した上で【OK】をクリックしてください。
(4) 以下のいずれかの画面が表示されます。
証明書が正しくインストールされていない場合の表示例
・上記の場合、証明書確認ページある【詳細はコチラをご覧ください】をクリックすると、考えられるエラー の原因が表示されます。
4. トラブルシューティング
専用アプリケーションでのエラーメッセージ
4.1.
『Cybertrust DeviceiD Importer』を用いた証明書のインストールでエラーメッセージが表示された場合は、 下記の表を参考に対処を行ってください。 エラーメッセージ 対処方法 400 端末の認証に失敗しました。入力内容を確認してく ださい。改善しない場合は管理者にお問い合わせくだ さい。 お使いの Mac OS X 端末に対応するデバイス ID 証明 書が発行されていません。正しい MAC OS X 端末から 証明書の取得を実行してください。 MAC OS X 端末が正しい場合は、管理者さまが証明書 発行時に申請した Auth-ID(MAC アドレス)と相違ない か、またはその MAC アドレスを持つ NIC(ネットワーク インターフェースカード)が無効になっていないか?をご 確認ください。 401 証明書識別子の形式が不正です。入力内容を確 認してください。 証明書識別子に問題がある可能性があります。『お知 らせメール』に記載されている証明書識別子をご確認く ださい。 501 ただ今、サービスがメンテナンス中のためご利用 頂けません。明日、改めて実施してください。 認証局(サイバートラスト)のサービスがメンテナンス中 です。メンテナンス終了後、改めて実施してください。 502 通信が切断されました。通信状況の良い場所で改 めて実施してください。改善しない場合は管理者にお問 い合わせください。 通信障害などの原因によりエラーが発生しました。イン ターネット回線が混雑している可能性もありますので、 時間をあけて改めて実施してみてください。または、イ ンターネットの接続環境(プロキシの設定)なども合わせ てご確認ください。 500 証明書の取得に失敗しました。管理者にお問い合 わせください。 管理者さまへお問い合わせください。証明書の取得期 限(7 日)が過ぎている場合は、管理者さまにて、証明 書の取得可否変更を行うことで再度証明書の取得が 可能になります。 503 証明書の取得が許可されていません。管理者にお 問い合わせください。
5. その他
証明書の削除方法
5.1.
インストールした証明書が不要になった際や、インストール後にログインキーチェーンまたはシステムキー チェーンのどちらかを削除して運用する場合など、以下の方法で証明書を削除できます。 (1) 『アプリケーション』の『ユーティリティ』から『キーチェーンアクセス』をクリックします。 (2) 削除したいキーチェーン(ログイン/システム)を選択してから、該当の証明書を選択します。証明書はコモ ンネーム(『xxx@(お客さまサフィックス名)』の形式)で表示されています。 以下は、システムキーチェーンの証明書を選択した例です。(3) メニューから【編集】>【削除】を選んで削除します。パスワードを求められた場合は、『名前』と『パスワー ド』を入力します。削除の確認メッセージが表示されたら、【削除】ボタンをクリックして証明書を削除しま す。
改版履歴
◆2014 年 10 月 24 日 v1.0 リリース
◆2014 年 11 月 10 日 v1.1 キーチェーンについて追記
◆2017 年 4 月 28 日 v1.2 対応 OS を更新、手順など更新。その他追記 ◆2017 年 8 月 22 日 v.1.3 Cybertrust DeviceiD Importer について追記 ◆2018 年 7 月 1 日 v.1.4 対応 OS を更新
