Device Trust：Yubikeyに証明書をインポートする［Windows］ – ペンティオヘルプセンター

この記事では、OneLoginのユーザー証明書をYubiKeyにインポートし、OneLoginでの証明書認証に利用する方法について紹介します。

設定を行うためのツールとしてYubico AuthenticatorとYubiKey Managerの2つの手順を記載しています。メーカー側のサポート状況や特性の違いは以下の通りです。

Yubico Authenticator	YubiKey Manager
最新バージョンにて証明書管理機能が統合された現在の標準ツールです。今後のアップデートやメーカーサポートの対象となるため、新規に設定を始める方はこちらをインストールしてください。	旧世代の管理ツールです。現在はサポートが終了しておりますが、すでにPCにインストール済みの環境でもそのまま設定が行えるよう、YubiKey Managerを使用した設定手順を本マニュアルの後半に掲載しております。

YubiKey Managerを既にお持ちの方は、後半の4. YubiKeyのPIN設定（YubiKey Manager編）からご確認ください。

前提条件

OneLoginのライセンスがStarter, Enterprise, UnlimitedまたはSSO, Advanced, Professional Pack（新料金体系）であること
OneLoginからユーザー証明書をダウンロード済みであること
証明書のパスワードを把握していること
YubiKeyのデバイスが以下のいずれかであること

1. YubiKeyのマネージャーツールのインストール

YubiKeyをPCに挿入し、Windows用のMinidriver ("YubiKey-Minidriver 5.0.4.273 – x64 Installer")を下記リンクよりダウンロードします
https://www.yubico.com/support/download/smart-card-drivers-tools/
ダウンロード後、インストーラーを実行し［Next］をクリックします
［Install］をクリックします
［Finish］をクリックします
プラグアンドプレイでインストールされた標準のドライバーが［YubiKey Smart Card Minidriver］に変更されていることを確認します
下記URLより、Windows用のYubico Authenticatorのインストーラーをダウンロードします https://www.yubico.com/products/yubico-authenticator/#h-download-yubico-authenticator
インストーラーを実行し、［Next］をクリックします
I accept the terms in the License Agreement にチェックを入れ、［Next］をクリックします
［Next］をクリックします
［Install］をクリックします
［Finish］をクリックします
Yubico Authenticatorのアプリケーションを起動できることを確認します

2. YubiKeyのPIN設定（Yubico Authenticator編）

本セクションでは、YubiKeyで証明書を利用する際に必要となるPINの設定手順をご紹介します

YubiKeyをPCに挿入し、Yubico Authenticatorを開きます
［証明書］をクリックします
［PINを変更］を選択します
新しいPIN、PINを確認 を入力し、［保存］をクリックします
PINのデフォルト値: 123456
PIN、PUKは6文字以上、8文字以下の制限があります。

使用できる文字は以下の通りです。
- 英語の大文字（AからZ）
- 英語の小文字（aからz）
- 数字（0〜9）
- 英数字以外の文字（例：！、$、＃、％)
PUKはPINをリセットする際に使用されるコードで、設定は任意です。

Management Keyは証明書のインポートなどの操作をする際に必要な暗号鍵ですが、特別な設定をしない限りPINと紐づけられているので、各種操作で求められることは基本的にありません。

3. YubiKeyへの証明書インポート（Yubico Authenticator編）

YubiKeyをPCに挿入し、Yubico Authenticatorを開き、証明書 > ［認証］を選択します
［ファイルをインポート］を選択します
PIN を入力し、［ロック解除］をクリックします
OneLoginからダウンロードしたユーザー証明書を選択します
選択が完了したら［開く］をクリックします
OneLoginから証明書をダウンロードする際に設定した 証明書のパスワードを入力します
*自社のIT管理者からクライアント証明書を受け取った場合は管理者にお問い合わせください
［ロックを解除］をクリックします
［インポート］をクリックします
証明書が登録されていることを確認し、6. 動作確認にて実際にログインできるか検証します

4. YubiKeyのPIN設定（YubiKey Manager編）

本セクションでは、YubiKeyで証明書を利用する際に必要となるPINの設定手順をご紹介します

YubiKeyをPCに挿入し、YubiKey Managerを開きます
Applications > ［PIV］を選択します
［Configure PINs］を選択します
［Change PIN］を選択します
任意のPINを入力し、［Change PIN］をクリックします
PINのデフォルト値: 123456
PIN、PUKは6文字以上、8文字以下の制限があります。

使用できる文字は以下の通りです。
- 英語の大文字（AからZ）
- 英語の小文字（aからz）
- 数字（0〜9）
- 英数字以外の文字（例：！、$、＃、％)
PUKはPINをリセットする際に使用されるコードで、設定は任意です。

Management Keyは証明書のインポートなどの操作をする際に必要な暗号鍵ですが、特別な設定をしない限りPINと紐づけられているので、各種操作で求められることは基本的にありません。

5. YubiKeyへの証明書インポート（YubiKey Manager編）

YubiKeyをPCに挿入し、YubiKey Managerを開きます
Applications > ［PIV］を選択します
［Configure Certificates］をクリックします
［Authentication］をクリックし、［Import］を選択します
OneLoginからダウンロードしたユーザー証明書を選択して［Import］をクリックします
OneLoginから証明書をダウンロードする際に設定した 証明書のパスワード を入力し、
［OK］をクリックします
*自社のIT管理者からクライアント証明書を受け取った場合は管理者にお問い合わせください
PIN を入力し、［OK］をクリックします

6. 動作確認

YubiKeyをPCに挿入した状態でOneLoginにアクセスし、ユーザー名とパスワードを入力して［続行する］をクリックします
ユーザー証明書（ブラウザ証明書）の選択画面が表示されるので、YubiKeyにインポートした証明書を確認して［OK］をクリックします
*PCに直接インポートしているブラウザ証明書がある場合、YubiKey内の証明書と間違えて選択しないように注意してください
PIN を入力し、［OK］をクリックします
USBポートにYubiKeyが差し込まれていることを確認し、YubiKeyのボタンをクリックします
以下のような画面になれば完了です

7. 証明書の入れ替え（Yubico Authenticator編）

証明書の期限切れなどの理由で、YubiKeyにインポートして使用する証明書を入れ替える場合の手順を説明します

*新しい証明書を発行した場合、既存の証明書は自動的に無効となります

YubiKeyをPCに挿入し、Yubico Authenticatorを開き、証明書 > ［認証］を選択します
［証明書を削除］を選択します
PIN を入力し、［ロックを解除］を選択します
［削除］をクリックします
「証明書のない鍵を読み込みました」と表示されていたら過去の証明書の削除は完了です
証明書の削除が完了したら、新しい証明書を 3. YubiKeyへの証明書インポート（Yubico Authenticator編）と同様の手順でインポートし、入れ替えます