グローバルサインのAEG(Auto Enrollment Gateway) は、クライアント環境に電子証明書の自動インストールを可能にするサービスで、多様化した組織内のシステム環境において、運用コストを下げることができるソリューションです。
グローバルサインのSaaS型認証局(電子証明書ベンダー)とActive Directoryの連携を行えるため、Windows環境を導入している企業であれば、電子証明書のプロビジョニング※と管理を自動化することができます。
※プロビジョニングとは、支給や供給などを意味するProvisionが元となってできた造語で、ユーザから要求があった場合などに備えてネットワークやコンピュータなどのリソースを確保、準備しておくことを意味します。
AEGは、Windows Server 2008 R2・2012 R2および2016にインストールすることができ、Active Directory以外にもSCEPおよびACMEプロトコル、Mac OS Xへの登録機能のオプションなど、 独自の機能を備えております。
直感的に操作できるユーザーインターフェースと、ドメイン追加されていないデバイスへの証明書発行機能により、組織内の証明書関連業務の一元管理と自動化およびコントロールが容易に行えます。
ユーザのクライアント環境へ証明書のインストールを自動で行い、システム管理者の人的リソース削減、証明書の有効期限切れ、それに伴うトラブルのリスクを軽減します。
認証局の運用をグローバルサインのパブリック認証局に外部委託することで、自社運営でプライベート認証局を運営するのと比較して担当者の負担を軽減し、他の作業へリソースを割くことができます。
WindowsおよびMac OS X環境のエンドポイント、Linuxサーバ、モバイル機器、ネットワーク機器における証明書の発行・管理に対応しています。
事前に用意された各種の証明書テンプレートは、メールへのS/MIME電子署名、スマートカードログオン、Microsoft Office文書向けのデジタル署名、SSL通信、暗号化ファイルシステム(EFS)、ユーザ認証、機器認証に対応しています。
Linuxサーバ、モバイル機器、ネットワーク機器へのプロビジョニングを自動化します。
また、他社のモバイルデバイス管理(MDM)との連携も可能です。
利用用途やお客様のご希望に応じて、グローバルサインのパブリックルート、またはグローバルサインからお客様に提供するホスト型の専用プライベートルートが選択可能です。
Active Directoryとの統合やSCEPプロトコル・ACMEプロトコルへの対応により、コントロール性能を保持したまま、スピーディかつシームレスに証明書の登録やプロビジョニングが行えます。
証明書を発行する元となる認証局は、パブリックな信頼性が必要となるセキュリティアプリケーションの場合はパブリック認証局、パブリックな信頼性を必要としない場合は、グローバルサインがホストする専用のプライベート発行局のどちらか、用途に合わせて選択可能です。
どちらの場合も、グローバルサインによる可用性の高い、世界トップレベルのセキュアなインフラストラクチャに支えられています。
※対応している証明書テンプレートは別途、お問い合わせください。
「ディレクトリサービス」というネットワークサービスを、Microsoft Windows 2000 Server以降のバージョンに実装したものです。
Active Directoryはユーザやネットワーク上のリソースとその属性を記憶し、システムリソースの管理を一括化して検索できるシステム上の「電話帳・住所録・案内板」のような機能です。
Active Directoryで管理できるように、管理者は資源情報をActive Directoryデータベースに登録しておく必要があります。
※リソースとは、サーバ・サービス・プリンタなどの利用可能な機器、ネットワークを利用するユーザや組織に関する情報などを指します。
Active Directoryで複数のドメイン(グループ)を作り、階層構造に連ねた管理単位をドメインツリーといいます。
同じドメインツリーに属するドメインであれば、ドメインが別々であっても、お互いのリソースを共有利用できます。また、同一組織内であっても、別のドメインツリーを構築すれば、階層を分けることができます。
認証局の役割の1つは電子証明書を発行することです。たとえば、メールの暗号化などに使われるクライアント証明書の発行の場合、登記事項証明書や印鑑登録証明書を用いて申請元の企業が実在しているかを確認したりします。
2つ目の役割は、失効の依頼を受けた電子証明書や秘密鍵の危殆化の可能性のある証明書を失効させることです。
認証局には、パブリック認証局とプライベート認証局という2種類の形があります。
パブリック認証局が発行する電子証明書のルート証明書は、一般的なウェブブラウザやメールソフトにあらかじめ組み込まれており、ルート証明書の配布やインストールが不要なため、取引先など外部とのやり取りに電子証明書を利用す場合に煩雑な設定が必要なく便利です。
プライベート認証局は、事業会社などが独自の運用基準を設けて設立したものです。ルート証明書の配布や設定などに手間が掛かりますが、運用規程を自由に設定できるため、社内だけなど限られたネットワークで電子証明書を利用する場合は、プライベート認証局を設立し電子証明書を発行する方が便利です。
Active Directoryでは、「ドメイン」単位で管理範囲を定義します。
1つのドメインを作成すれば、その組織(グループ)内にあるマシン・グループ・ユーザ・サービスなどを集中管理することができます。
※Active Directoryにおいてのドメインとは、ウェブサイトのドメインとは異なります。
Windowsネットワークにおいて、ログオン認証を行うためのアカウントまたはドメイン情報を一括管理するサーバのことです。ドメインコントローラはドメインを制御管理するためのコアシステムで、最も重要な役割は、システムリソースが登録されたデータベースの維持・保持とユーザ認証です。
※ユーザ認証とは、ユーザがあるサービス(PCやマシンなど)をログオンする際に、そのユーザが登録された本人であるかどうかを認証する処理です。
Active Directory構造におけるグループ化の最も大きな管理単位をフォレストといいます。
ドメインツリー同士が信頼関係を結んだら、分けたドメインツリーを同じ組織として管理できます。このような状態を「フォレスト」といいます。
異なるドメインでリソースを管理していても、同じフォレストにあるドメインツリーは、システムリソースも開放になり、相互アクセスすることができます。これをドメイン間に推移的で双方向な信頼関係が自動的に結ばれるといい、Active Directoryは大規模な組織にも対応できますので、優れた拡張性を持っています。
フォレストにあるドメイン間には、推移信頼関係が結ばれます。推移とはGlobalSign.localとGs.localが信頼関係を結び、Gs.localとJp.Gs.localが信頼関係を結んでいると、自動的にJp.Gs.localとGlobalsign.localも信頼関係が結ばれることです。
証明書の管理・発行・失効などの手続きに使われるメッセージを定めたドキュメントです。
Certificate Management Messages over CMS
暗号メッセージ構文は暗号化保護メッセージに関するIETFの標準規格です。任意形式のデジタルデータに対してデジタル署名、メッセージ認証、メッセージダイジェストもしくは暗号化を行うために使います。
Cryptographic Message Syntax (CMS)
資料請求・お問い合わせはこちら
