質問

Advanced Search

Alert ID : INFO2530

Last Modified : 04/09/2024

Share Via Email

[CertCentral]二要素認証設定について

Description

 

2023年 8月15日午前0時(日本時間)よりCertCentralのログインについて二要素認証を必須となりました。
二要素認証未設定の場合、ログインするとワンタイムパスワード(以下、OTP)の設定画面が表示されます。

なお二要素認証には以下の2通りの認証タイプがありいずれかを設定する必要があります。
ワンタイムパスワード(OTP):更にOTP認証には2つのタイプを選択できます。
  1. OTPデバイス認証(App/device)
    スマートフォン等にインストールされたOTPアプリケーションに登録し、表示されるパスワードでログインします。
  2. OTPメール認証(Email)*2023/12/7追加されました
     ユーザー登録のメールアドレスに送られるパスワードでログインをします。
クライアント証明書:ログイン時にクライアント証明書による認証を行います。

 

OTPデバイス認証設定(初回ログインおよびOTPデバイスリセット後)

  1. CertCentralにサインインします。
  2. OTP初期化画面が表示されます。
    ※OTPデバイス認証⇔OTPメール認証の切り替えは「ワンタイムパスワード認証方法を変更」を選択します。

  3. ステップ①:Google Authenticator,Authy, Microsoft  Authenticator, Duo Mobile等のOTPアプリケーションをスマートフォン等のデバイスにインストールします。

    【注意点】

    • 「優先するOTPアプリを選択します」は選択必須ではありません。
      ここで選択するとモバイル端末用のアプリケーションの
      ダウンロードリンクが表示されますが、必ずしもここから
      ダウンロードしていただく必要はございません。
    • スマートフォン等のデバイス以外にもPCブラウザで利用できる
      OTPに対応するAuthenticatorを拡張機能で利用されている
      事例もございます。
    • OTP認証での利用が難しい場合はOTPメール認証または
      クライアント証明書認証に変更してください。
    • インストール手順等は各アプリケーションベンダーに
      ご確認ください。

  4. ステップ②:①で用意したOTPアプリケーションを開き、QRコードのスキャンまたはキーを入力し登録します。

    【注意点】

    • 利用環境によりQRコードの表示ができない場合がございますので、
      キーにて登録を行ってください。
    • 登録方法は各アプリケーション毎に異なりますが、
      「+」ボタンからスキャンまたはコード入力を行う操作が一般的です。
    • iphoneのカメラで読み込まれた場合はこちらの手順をご参照ください。

  5. ステップ③:②で登録したOTPアプリケーションに表示されているワンタイムパスワードを入力し、[Verify]ボタンをクリックしてログインします。

    【注意点】

    • 初期設定が完了しましたら、次回以降のログインでは
      登録したOTPアプリケーションに表示されるパスワードの
      入力が求められます。

    • 登録されたOTPアプリケーションの設定を削除してしまうと
      ログインできずOTPデバイスのリセットが必要となりますので
      ご注意ください。

OTPメール認証

  1. CertCentralにサインインします。
  2. OTPメール認証画面が表示されたら3に進みます。
    ※OTPデバイス認証画面が表示される場合は認証タイプの切り替えが必要です。
    「ワンタイムパスワード認証方法を変更」をクリックし次の画面の「xxxx@xxx.comにEメール認証」の[選択する]ボタンをクリックします。

    例:OTPメール認証画面
    		 例:OTPデバイス初期化画面

  3. ログインユーザーの登録のメールアドレス宛にメールが送信されますので、メール本文に記載された認証コードを確認します。

    【注意】
    • メールの詳細は以下の通りです。
      From:admin@digicert.com
      件名:「CertCentral にログインするための認証用ワンタイムパスワード」

  4. ワンタイムパスワードを入力して[送信する]ボタンをクリックします。

    【注意】

    • [送信する]ボタンを押下後にエラー「無効なコードが入力されました。もう一度やり直してください。」が発生する場合は、操作中に認証コードが期限切れになっている可能性がございますので、[Eメールの再送信]メニューをクリックし新しいコードの再送信を行ってください。
    • ワンタイムパスワードの有効期限は5分間ですが、ログインタイミングによっては5分より短い期間で失効されることがございます。その場合は上記のとおりの再送信をお試しください。

認証タイプを変更する(OTP認証⇔クライアント証明書認証)

