本記事では、OneLoginがセキュリティ向上の一貫として実施しておりますサービスプラットフォームにおける証明書ローテーションについて、ペンティオが把握しております知見をみなさまにご共有させて頂きます。
お客様においてなにかしら対応が必要な時期に近づきますと、米国OneLoginからOneLogin管理者のみなさまにはメールにてご案内が届くほか、管理コンソールへアクセスして頂いた際にポップアップ表示が出てまいります。またペンティオから追ってお知らせ記事を掲載しております。
こちらはあくまでご参考までお読みいただくことを想定しております。
# OneLoginの証明書ローテーションについて
OneLoginではセキュリティ維持と向上のために年次でOneLoginプラットフォームの証明書ローテーションを実施しております。そのため概ね各サービスごとに下記シーズンに証明書更新アクションが行われております。通常エンドユーザー様に影響があるものはリッチクライアントアプリケーションである「OneLogin Protect」または「OneLogin Portal」の2つでございますが、一部機能をご利用のお客様においては管理者様において証明書の再配布や信頼設定のご変更等が必要なケースもございます。
# サーバー証明書の年次更新
ご参考まで、OneLoginが年次で実施しておりますサーバー証明書の更新時期を掲載いたします
- サーバー証明書「*.onelogin.com」の更新
- 概ね毎年3月にご案内があり、4月中旬頃に更新
- ブラウザベースでのOneLoginのご利用に使用されるサーバー証明書です。最新のOS・ブラウザでは更新に伴う対応の必要はございません。ただし、「OneLogin Portal」および「OneLogin Protect」アプリについては同時期にリリースされる最新バージョンへの更新が必要です。
- サーバー証明書「*.us.onelogin.com」の更新
- 概ね毎年3月にご案内があり、4月中旬頃に更新
- VLDAPやRADIUSサービスにおいて使用されるサーバー証明書です。LDAPサーバー・RADIUSサーバーの検証を行う各クライアントでサーバー証明書の指定が必要な場合には更新が必要となりますが、多くのクライアントではサーバー証明書の登録は不要です。(Jamf PROやVMware vCenter、複合機などではサーバー証明書のアップロードが必要なケースがございます)
*あくまで上記情報は過去の実績に基づいたご案内となります。様々な理由により上記時期や内容と異なる形で実施およびご案内が行われることもございますのでご参考程度に御覧ください。
# 中間認証局の更新について
原則としてサーバー証明書の更新は上述のとおり、スマートフォン向けにOneLoginが提供するアプリケーション以外では、多くの場合管理者様やエンドユーザー様での更新対応は必要ございません。ただし、サーバー証明書を発行する中間認証局が有効期限を迎える、セキュリティ上の理由により更新される場合に一部対応が必要となるケースがございます。
例:
- RADIUS を無線LAN認証などの802.1Xでご利用の場合で、Apple OS/Windows 10 などに無線LAN接続プロファイルとして中間認証局・ルート認証局の証明書を信頼済み認証局として配布しているケース
- VLDAP をLDAPクライアントでご利用の場合で、中間認証局をLDAPサーバーがSSLハンドシェイク内で提示したものを利用できない特殊な環境であるケース
# OneLogin 証明書ローテーション実績(2020年以降)
- 2020年5月 - 「*.onelogin.com」のサーバー証明書について、トラストアンカーをCOMODO社のCAからDigiCert社のCAへ変更(ルート認証局・中間認証局に変更あり)
- 2020年5月 - 「*.us.onelogin.com」のサーバー証明書について、クロスサイン証明書のクロスルート認証局「AddTrust External Root CA」が失効(もう一方のルートCA「COMODO RSA Certification Authority」は引き続き有効)
- 2020年7月 - 「*.us.onelogin.com」のサーバー証明書について、トラストアンカーをCOMODO社のCAからDigiCert社のCAへ変更(ルート認証局・中間認証局に変更あり)
- 2021年5月 - 「*.onelogin.com」「*.us.onelogin.com」のサーバー証明書について年次更新
(中間認証局に変更あり) - 2022年4月 - 「*.onelogin.com」「*.us.onelogin.com」のサーバー証明書について年次更新
(中間認証局に更新あり) - 2023年4月 - 「*.onelogin.com」「*.us.onelogin.com」のサーバー証明書について年次更新
(中間認証局に更新あり)
# ペンティオからのお知らせ実績
概ねお客様へのご案内が必要なサーバー証明書更新や中間認証局変更等は2020年以降発生しており、ペンティオでも2020年からご案内を開始しております。過去類似のケースにおいてお知らせを掲載いたしました記事について、ご参考までリンクを掲載いたします。