【対応期限:2021/08/16】重要/要対応: 証明書認証「Device Trust」旧認証局完全廃止に伴う証明書更新のお願い


ヘルプセンターHelpCenter

フォローする

OneLoginサービスプラットフォームにおける証明書ローテーション

onelogin-service-certs.png

本記事では、OneLoginがセキュリティ向上の一貫として実施しておりますサービスプラットフォームにおける証明書ローテーションについて、ペンティオが把握しております知見をみなさまにご共有させて頂きます。

お客様においてなにかしら対応が必要な時期に近づきますと、米国OneLoginからOneLogin管理者のみなさまにはメールにてご案内が届くほか、管理コンソールへアクセスして頂いた際にポップアップ表示が出てまいります。またペンティオから追ってお知らせ記事を掲載しております。

こちらはあくまでご参考までお読みいただくことを想定しております。

 

# OneLoginの証明書ローテーションについて

OneLoginではセキュリティ維持と向上のために年次でOneLoginプラットフォームの証明書ローテーションを実施しております。そのため概ね各サービスごとに下記シーズンに証明書更新アクションが行われております。通常エンドユーザー様に影響があるものはリッチクライアントアプリケーションである「OneLogin Protect」または「OneLogin Portal」の2つでございますが、一部機能をご利用のお客様においては管理者様において証明書の再配布や信頼設定のご変更等が必要なケースもございます。

 

# サーバー証明書の年次更新

ご参考まで、OneLoginが年次で実施しておりますサーバー証明書の更新時期を掲載いたします

  • サーバー証明書「*.onelogin.com」の更新
    • 概ね4月にご案内があり、5月のゴールデンウィーク時期に更新
    • 最新OS・ブラウザでは対応は必要なく、「OneLogin Portal」および「OneLogin Protect」アプリの更新が必要となります
  • サーバー証明書「*.us.onelogin.com」の更新
    • 概ね5月にご案内があり、6月中旬頃に更新
    • vLDAPやRADIUSサービスにおいて使用されるサーバー証明書ですが、通常これらの仕組みではサーバー証明書を発行した中間認証局、ルート認証局を信頼するよう設定されていればサーバー証明書の更新で対応が必要になることはありません(サーバー証明書を登録する必要がある仕組みのお客様のみ対応が必要です)
    • 当然ながらvLDAP・RADIUSを利用しないお客様やRADIUSをご利用でもPAP(※EAP-TTLS/PAPではありません)をお使いのお客様はサーバー証明書の検証は不要ですので、まったく影響はございません

※ あくまで実績に基づいたご案内となりますので、様々な理由により上記時期や内容と異なる形で実施およびご案内が行われることもございますので予めご了承ください

 

# 中間認証局の更新について

原則としてサーバー証明書の更新は上述のとおり、スマートフォン向けにOneLoginが提供するアプリケーション以外では、多くの場合管理者様やエンドユーザー様での更新対応は必要ございません。ただし、サーバー証明書を発行する中間認証局が有効期限を迎える、セキュリティ上の理由により更新される場合に一部対応が必要となるケースがございます。

例:

  • RADIUS を無線LAN認証などの802.1Xでご利用の場合で、Apple OS/Windows 10 などに無線LAN接続プロファイルとして中間認証局・ルート認証局の証明書を信頼済み認証局として配布しているケース
  • vLDAP をLDAPクライアントでご利用の場合で、中間認証局をLDAPサーバーがSSLハンドシェイク内で提示したものを利用できない特殊な環境であるケース

 

# OneLogin 証明書ローテーション実績(2020年以降)

  • 2020年5月 - 「*.onelogin.com」のサーバー証明書について、トラストアンカーをCOMODO社のCAからDigiCert社のCAへ変更(ルート認証局・中間認証局に変更あり)
  • 2020年5月 - 「*.us.onelogin.com」のサーバー証明書について、クロスサイン証明書のクロスルート認証局「AddTrust External Root CA」が失効(もう一方のルートCA「COMODO RSA Certification Authority」は引き続き有効)
  • 2020年7月 - 「*.us.onelogin.com」のサーバー証明書について、トラストアンカーをCOMODO社のCAからDigiCert社のCAへ変更(ルート認証局・中間認証局に変更あり)
  • 2021年5月 - 「*.onelogin.com」のサーバー証明書について年次更新(中間認証局に変更あり)

 

# ペンティオからのお知らせ実績

概ねお客様へのご案内が必要なサーバー証明書更新や中間認証局変更等は2020年以降発生しており、ペンティオでも2020年からご案内を開始しております。過去類似のケースにおいてお知らせを掲載いたしました記事について、ご参考までリンクを掲載いたします。

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています

コメント