SSL-VPNクライアントのセットアップ(Windows編)

対象リージョン:東日本第3/西日本第3

Windows OSがインストールされたPC端末からSSL-VPN接続するために必要なクライアント証明書をInternet ExplorerまたはMicrosoft Edgeにインポートするためのセットアップを実施します。

ヒント: Internet ExplorerとMicrosoft Edgeの両方でインポートする必要はありません。

始める前に

  • SSL-VPNクライアントのセットアップには、クライアント証明書(pkcs#12形式)が必要です。

    • 自己署名証明書を利用する場合、証明書の作成時にユーザーのUUIDをSubjectフィールドのCN値に指定してください。
    • KEY_NAMEの値に空文字を指定してください。
  • 本手順の動作環境は、以下のとおりです。

    OS ブラウザ
    Windows 7 32bit 日本語版
    • Internet Explorer 7(~SP1)
    • Internet Explorer 8(~SP1)
    • Internet Explorer 9(SP1)
    • Internet Explorer 10(~SP1)
    • Internet Explorer 11(~SP1)
    Windows 7 32bit 英語版
    Windows 7 64bit 日本語版
    • Internet Explorer 8 (32bit)(~SP1)
    • Internet Explorer 9 (32bit)(~SP1)
    • Internet Explorer 10(SP1)
    • Internet Explorer 11(SP1)
    Windows 7 64bit 英語版
    Windows 8.1 32bit 日本語版
    • Internet Explorer 11(SPなし)
    Windows 8.1 64bit 日本語版
    Windows 8.1 32bit 英語版
    Windows 8.1 64bit 英語版
    Windows 10 32bit 日本語版 (※1)
    • Internet Explorer 11(SPなし)
    • Microsoft Edge
    Windows 10 64bit 日本語版 (※1)
    Windows 10 32bit 英語版(※1)
    Windows 10 64bit 英語版 (※1)

    Windows 11 64bit 日本語版(※2)

    • Microsoft Edge

    Windows 11 64bit 英語版(※2)

    ※1:x86/x64アーキテクチャーのプロセッサで動作する Windows 10だけサポートします。

    ※2:x86/x64アーキテクチャーのプロセッサで動作する Windows 11だけサポートします。

    注: 仮想マシン(Windows OS)からのSSL-VPN接続は、サポートしていません。
  • Windows OSの表示拡大率には100%を指定します。

    • Windows 11の場合

      設定 > システム > ディスプレイ > 拡大/縮小 > 100%を指定します。

    • Windows 10の場合

      設定 > システム > ディスプレイ > テキスト、アプリ、その他の項目のサイズを変更する > 100%を指定します。

    • Windows 8.1の場合

      コントロールパネル > ハードウェアとサウンド > ディスプレイ > すべての項目のサイズを変更する > 小 -100%(既定)を選択します。

    • Windows 7の場合

      コントロールパネル > ハードウェアとサウンド > ディスプレイ > 画面上の文字を読みやすくします > 小 -100% (既定)を選択します。

  • SSL-VPN接続に必要な設定は、以下のとおりです。

    • Internet Explorerを利用する場合
      • Internet Explorerのポップアップブロック機能を無効化してください。

        ポップアップブロック機能が有効な場合、SSL-VPN接続が正しく動作しません。

        1. ツール > ポップアップブロック > ポップアップブロックの設定をクリックします。

          ポップアップ ブロックの設定ダイアログが表示されます。

          ヒント:

          以下の手順でもポップアップ ブロックの設定ダイアログが表示されます。

          1. ツール > インターネットオプションをクリックします。
          2. インターネット オブションダイアログでプライバシータブをクリックします。
          3. 設定ボタンをクリックします。
        2. 許可する Web サイトのアドレスに、SSL-VPNの仮想SSLサーバのアドレス(URL)を入力します。

        3. 追加ボタンをクリックします。

      • Internet Explorerの拡大には100%を指定してください。

        表示 > 拡大 > 100%をクリックします。

      • セキュリティの保護モードは、以下の手順で無効化してください。

        1. ツール > インターネットオプションをクリックします。

          インターネット オプションダイアログが表示されます。

        2. セキュリティタブをクリックします。
        3. 信頼済みサイトをクリックします。
        4. サイトボタンをクリックします。

          信頼済みサイトダイアログが表示されます。

        5. この Web サイトをゾーンに追加するに、仮想SSLサーバのアドレス(URL)を入力します。

        6. 追加ボタンをクリックします。

        7. 閉じるボタンをクリックします。

        8. このゾーンのセキュリティのレベルを以下に設定します。

          • このゾーンで許可されているレベル : すべて中(既定)または中高にします。
          • 保護モードを有効にする (Internet Explorer の再起動が必要)のチェックを外します。
        9. レベルのカスタマイズボタンをクリックします。

