当社に Chromebook についてお問い合わせいただくお客様のうち、特に導入数が 100 AC を超える場合にかなりの割合でいただくのが、「デバイス証明書の登録ってどうすればいいの?」というご質問です。
本稿では、既に端末証明書認証をMacやWindows端末、その他スマートフォンなどに利用されている方を対象に、Chrome OS™ 対応の端末認証サービス『 サイバートラスト デバイス ID 』を用いた Chromebook への端末登録について検証してみました。
サイバートラスト デバイスID の超概要
では、検証に入る前に、今回利用した Chrome OS に対応する『 サイバートラスト デバイスID 』について、少しだけ説明をいたします。
「サイバートラスト デバイス ID」 は、厳格な端末認証として、管理者が指定した端末にのみデバイス証明書を登録し、かつ一度登録されたデバイス証明書の複製や取り出しができない仕組みを実現したデバイス証明書管理サービスです。
出典:サイバートラスト株式会社_端末認証サービス「サイバートラスト デバイス ID」が Google Chromebook に対応し、よりセキュアな利用環境を実現
2020年8月にリリースされたオプション: TPM for Chromebook と Chrome 端末管理ライセンス( Chrome Enterprise Upgrade )を利用することで、 Google Workspace(旧 G Suite)や Microsoft365 などのクラウドサービスを Chromebook から利用する際の、厳格な認証と管理者の負荷を低減したスムーズな展開を実現します。
その他の認証方式にどのようなものがあるか、『 サイバートラスト デバイス ID 』についてもう少し詳しく知りたい・・・という方は、“デバイス証明書が Chromebook™ でのテレワークをさらにセキュアに”をぜひご一読ください。
サイバートラスト デバイスID を Chromebook に登録してみた
# 初回設定_管理者編
デバイス認証と『 サイバートラスト デバイスID 』の概要を理解いただけたところで、さっそく登録してみたいと思います。まずは、初回のみの設定から行っていきます。
まずは、オペレーター証明書を Chromebook 端末に登録!
デバイス証明書を取得するためには、まず、証明書を発行する資格をもつ、RA オペレータ用証明書を端末に登録する必要があります。この証明書が登録された端末からでないと、証明書取得画面にアクセスすることができません。セキュアですね!
なお、今回はオペレーター用端末も Chromebook 、ユーザー端末も Chromebook での検証になります。(オペレーター用端末が Windows や Mac の場合は、それぞれに手順が異なりますので、気になった方はお気軽にお問い合わせください。)
それでは、早速登録作業を開始してみましょう!
まずは、サイバートラスト社のサポートからメールで案内されたサービスサイトのURLにアクセスし、《RA オペレータ証明書取得ページ》へ。
メール(画像では郵送と記述)で送られてくるPIN情報(リクエストID・リファレンスID)と任意のパスワードを入力。「Submit」ボタンをクリックし、《PKCS#12》ファイルをダウンロード。
Chromeブラウザを起動して、右上の「︙(メニュー) 」をクリックし、「設定」を選択。
《プライバシーとセキュリティ》より「セキュリティ」を選択。
「証明書の管理」を選択。
証明書の管理画面が表示されるので、「インポートしてバインド」をクリック。
Downloadフォルダに保存した《 PKCS#12》ファイルを選択し、指定したパスワードを入力。
正常にオペレーター証明書のインストールが完了。
証明書の横の「︙(メニュー) 」をクリックし、「表示」を選択すると、証明書の詳細を確認できる。
Google 管理コンソールでの設定_ルート認証局証明書登録
さらに、Google 管理コンソールにルート認証局証明書を登録しておく必要があります。
サイバートラスト デバイスID のサービスサイトから《RA オペレータ画面》にアクセスし、左のメニュー《オンライン・ヘルプ》から「申請データサンプルルート認証局証明書」へ。第三世代認証局(画像内上段)の「PEM形式」をクリックし、《g3_pem.crt》をダウンロード。
次に、Google 管理コンソールでの作業に移ります。
管理コンソールのメニューから、「デバイス」を選択。
左側のメニューから、「ネットワーク」を選択。
《証明書》内の「証明書を作成」をクリック。
「名前」は任意で入力可能だが、空白にすると自動的に《Cybertrust DeviceiD Public CA G3》と命名される。 「アップロード」をクリック。
事前にダウンロードしておいたPEM形式のルート認証局証明書を選択。
アップロード後、証明書の情報が表示される。
認証局から「Chromebook 」にチェックを入れ「追加」をクリック。
追加が完了すると、名前を空欄にしていた場合は《Cybertrust DeviceiD Public CA G3》と表示される。
Google 管理コンソールでの設定_アプリ登録
続いて、Google 管理コンソールから『 Chrome Enterprise Upgrade ( Chrome 管理ライセンス )』の設定を行います。Chrome 管理者はGoogle 管理コンソールにて、拡張機能の『 Cybertrust DeviceiD Importer 』の登録を行う必要があります。
管理コンソールのメニューから、「デバイス」を選択。
「 Chrome 」 > 「 アプリと拡張機能 」 > 「 ユーザーとブラウザ 」 を順番に選択。
右下の「 + 」をマウスオーバーし、 上から2番目のアイコン「 Chrome アプリや拡張機能を ID で追加 」をクリック。
マニュアルに記載の《 拡張機能ID 》をコピー&ペーストして保存。
『 Cybertrust DeviceiD Importer 』の追加後、「 インストールを許可する 」を「 自動インストールして固定する 」に変更。画面右側の下方の「 拡張機能のポリシー 」にサポートメール内で提示された値を指定して保存。
サイバートラスト デバイスID を Chromebook に登録してみた
# 証明書申請編
ユーザー端末向けの証明書を申請する!
