デバイス証明書トラブルシューティング

概要

SDPクライアントのデバイス認証を設定する際に、証明書関連の問題が発生する可能性があります。 この記事では、基本的なデバイス証明書のトラブルシューティングを取り上げます。 この機能の詳細については、認証された企業デバイスの制御をご覧ください

トラブルシューティング

以下は、デバイス証明書の問題を調査する際に実施できる可能性のあるトラブルシューティングの手順です。

1. クライアント接続ポリシーを利用してデバイス認証要件を管理で述べられているように、各OS構成に対するデバイス証明書はクライアント接続ポリシーを使用して設定する必要があります。

デバイスポスチャの下で、エンドユーザーデバイスにインストールされている証明書のためのデバイスチェックを作成できます（これらのクライアントバージョンでサポートされています）。 チェックは、アカウントのために定義されたデバイス証明書の1つと一致する証明書がデバイスにインストールされていることを検証します。 詳細については、デバイス証明書デバイスチェックの作成を参照してください。

また、デバイス認証がアクセス -> クライアントアクセス -> デバイス認証の下で行われている場合、該当するOSが必須としてリストされているがブロックされていないことを確認します。

2. すべてのCA証明書がCMAにアップロードされ、アクセス -> クライアントアクセス -> デバイス認証の下に一覧表示されます。 これらは、デバイス証明書を署名した証明機関の証明書です。 "詳細を表示" アイコンをクリックすると、証明書の詳細が読みやすい形式で一覧表示されます。

3. CA証明書が期限切れでないことを確認することは重要です。 もしそうであれば、PoPは証明書認証機関がデバイス証明書を期限切れ前に署名している場合にのみ接続を許可します。 デバイス証明書について、Catoは期限切れの証明書を使用してクライアントが接続することを許可しません。 詳細については、期限切れ証明書の処理を参照してください

4. 必要なCA証明書がCMAにアップロードされていることを確認するための方法の一つは、クライアント証明書チェーン（認証パス）を確認することです。 この例では、クライアント証明書は"CN= 発行CAクライアント"で中間証明書によって署名され、それに続いて"CN= ルートCA"でルート証明書によって署名されています。 これらはCMAにインストールされた証明書と一致しなければなりません。

5. RFC3280によれば、クライアント証明書の信頼キー識別子は発行者のサブジェクトキー識別子と一致させなければなりません（この場合、中間証明書）。 これは、正しい中間およびルートCA証明書がCMAにアップロードされていることを確認するもう一つの方法です。

6. 構成が良好であり、証明書が有効であることを確認した後、クライアントのOS上に証明書が存在することを検証します。

注意: 証明書の配布に関する詳細情報については、デバイス証明書の配布とインストールを参照してください

Windows:

Windowsでは、デバイス証明書をローカル コンピュータにインストールし、現在のユーザーにはインストールしないでください デバイス証明書の存在を確認する方法は2つあります:

• コマンドプロンプトを開いて、certutil -store Myと入力して、デバイス上の利用可能なユーザー証明書をすべてリストします。 以下の例では、最初の証明書発行者がCA証明書の件名と一致しています。 そうでない場合、クライアントはデバイス上に必要な証明書を持っていません。 
  Certutilは非常に強力なツールで、証明書をリスト、取り消し、または更新するために使用できます。 ツールに関する詳細情報はこちらで見つけることができます。

• certutilは、以下のコマンドを実行することにより、デバイスにPFX (p12) 証明書ファイルをインストールするためにも使用できます。 これは、デバイス証明書をWindowsデバイスに配布するで説明されているように、Windowsデバイスに証明書をインストールするための推奨方法です。

  /certutil -csp "Microsoft Software Key Storage Provider" -importpfx My <path-to-p12-file> NoExport

• あるいは、Windowsスタートメニューからcertlm.mscを入力して、デバイスにインストールされた証明書を確認できます。 これはローカルコンピューターにインストールされたすべての証明書を表示します。 デバイス証明書はローカルコンピューターの個人/証明書フォルダーにインストールされ、PFXファイルに含まれる必要がある秘密鍵を含める必要があります。

MacOSとiOS：

macOS v5.3 およびそれ以下：

MacOSクライアントが、以前にMDMまたはApple Configuratorを介して配布された構成プロファイルを含んでいることを確認します。 プロファイルはmacOS 13の設定 & セキュリティで見つけることができます。 古いmacOSバージョンでのプロファイルの場所を確認するには、macOSユーザーガイドを参照してください。

任意のiOSバージョン：

iOSデバイスが、以前にMDMまたはApple Configuratorを介して配布された構成プロファイルを含んでいることを確認します。 プロファイルは、一般 > VPN & デバイス管理 > iOS18の構成プロファイルの下にあります。 古いiOSバージョンでのプロファイルの場所を確認するには、iOSユーザーガイドを参照してください。

VPNプロファイルが正しく設定されていることを確認してください。 VPNペイロードは、デバイスタイプ(macOSまたはiOS)に応じて設定する必要があります：

• 接続タイプ: カスタムSSL

• 識別子：

  • macOSの場合:  com.catonetworks.mac.CatoClient 
  • iOSの場合:  CatoNetworks.CatoVPN 
• サーバー: vpn.catonetworks.net
• アカウント: アカウント名を追加します。 例: CatoNetworksAccount。
  • iOSクライアントv5.6以上のために: アカウントを"CatoClientVPN"に設定してください。

• プロバイダー識別子：

  • macOS: com.catonetworks.mac.CatoClient.CatoClientSysExtension
  • iOSの: CatoNetworks.CatoVPN.CatoVPNNEExtenstion 
• プロバイダー指定の要件: 空
• ユーザー認証: 証明書
• プロバイダータイプ: パケットトンネル
• 資格情報: ‘証明書’ペイロードから証明書を選択します。
• プロキシ設定: なし

VPNプロファイル構成の詳細については、macOSおよびiOSデバイスへのデバイス証明書の配布を参照してください。

macOS v5.4以上：

macOSクライアントv5.4から、証明書はMDM配布なしでデバイスに直接インストール可能です。 証明書と秘密鍵はKeychain Accessで見つけることができます。 

デバイス証明書はデバイス証明書の配布で説明されているようにmacOSデバイスに配布され、Microsoft Active Directoryを使用してWindows Enterprise CAを介して配布されることもあります。 参照: 構成マネージャーから独立してマックコンピューター用にクライアント証明書を作成して展開する方法

ユーザー証明書はKeychain Accessのログインセクションにあります：

• 証明書が「常に信頼」されるように設定されていることを確認してください。
• 秘密鍵のアクセス制御設定がCatoクライアントまたは「このアイテムへのアクセスをすべてのアプリケーションに許可」に設定されていることを確認してください。