OneLogin 証明書ローテーションについて

本記事では、米国One Identity社がセキュリティ向上と継続的な安全性の維持のため毎年実施しておりますOneLoginサービスプラットフォームの証明書ローテーションについて基本的な内容をご案内いたします。証明書の更新通知が来た時にも落ち着いてご対応いただけるよう、ご一読ください。

OneLoginの証明書ローテーションについて

OneLoginでは毎年サーバー証明書のローテーションを実施しております。そのため、各サービス向けのサーバー証明書ごとに定期的な更新メンテナンスが行われております。ただし、最新版のウェブブラウザでOneLoginをご利用いただく限りは管理者様やエンドユーザー様での対応は必要ございません。証明書更新に関する対応が必要となるサービスは限られております。

OneLoginが提供する一部のサービスをご利用のお客様においては、サーバー証明書の再配布や信頼設定の変更等が必要なケースもございます。例えば対象となるサービスは下記のものです。

年次の証明書更新で対応が必要となるOneLoginのサービス

• OneLogin Portal アプリ（iOS版/Android版）
• OneLogin Protect アプリ（iOS版/Android版）
• VLDAP
• RADIUS

年次の証明書更新が必要な理由と主な対応アクション

サーバー証明書のピニングをアプリケーション内でハードコーディングしているため、アプリケーションを最新版に更新していただく必要があります。それ以外の対応は不要です。

• OneLogin Portal アプリ（iOS版/Android版）
• OneLogin Protect アプリ（iOS版/Android版）

ウェブブラウザと異なり、個別にサーバー証明書やルート認証局の信頼設定が必要なため、ご利用いただくデバイス側で証明書信頼設定を更新していただく必要があります。

• VLDAP
• RADIUS

米国One Identity社からOneLogin管理者のみなさまにはメンテナンス日程が確定いたしますと、メールにてご案内が届くほか、管理コンソールへアクセスして頂いた際にポップアップ表示が出てまいります。ペンティオからも概ね告知後1週間以内にはお知らせ記事を掲載しておりますので、あわせて記事をご覧いただき、対応の必要性の確認をお願いいたします。

サーバー証明書の種類と更新時期

毎年実施しておりますサーバー証明書の更新時期を掲載いたします。なおサーバー証明書の有効期限とメンテナンス日程により毎年若干のずれがございます。あくまで目安としてご覧ください。

• サーバー証明書「*.onelogin.com」
  • 概ね毎年2-3月にご案内があり、3-4月に更新
  • ブラウザベースでのOneLoginのご利用に使用されるサーバー証明書です。最新のOS・ブラウザでは更新に伴う対応の必要はございません。ただし、「OneLogin Portal」および「OneLogin Protect」アプリについては同時期にリリースされる最新バージョンへの更新が必要です。
    
    
• サーバー証明書「*.us.onelogin.com (VLDAP用)」
  • 概ね毎年2-3月にご案内があり、3-4月に更新
  • VLDAPサービスにおいて使用されるサーバー証明書です。多くのLDAPクライアントではLDAPSプロトコルを利用する場合でもサーバー証明書の登録は不要ですが、Jamf PROやVMware vCenter、複合機などではサーバー証明書のアップロードが必要なケースがございます。
    
    
• サーバー証明書「*.us.onelogin.com (RADIUS用)」
  • 概ね毎年4-5月にご案内があり、5-6月に更新
  • RADIUSサービスにおいて使用されるサーバー証明書です。基本的にサーバー証明書の更新だけでは対応は必要ありません。ただし、トラストアンカーとなるルート認証局に変更があった場合には、無線LANなどの802.1X認証でRADIUSを利用しているお客様は、サプリカント上でのRADIUSサーバー検証用のルート認証局信頼設定を更新する必要があります。

トラストアンカーの変更について

サーバー証明書の更新とは異なり、トラストアンカーとなるルート認証局の変更は必ずしも毎年行われるものではございません。しかしながら、サーバー証明書を発行する中間認証局やトラストアンカーとなるルート認証局がその有効期限を迎える場合、暗号アルゴリズムや鍵長などセキュリティ上の理由により変更されるなど、米国One Identity社の方針だけではなくルート認証局を提供するDigiCert社の対応等により数年に1度は変更が発生し、一部のOneLoginサービスを利用するお客様では、対応が必要となるケースがございます。

例えば下記の通りです。

• RADIUS を無線LANなどの802.1X認証でご利用の場合
  • デバイスで信頼させた中間認証局・ルート認証局の証明書を変更する必要がございます
• VLDAPをご利用の場合
  • LDAPクライアントに中間認証局を登録しないと利用できない（LDAPサーバーがSSLハンドシェイク内で提示したものを利用できない）環境では変更する必要がございます

OneLogin 証明書ローテーション実績（2020年以降）

2020年

• 2020年5月 - 「*.onelogin.com」のサーバー証明書について、トラストアンカーをCOMODO社のCAからDigiCert社のCAへ変更（ルート認証局・中間認証局に変更あり）
• 2020年5月 - 「*.us.onelogin.com」のサーバー証明書について、クロスサイン証明書のクロスルート認証局「AddTrust External Root CA」が失効（もう一方のルートCA「COMODO RSA Certification Authority」は引き続き有効）
• 2020年7月 - 「*.us.onelogin.com」のサーバー証明書について、トラストアンカーをCOMODO社のCAからDigiCert社のCAへ変更（ルート認証局・中間認証局に変更あり）

2021年

• 2021年5月 - 「*.onelogin.com」「*.us.onelogin.com」のサーバー証明書について年次更新
  （中間認証局に変更あり）

2022年

• 2022年4月 - 「*.onelogin.com」「*.us.onelogin.com」のサーバー証明書について年次更新
  （中間認証局に更新あり）

2023年

• 2023年4月 - 「*.onelogin.com」「*.us.onelogin.com (VLDAP用)」サーバー証明書 年次更新
  （中間認証局に変更あり）
  • 2023年3月31日(金) - OneLogin 証明書ローテーションのお知らせ (2023年版)
  • 2023年3月31日(金) - VLDAPサーバー証明書更新のお知らせ (2023年版)
• 2023年6月 -「*.us.onelogin.com (RADIUS用)」のサーバー証明書について年次更新
  （中間認証局に変更あり）
  
  • 2023年5月31日(水) - RADIUS サーバー証明書更新のお知らせ (2023年版)

2024年

• 2024年3月 - 「*.onelogin.com」「*.us.onelogin.com (VLDAP用)」サーバー証明書 年次更新
  
  • 2024年3月8日(金) - VLDAPサーバー証明書更新のお知らせ (2024年版)
  • 2024年3月14日(木) - OneLogin 証明書ローテーションのお知らせ (2024年版)
• 2024年5月 - 「*.us.onelogin.com (RADIUS用)」のサーバー証明書について年次更新
  • 2024年5月21日(火) - RADIUS サーバー証明書更新のお知らせ (2024年版)

2025年

• 詳細日程は未定ですが下記見込みとなります
  • 2025年2月～3月に「*.onelogin.com」サーバー証明書の更新を予定
  • 2025年2月～3月に「*.us.onelogin.com (VLDAP用)」サーバー証明書の更新を予定
  • 2025年5月に「*.us.onelogin.com (RADIUS用)」サーバー証明書の更新を予定

＊過去のご案内の一部は非公開となっているためリンクが一部ございません

以上となります