本文へジャンプします。

【重要なお知らせ】サービス統合に基づくサービス名称の読み替えのお願い(2024年4月1日)

2024年4月1日をもって、「ニフクラ」は、「FJcloud-V」に統合し、名称を変更しました。
「ニフクラ」「NIFCLOUD」「nifcloud」は、「FJcloud-V」に読み替えていただきますようお願いいたします。

ニフクラ ユーザーガイド

クラウド トップ>ネットワーク>技術仕様/制限値>リモートアクセスVPNゲートウェイ>リモートアクセスVPNゲートウェイ:証明書

ニフクラ リモートアクセスVPNゲートウェイ:証明書

リモートアクセスVPNゲートウェイにはサーバー証明書および、クライアント証明書認証を有効にする場合にCA証明書の設定が必要です。

CA証明書

リモートアクセスVPNゲートウェイにCA証明書を設定することで、クライアント証明書認証が利用できます。
CA証明書で署名されたクライアント証明書を接続ユーザーが持ち、リモートアクセスVPNゲートウェイへの接続時にクライアント証明書認証を利用する事でより強固な認証を行う事ができます。
認証についての詳細な仕様はリモートアクセスVPNゲートウェイ:認証をご確認ください。

設定可能なCA証明書
  • 鍵長が「2048bit」もしくは「3072bit」であること
  • 鍵暗号の種類がRSAであること
  • Common Nameが設定されていること
有効期限切れ時の動作
  • CA証明書の有効期限が切れている場合、VPN接続ができなくなります。有効期限内のCA証明書をご利用ください。
注意事項
  • 他のCAからチェーンされているCA証明書はクライアント証明書認証に利用する事はできません。CA証明書はルート証明書をご利用ください。
  • クライアント証明書認証には、VPNクライアントにてリモートアクセスVPNゲートウェイで設定するCA証明書で署名したクライアント証明書を設定してください。
    • クライアント証明書には以下が設定されている必要があります。
      ・ X509v3 Key Usageに「Digital Signature」が設定されていること
      ・ X509v3 Extended Key Usageに「TLS WWW client authentication」が設定されていること
    • クライアント証明書の有効期限が切れている場合、VPN接続ができなくなります。有効期限内のクライアント証明書をご利用ください。

サーバー証明書

リモートアクセスVPNゲートウェイにサーバー証明書を設定し、クライアント端末の設定ファイルにサーバー証明書を署名したCA証明書を指定することで、リモートアクセスVPNゲートウェイへのクライアントアプリケーションの接続時にサーバー証明書の検証を行うことができます。

設定可能なサーバー証明書
  • 証明書・キー(秘密鍵) の鍵長が「2048bit」もしくは「3072bit」であること
  • CA(中間証明書)の鍵長が「2048bit」「3072bit」「4096bit」のいずれかであること
  • 鍵暗号の種類がRSAであること
  • Common Nameが設定されていること
  • X509v3 Key Usageに「Digital Signature, Key Encipherment」が設定されていること
  • X509v3 Extended Key Usageに「TLS WWW server authentication」が設定されていること
  • 秘密鍵にパスフレーズが設定されていないこと
有効期限切れ時の動作
  • サーバー証明書の有効期限が切れている場合、VPN接続ができなくなります。有効期限内のサーバー証明書をご利用ください。
注意事項
  • リモートアクセスVPNゲートウェイを作成する際に、サーバー証明書を指定してください。
    • サーバー証明書に中間CA証明書がある場合、サーバー証明書と中間CA証明書を同時にアップロードしてください。
  • サーバー証明書のx509v3 拡張属性に「TLS WWW server authentication」が設定されていない場合、VPN接続に失敗しますので必ず設定してください。
  • 公的なCAで署名されたサーバー証明書の場合、公的CAのルート証明書は一般公開されているため、第三者が公開されているルート証明書で接続を試行でき、サーバー証明書の認証機能として形骸化します。このため独自CAで署名されたサーバー証明書のご利用を推奨します。
  • VPNクライアントにてリモートアクセスVPNゲートウェイで設定するサーバー証明書を署名したCA証明書を設定してください。
    • リモートアクセスVPNゲートウェイに設定するサーバー証明書に中間CA証明書が含まれる場合でも、VPNクライアントにはルートCA証明書のみ設定してください。
  • サーバー証明書のCommon NameにFQDNを指定する場合、必要に応じてリモートアクセスVPNゲートウェイのグローバルIPアドレスに紐づくDNS設定をしてください。

証明書のアップロード方法

コントロールパネルからアップロードしてください。アップロード方法の詳細は以下をご確認ください。

クラウド操作方法ガイド(SSL証明書:サーバー証明書:アップロード)
クラウド操作方法ガイド(SSL証明書:CA証明書:アップロード)

注意事項
  • アップロード時に、以下をご確認ください。
    • -----BEGIN xxx-----で始まり、-----END xxx-----で終わっていること
    • 証明書や証明書署名要求、秘密鍵など異なる種類のBEGINENDが連結されていないこと
  • ※本ページ記載の金額は、すべて税抜表示です。
  • ※本ページ記載の他社製品名および会社名などは、各社の商標または登録商標です。
  • ※本ページの内容は、2024年4月19日時点の情報です。

推奨画面サイズ 1024×768 以上

ページの先頭へ