          セキュリティ設定 - 信頼されたゾーンダイアログが表示されます。

        10. セキュリティ設定 - 信頼されたゾーンダイアログで以下の設定になっていることを確認します。

          • ActiveX コントロールとプラグインの実行有効にする
          • ActiveX コントロールに対して自動的にダイアログを表示有効にする
          • スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行有効にする
          • 署名された ActiveX コントロールのダウンロードダイアログを表示するまたは有効にする
          • アクティブ スクリプト有効にする
    • Microsoft Edgeを利用する場合
      • Microsoft Edgeのポップアップとリダイレクトのブロック機能を無効化してください。

        ポップアップとリダイレクトのブロック機能が有効な場合、SSL-VPN接続が正しく動作しません。

        1. 右上の …(設定など) > 設定 > Cookieとサイトのアクセス許可 > ポップアップとリダイレクト > 許可追加ボタンをクリックします。

        2. サイトに、SSL-VPNの仮想SSLサーバのアドレス(URL)を入力します。

        3. 追加ボタンをクリックします。

      • Microsoft Edgeの拡大には100%を指定してください。

        右上の…(設定など) > ズーム > 100%をクリックします。

      • セキュリティの保護モードは、以下の手順で無効化してください。

        ヒント: Windows 11では保護モードを無効化する必要はありません。
        1. Windowsのコントロールパネル > インターネットオプションをクリックします。

          インターネット オプションダイアログが表示されます。

        2. セキュリティタブをクリックします。
        3. 信頼済みサイトをクリックします。
        4. サイトボタンをクリックします。

          信頼済みサイトダイアログが表示されます。

        5. このWebサイトをゾーンに追加するに、仮想SSLサーバのアドレス(URL)を入力します。

        6. 追加ボタンをクリックします。

        7. 閉じるボタンをクリックします。

        8. このゾーンのセキュリティのレベルを以下に設定します。

          • このゾーンで許可されているレベル : すべて中(既定)または中高にします。
          • 保護モードを有効にする (Internet Explorer の再起動が必要)のチェックを外します。
            ヒント:

            保護モードを有効にする (Internet Explorer の再起動が必要)のチェックボックスが存在しない場合は、以下の手順を実施してください。

            1. Windows PowerShellを起動します。
            2. "gpedit.msc"コマンドを実行します。
            3. ローカル コンピューター ポリシー > コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > Internet Explorer > インターネット コントロール パネル > セキュリティ ページ > 信頼済みサイト > 保護モードを有効にするを開きます。
            4. 有効を選択、オプション:保護モード無効を選択します。
            5. OKをクリックします。
        9. レベルのカスタマイズボタンをクリックします。

          セキュリティ設定 - 信頼されたゾーンダイアログが表示されます。

        10. セキュリティ設定 - 信頼されたゾーンダイアログで以下の設定になっていることを確認します。

          • ActiveX コントロールとプラグインの実行有効にする
          • ActiveX コントロールに対して自動的にダイアログを表示有効にする
          • スクリプトを実行しても安全だとマークされている ActiveX コントロールのスクリプトの実行有効にする
          • 署名された ActiveX コントロールのダウンロードダイアログを表示するまたは有効にする
          • アクティブ スクリプト有効にする
    • Windows11 で SSL-VPN 接続を利用する場合

      以下の設定を追加で実施してください。

      • Microsoft Edge にて TLS 1.3 を利用しないように無効化します。
        1. Windowsのコントロールパネル > インターネットオプションをクリックします。

          または、検索アイコンにて、"inetcpl.pl"を実行し、インターネットのプロパティを開きます。

        2. 詳細設定タブをクリックします。

        3. セキュリティ配下のTLS 1.3 の使用のチェックを外します。

        4. 適用 > OKをクリックします。

      • TLS 1.3 が無効化されていることを確認します。

        1. Windows PowerShellを起動します。

        2. 以下のコマンドを入力し、TLS の設定状態を確認します。

          reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "Secureprotocols"

          Secureprotocols の値が 0x2000 未満であることを確認してください(TLS 1.3 が有効の場合は 0x2000 以上です)。