OTP認証がデフォルトの認証タイプとして設定されていますが、OTP認証の設定ができない場合はクライアント証明書での認証タイプに変更することができます。

  • ご利用のアカウントにログインが可能なAdministrator権限のユーザーがいない場合は下記要領でサポートまでご連絡ください。
    送信先:server_info_jp@digicert.com
    件名:クライアント証明書認証に変更依頼 または OTP認証に変更依頼
    本文:※ユーザー登録されているメールアドレスを記入ください。(同一メールアドレスで複数ユーザーをお持ちの方はユーザ名を併記ください)

    ※ユーザーが特定できましたら、登録メールアドレス宛にご本人様確認のメールを送信しますので、ご返信をもって変更させていただきます。

  • ご利用のアカウントにログインが可能なAdministrator権限のユーザーがいる場合はCertCentralで設定を変更できます。
    1. [設定]メニュー>[認証設定]をクリックします。
    2. [Add 2FA requirement]をクリックします。
    3. 認証タイプを選択し、任意の適用先を設定し[要件を作成する]をクリックし設定を完了します。
      ※エラー"A requirement with those conditions already exists."
       デフォルトで 「すべてのアカウントユーザー」にワンタイムパスワード(OTP)が設定されています。
       クライアント証明書認証を設定する場合は「すべてのアカウントユーザー」ではなく「特定のユーザー」を
       選択し個別にユーザーを指定して設定を行ってください。

クライアント証明書の初期化(初回ログインまたはリセット後等)

クライアント証明書認証に設定後やリセット後、ログインする場合は以下の手順でログインを行います。

  1. CertCentralにサインインします。
  2. クライアント証明書初期化画面が表示されます。
    任意のパスワードを設定して(①②)[証明書を生成する]ボタンをクリックします(③)。

  3. p12ファイルがダウンロードされます(④)ので、ご利用のブラウザにインストールします。
    • Winodws 証明書ストアを利用するクライアント:Chrome、Edgeなど
      インポート方法概要:
      p12ファイルをダブルクリックして証明書のインポートウィザードの指示にしたがってインポートを行います。

    • MacOSの証明書ストアを利用するクライアント:Safariなど
      インポート方法概要:
      p12ファイルを開き、2で設定したパスワードを入力するとインストールが完了します。

    • FireFox  ※OSの証明書ストアを利用する場合もあります
      インポート方法概要:
      [オプション]>[プライバシーとセキュリティ]メニューより[証明書を表示]をクリックし
      「あなたの証明書」タブより「インポート」をクリックします。
       
  4. インストールが完了したら再度CertCentralにサインインします。
    クライアント証明書の選択画面が表示されますので、インポートしたクライアント証明書を選択してアクセスします。
    ※「お使いのクライアント証明書を検証できませんでした。」と表示される場合は、 
    証明書ストアにクライアント証明書がインストールされているか確認してください。
     ■Windows証明書ストア(Chrome, Edge等):インターネットオプション>「コンテンツ」タブ>「証明書」ボタンをクリックし「個人」タブ
     ■Firefox :[オプション]>[プライバシーとセキュリティ]メニューより[証明書を表示]をクリックし「あなたの証明書」タブ

    証明書が確認できる場合は、キャッシュのクリアまたは、プライベートブラウジングでアクセスをお試しください。
     ■IEdge:設定→「新しいInPrivateウィンドウ」をクリック
     ■Firefox :ファイル→新しいプライベートウィンドウ
     ■Chrome: 設定→シークレットウィンドウを開く

    証明書が確認できない場合は、再度p12ファイルのインストールを行ってください。
    どうしてもインストールができない場合やインストールはできているもののキャッシュのクリア等でも解決できない場合は、ご利用環境の制限によりクライアント証明書による認証が行えない場合がございますので、ご利用環境の変更やOTP認証への変更をご検討ください。

 

登録したOTPデバイスを変更する(OTPデバイスのリセット)

一度登録したOTPデバイスが壊れたり、誤ってOTP設定を削除した等の理由によりOTPデバイスを変更したい場合、
OTPデバイスのリセットすることで改めて登録することが可能です。

  1. CertCentralにサインインします。
  2. 「OTP デバイスをリセットしますか?」に表示されている[デバイスのリセット]ボタンをクリックします
  3. OTPデバイスリセット申請のメールがユーザーに送信されますので、本文内のリンクにアクセスしログインします。
  4. ユーザーに設定されている秘密の質問に対する回答を入力して[続行する]を押下します。

