認証ルールで、「証明書認証」、「証明書確認」を設定した場合、クライアント証明書のサブジェクトの値と、当項目に入力した値とを比較した際に、前方一致、または後方一致で確認し、一致しない場合に認証エラーとします。DNの形式は、カンマ(,)区切りで記述してください。

記述例）
証明書サブジェクトが「OU=Sales, O=example.com, L=Bunkyo, ST=Tokyo, C=JP」で、設定に「O=example.com,
L=Bunkyo, ST=Tokyo,
C=JP」とした場合、「Oの値、Lの値、STの値」が一致した証明書では認証エラーとなります。

また、サブジェクトのDNは複数設定することができます。

ルートCA証明書のみの場合：
取得したルートCA証明書をpem、der形式に変換してアップロードして下さい。

中間証明書がある場合：
取得したルートCAの証明書と中間証明書を1ファイルに結合してアップロードして下さい。

複数のルートCA証明書がある場合：
複数のルートCA証明書がある場合、複数ファイルをzip形式で1つにまとめて圧縮したもの(パスワードなし)をアップロードして下さい。

※注意点
・登録可能な証明書形式は「pem」「der」形式です。
・登録可能な改行コードはlf(ラインフィード)形式です。改行コードにcr(キャリッジリターン)形式が含まれる場合、エラーとなりますのでご注意ください。
・ルートCA証明書が複数ある場合は、各ルートCA証明書ごとにファイルを分けて結合してください。
・1ファイルに結合する際、一部欠損していたり、記述形式が乱れている場合などはエラーとなります。また、下位のCA証明書から、順に上位に向かうように記述してください。

例）

—–BEGIN CERTIFICATE—–
発行CA証明書 XXXX
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
中間CA証明書 XXXX
—–END CERTIFICATE—–
—–BEGIN CERTIFICATE—–
ルート証明書CA XXXXX
—–END CERTIFICATE—–

・カンマ(,)区切りで複数登録することができます
・設定したURLから毎時30分にCRLリストを取得し、毎時50分に反映されます。
※反映までに20分の間隔がありますが、取得リストが多い場合、時間がかかることを考慮しているためです。

CA証明書の有効期限が切れた際に「テナント情報」内の「管理者のメールアドレス」に設定されたメールアドレス宛に通知します。

※毎時35分頃にチェックを行います。 有効期限が切れた場合には一度通知をOFFにし、CA証明書の入れ替えを行ってください。

※毎時35分頃にチェックを行います。 有効期限が切れた場合には一度通知をOFFにし、CRL発行元のCA局に問い合わせるなど、最新のCRLに入れ替えてください。

※毎日3時頃にチェックされ、期限切れ1ヶ月前と期限が切れたタイミングで通知を行います。

・証明書認証の設定は、基本的に反映されるまで1時間程度で完了しますが、お客様の環境によっては反映まで1時間以上かかる場合がありますので、なるべくお客様のシステムに影響の少ない時間帯での作業をお願い致します
（反映までの時間はあくまで弊社での検証を元にした目安となります。場合によってはブラウザの持つキャッシュ情報等、クライアント側の環境に依存する可能性も考えられます）