ユーザー端末の証明書を取得する準備が整ったので、いよいよユーザー端末の証明書を取得してみます。まずは、申請データのサンプルを取得しましょう。
サービスサイトから《 RA オペレータ画面 》にアクセスし《オンライン・ヘルプ 》>「申請データサンプル」へ。申請するために必要なサンプル(テンプレート)ファイルがダウンロードできる。
同画面を下にスクロールする。Chromebook に関係のある申請データサンプルは、「 Chromebook の事前申請 」、「 Chromebook の認証情報の無効化 」、「 一括失効 」の3つ。「ヘッダファイル」、「データファイル」の上で右クリックし、名前を変更せずに保存。
Chromebook の事前申請ヘッダファイルのサンプル。変更可能な項目は、Labelのみ(ASCII 文字列、50 文字以内)。申請データのラベル (説明)について、申請日や申請内容などが自由記述できる
Chromebook の事前申請データファイルのサンプル。
各データ項目には、以下の値を指定。
| データ項目 | 説明 | 必須項目 |
| dname/cn |
証明書に記載されるコモンネーム(CommonName)。
|
✔ |
| dname/ou | 証明書に記載される組織単位名。 | ー |
| DNSName | 証明書に記載される DNSName。 | ー |
| authID | Chromebook のシリアル番号を指定。 | ✔ |
| ctrlData/loginpass/string | 固定文字列「cybertrust」を指定。 | ✔ |
ダウンロードしたサンプルから、textエディタなどを利用して証明書の申請を行うためのヘッダファイルとデータファイルを作成します。保存する際に、名前や拡張子を変更しないように注意しましょう。また、ヘッダファイルについては、編集可能な箇所が「Label=」以下のみとなります。他を変更してしまうとエラーになるので、お気をつけください。
ファイルが用意できたら、証明書の申請を行います。
左のメニューから《証明書の発行申請》より「証明書の一括発行申請」を選択。
先程作成したヘッダファイルを選択し、「 Submit 」ボタンをクリック。
先程作成したデータファイルを選択し、「 Submit 」ボタンをクリック。
これで、端末証明書の準備ができました。
サイバートラスト デバイスID を Chromebook に登録してみた
# 端末設定編
ここまで準備が整えば、あとは端末に証明証を登録するだけです。デバイス ID 証明書のインストールには、拡張機能の「 Cybertrust DeviceiD Importer 」を利用しますが、 Google 管理コンソール経由でインストールされるため、ユーザーや端末のキッティング担当者が個別にこのアプリをインストール必要はありません。
いよいよ、Chromebook 端末にデバイス証明書を登録する!
準備が整いましたので、端末にデバイス証明書を登録してみましょう。
なお、本登録にあたっては、Google Chrome Enterprise のライセンスを該当端末に予め紐付けしておく必要があります。
Chrome ブラウザを立ち上げ、画面右上の《 拡張機能 》のアイコンから「 Cybertrust DeviceiD Importer 」をクリック
証明書を取得するための画面が新しいタブで追加されるので、「証明書を取得する」ボタンをクリック
処理状況が満杯になり、「ウインドウを閉じる」のボタンが表示されるとインストールが完了。正常にインストールされたか、エラーが出ていないかなどは、「ログを表示」から、確認できる。
正常にインストールされたか確認してみる!
右上の「︙(メニュー) 」をクリックし、「設定」を選択。
左側のメニュー《プライバシーとセキュリティ》より、「セキュリティ」をクリック
画面を下にスクロールし、「証明書の管理」をクリック。
ユーザーの証明書内に、証明書がインストールされていることを確認。
[RELATED_POSTS]
まとめ
初回のみの設定も併せてお伝えしたのでページが長くなってしまいましたが、証明書の発行・配布・登録だけであれば、実際には、とても簡単に完了することができました。1台ずつに必要となる作業は、♯端末設定編のみとなります。
UPN(User Principal Name) による AD 連携オプションもありますので、現在、Windows端末やMacでデバイス証明書をご利用中の企業さまも、安心して Chromebook をご検討いただけるのではないでしょうか。
簡単な検証ではございましたが、Chromebook へのデバイス証明書の手順にについて公開させていただきました。価格など、何か気になることがございましたら、お気軽にお問い合わせくださいませ。
