日本語フォーラム

PCの証明書認証用にクライアント証明書をClearPassで発行することを検討しております。

プロビジョニング設定により、WEB画面からユーザの申請制を予定しておりますが、証明書の発行を管理者の承認制にすることは可能でしょうか。

ソースについてはAD連携を想定しています。

またAD連携時に、ADをソースにした証明書を管理・失効することは可能でしょうか。

Sponsor型のOnboard機能は実現可能です。

かなりざっくりですが、以下のような流れになります。

Onboard画面の例はこちらにあるのでご確認下さい。

1. 端末がOnboard用のSSIDに接続
2. Captive PortalでClearPassのOnboard画面にアクセス
3. Onboard画面でユーザID、Passwordに加え、SponsorのEmailアドレスを入力（ログインは完了しない）
4. Sponsorにメールが自動送信され、メール内のリンク（ClearPass）にアクセスして承認
5. ユーザがログインできる状態になりログイン→Onboardプロセスを進める
6. Onboardが完了（クライアント証明書がインストールされる

AD連携時は、ADのユーザ情報を元にClearPassで証明書を発行します。

証明書自体はClearPassが管理するため、ClearPassで管理・失効することが可能です。