FortiGateのクライアント証明書の認証方法について

FortiGateのクライアント証明書認証は、ユーザーやデバイスの身元を証明し、より安全なネットワークアクセスを実現するための高度なセキュリティ機能です。

この認証方式は、主にSSL VPNやIPSec VPN、管理者ログイン、Wi-Fiアクセスなどで使用されます。

以下では、FortiGateにおけるクライアント証明書認証の仕組みと設定手順を詳細に解説します。

クライアント証明書認証とは？

クライアント証明書認証は、公開鍵インフラ（PKI）に基づいて、ユーザーや端末が提示するクライアント証明書（デジタル証明書）をFortiGate側で検証する方式です。

特徴

• パスワードレス認証が可能（またはパスワードと併用）
• 証明書をインポートした端末しか接続できない
• 中間者攻撃（MITM）や不正アクセスに強い

利用シナリオ例

クライアント証明書認証の構成フロー

以下のステップで構成します。

1. 認証局（CA）を用意
   • FortiGate自身にローカルCAを設定
   • または、外部のCA（例：Windows AD CA、Let’s Encryptなど）を使用
2. ユーザー・端末に証明書を発行
   • CAからクライアント証明書を発行
   • クライアントのブラウザやOSにインポート
3. FortiGateにCA証明書を登録
   • 信頼できるCAとしてFortiGateに登録
4. 証明書ベースの認証を有効化
   • SSL VPNポリシー、ユーザーグループ設定などで証明書を要求
5. 認証と接続の確認
   • クライアント証明書を提示して接続テスト

FortiGateの設定手順（SSL VPNを例に）

CA証明書のインポート

1. GUIで「System → Certificates」へ移動
2. Import → CA Certificate を選択
3. 信頼するCAの証明書をインポート（.crt / .pem）

ユーザー証明書の準備

• Windowsの場合は「mmc → 証明書スナップイン」で管理
• macOSやiOSでは「キーチェーンアクセス」で証明書をインポート
• Androidでは証明書ストレージからインストール

VPN設定でクライアント証明書を要求する

CLIの場合の設定例（SSL VPN）

config vpn ssl settings
    set reqclientcert enable
end

GUIからの場合

1. 「VPN → SSL-VPN Settings」
2. Require Client Certificate を「有効」に

証明書の検証ポリシー設定（ユーザーグループ）

証明書に含まれるCNやSAN（Subject Alternative Name）を元にユーザー識別を行いたい場合

config user peer
    edit "Cert-User"
        set ca "Your-CA"
        set subject "CN=User01"
    next
end

config user group
    edit "Cert-Group"
        set member "Cert-User"
    next
end

→ VPNポリシーやFirewall Policyでこのグループを利用

クライアント側の設定と注意点

クライアント証明書のインポート手順（Windows）

1. 証明書（.p12または.pfx形式）を取得
2. ダブルクリック → インポートウィザードで「個人ストア」に保存
3. FortiClientやブラウザが自動で参照可能に

認証テストとトラブルシュート

成功パターン

• VPN接続時にクライアント証明書を要求される
• 適切な証明書を選択し、接続が成功

よくある失敗

セキュリティ強化のポイント

• 証明書失効リスト（CRL）やOCSPを設定してリアルタイム検証を追加
• FortiAuthenticatorとの連携でより強力なPKI管理
• クライアント証明書＋パスワードの二要素認証

まとめ

以上、FortiGateのクライアント証明書の認証方法についてでした。

最後までお読みいただき、ありがとうございました。