    ※リセットにはユーザー登録時に設定された秘密の質問に対する回答が必要となります。
     秘密の質問等がご不明な場合はOTPメール認証(上項参照)に切り替えてCertCentralにログインし、
     自ら認証設定メニューよりデバイスをすることもできます。OTPメール認証でのログインも難しい場合は、
     下記要領でサポートまでご連絡ください。
    送信先:server_info_jp@digicert.com
    件名:秘密の質問リセット依頼 
    本文:※ユーザー登録されているメールアドレスを記入ください。(同一メールアドレスで複数ユーザーをお持ちの方はユーザ名を併記ください)

    →ユーザーが特定できましたら、登録メールアドレス宛にご本人様確認のメールを送信しますので、
     ご返信をもって秘密の質問のリセットをおこないユーザーパスワードの再設定通知をお送りしますのでパスワード等再設定してください。
  5. ワンタイムパスワード(OTP)デバイスの初期化画面が表示されますので改めてOTPデバイスの登録を行います。
    ※リセットが完了してもOTPアプリケーションに表示される旧登録のパスワードは表示されたままですのでご自身で削除してください。

 

クライアント証明書の再取得(クライアント証明書のリセット)

ダウンロードしたクライアント証明書の利用できなくなった場合や新しいクライアント証明書を再発行が必要な場合は、
リセットすることで新たにクライアント証明書の再取得することが可能です。
リセット完了すると元のクライアント証明書ではログインできなくなります。

  • ご利用のアカウントにログインが可能なAdministrator権限のユーザーがいない場合は下記要領でサポートまでご連絡ください。
    送信先:server_info_jp@digicert.com
    件名:件名:クライアント証明書リセット依頼 
    本文:※ユーザー登録されているメールアドレスを記入ください。(同一メールアドレスで複数ユーザーをお持ちの方はユーザ名を併記ください)

    →ユーザーが特定できましたら、登録メールアドレス宛にご本人様確認のメールを送信しますので、ご返信をもってリセットさせていただきます。

  • ご利用のアカウントにログインが可能なAdministrator権限のユーザーがいる場合はCertCentralで設定を変更できます。
    1. [設定]メニュー>[認証設定]をクリックします。
    2. 認証設定画面の「Issued Client Certificates」タブに表示されている対象ユーザーの[Regenerate]を押下します。
    3. CertCentralにサインインするとクライアント証明書初期化画面が表示されます。

 

よくあるお問い合わせ

  • Q:二要素認証の設定を無効にできますか?

    A:できません。OTP認証またはクライアント証明書認証のいずれかを設定いただく必要があります。

  • Q:複数人で1つのユーザーを共用は可能ですか?

    A:セキュリティ上、OTPデバイスまたはクライアント証明書は1人につき1ユーザーでご利用ください。ユーザーの追加方法はこちらを参照ください。
     https://docs.digicert.com/ja/certcentral/manage-account/manage-users.html

  • Q:複数のOTPデバイスを登録して使用できますか?

    A:セキュリティ上、1ユーザーにつき1OTPデバイスでの登録でご利用ください。

  • Q:ログイン画面にアクセスすると「www.digicert.com Additional  Security Check is required」と表示されました。どうすればいいですか?

    A:二段階認証に加えて追加で認証が必要となる場合があります。
     機械的な不正なアクセスではないことを証明するためのセキュリティチェックですので「クリックして検証」を押して、 
     表示されるパズルを完成させてログインページにアクセスします。
     
  • Q:OTP認証にはスマートフォンなどのデバイスが必要でしょうか。

    A:スマートフォン以外にもPCブラウザで利用できるOTPに対応するAuthenticatorを拡張機能で利用されている事例もございます。
     
  • Q:OTP設定のQRコードをiPhoneのカメラで読み込みましたがその後の操作が分かりません。

    A:iphoneのカメラでQRコードを読み込むとiOS標準のTOTP対応パスワードマネージャーで読み込みを行います。
     

  • Q:OTPの初期設定でiphoneのカメラでQRコードで登録しましたが、2回目以降のログイン時に確認コードはどこをみればよいか分かりません。

    A:iphoneの[設定]アイコンをクリックし、「パスワード」を押します。登録したサイトをクリックして表示される確認コードをCertCentralに入力します。 
     
  • Q:クライアント証明書の有効期限はいつまでですか?有効期限が切れたらどうなりますか?

    A:クライアント証明書の有効期間は3年になります。
       有効期限が切れるとログイン時にエラーが発生しログインできなくなりますので、
       有効期限前にCertCentralの[認証設定]>[Issued client Certificatex]タブに表示されている
       該当のクライアント証明書の[Regenerate]ボタンをクリックしてください。
       次回のログイン時にクライアント証明書の生成画面から新たな有効期間の証明書を取得いただけます。