PKI 証明書

PKI 証明書設定を利用すると、コンピュータやモバイルデバイスと認証局の間で通信を確立するために必要な公開鍵インストラクチャを管理できます。Jamf Pro には、証明書に基づく認証に対応する PKI が必須です。

PKI には以下のコンポーネントが含まれなければなりません。

  • 認証局 (CA)。信頼できる第三者機関の CA である内蔵 CA、あるいは SCEP に対応する外部 CA を利用することができます。

  • 認証局 (CA) 証明書

  • 署名証明書

PKI とそのコンポーネントについては、セキュリティ を参照してください。

さらに、iOS と tvOS の In-house App と In-house Books のセキュアなダウンロードのために、JSON ウェブトークンを構成するために、PKI 証明書設定を利用できます。詳しくは、ナレッジベース資料の「Configuring a JSON Web Token to Secure Downloads of iOS and tvOS In-House Apps and Books (iOS および tvOS In-house apps と In-house eBooks のセキュアなダウンロードための JSON ウェブトークンの構成)」を参照してください。

証明書の表示とエクスポート

証明書に関する以下の情報を確認できます。

  • 件名

  • シリアル番号

  • 証明書に関連付けられたデバイス名

  • 証明書に関連付けられたユーザ名

  • CA 構成名

  • 発行日時

  • 有効期限日時

  • ステータス (アクティブまたは非アクティブ)

  • 状態 (発行済、まもなく有効期限切れ、有効期限切れ済、取り消し済)

  • 第三者機関の証明書に関連付けられた構成プロファイル

証明書のリストを表示している場合、リストを .csv、.txt、XML のファイルにエクスポートできます。

  1. Jamf Pro にログインします。

  2. ページ右上隅の Settings (設定) images/download/thumbnails/81545437/Icon_Settings_Hover.png をクリックします。

  3. Global Management (グローバル管理) をクリックします。

  4. PKI Certificates (PKI 証明書) images/download/thumbnails/81545437/PKI.png をクリックします。
    CA のリストが、各 CA のまもなく有効期限切れ、アクティブ、非アクティブ、全証明書の数と共に表示されます。

  5. まもなく有効期限切れ、アクティブ、非アクティブ、全ての列にある数字をクリックしてください。
    対応する証明書のリストが表示されます。

  6. 証明書の件名をクリックして、特定の証明書の詳細を表示してください。
    該当する場合は、証明書の詳細には取り消し済の日付が含まれます。第三者機関の CA 証明書の場合、 証明書と関連付けられている構成プロファイルはすべて表示されます。

  7. (オプション) 手順 5 で表示されている証明書のリストをエクスポートする場合:

    1. Export (エクスポート) をクリックします。

    2. エクスポートするファイルに対してファイルフォーマットを選択します。

    3. Next (次へ) をクリックします。

    4. エクスポートがすぐに開始されます。

    5. Done (完了) をクリックします。

内蔵 CA

Jamf Pro の内蔵 CA を利用するのに構成を行う必要はありません。内蔵 CA は、デフォルトでコンピュータとモバイルデバイスに証明書を発行します。CA 証明書と署名証明書は、自動的に作成され、保存されます。デバイスが Jamf Pro へチェックインする際、デバイスは SCEP サーバと通信し、CA 証明書を取得します。

注: コンピュータまたはモバイルデバイスが SCEP サーバと直接通信することを避けたい場合、内蔵 CA を使用していれば、Jamf Pro を SCEP プロキシとして有効化し、構成プロファイル経由でデバイス証明書を発行できます。詳しくは、テクニカル資料「Enabling Jamf Pro as SCEP Proxy (Jamf Pro を SCEP プロキシとして有効化する)」を参照してください。

内蔵 CA 証明書をダウンロードする。

ダウンロードされた内蔵 CA 証明書 (.pem) は、他のサーバやサービスとの信頼を確立するために利用されます。例えば、HTTPS 配布ポイントのために Windows サーバの IIS に対して信頼を確立できます。詳しくは、ナレッジベース資料「Using IIS to Enable HTTPS Downloads on a Windows Server 2016 or 2019 File Share Distribution Point (Windows Server 2016 / 2019 ファイル共有配布ポイントの HTTPS ダウンロードを IIS を使用して有効にする方法)」を参照してください。

  1. Jamf Pro にログインします。

  2. ページ右上隅の Settings (設定) images/download/thumbnails/81545437/Icon_Settings_Hover.png をクリックします。

  3. Global Management (グローバル管理) をクリックします。

  4. PKI Certificates (PKI 証明書) images/download/thumbnails/81545437/PKI.png をクリックします。

  5. Management Certificate Template (管理用証明書テンプレート) タブをクリックしてBuilt-in CA (内蔵 CA) をクリックします。

  6. Download CA Certificate (CA 証明書をダウンロード) をクリックします。証明書ファイル (.pem) がダウンロードされます。

内蔵 CA が発行する証明書は、Mac コンピュータのキーチェーンアクセスのシステムキーチェーンにも「JAMF ソフトウェア JSS 内蔵認証局」として保存されます。

内蔵 CA からの証明書の取り消し

警告: 証明書を取り消すと、証明書が発行されているコンピュータまたはモバイルデバイスと Jamf Pro との間の通信が停止します。通信を復元するには、コンピュータまたはモバイルデバイスを再登録してください。

  1. Jamf Pro にログインします。

  2. ページ右上隅の Settings (設定) images/download/thumbnails/81545437/Icon_Settings_Hover.png をクリックします。

  3. Global Management (グローバル管理) をクリックします。

  4. PKI Certificates (PKI 証明書) images/download/thumbnails/81545437/PKI.png をクリックします。
    CA のリストが、各 CA のまもなく有効期限切れ、アクティブ、非アクティブ、全証明書の数と共に表示されます。

  5. まもなく有効期限切れ、アクティブ、非アクティブ、全ての列にある数字をクリックしてください。
    対応する証明書のリストが表示されます。

  6. 証明書の件名をクリックして、特定の証明書の詳細を表示してください。

  7. 証明書を取り消す場合、Revoke (取り消し) images/download/thumbnails/81534282/ban.png をクリックします。

  8. 確認のため、再度、Revoke (取り消し) をクリックします。
    証明書のステータスが「Inactive (非アクティブ)」に変更され、状態が「Revoked (取り消し済)」に変更されます。

注: jamfsoftwareserver.logファイルの中の失効した証明書の記録を表示することもできます。詳しくは、本ガイドの Jamf Pro サーバログ を参照してください。

CSR からの内蔵 CA 証明書の作成

環境によっては、証明書署名要求 (CSR) から証明書を作成する必要があります。例えば、ロードバランサの背後で Tomcat が作動するように構成したクラスタ環境の場合などは、これを行う必要があります。

注: CSR から作成された証明書は、Jamf Pro とマネージドコンピュータ/モバイルデバイス間の通信のみを目的とするものです。

CSR から証明書を作成するには、Base64 でエンコードされた PEM フォーマットのリクエストが必要です。

  1. Jamf Pro にログインします。

  2. ページ右上隅の Settings (設定) images/download/thumbnails/81545437/Icon_Settings_Hover.png をクリックします。

  3. Global Management (グローバル管理) をクリックします。

  4. PKI Certificates (PKI 証明書) images/download/thumbnails/81545437/PKI.png をクリックします。

  5. Management Certificate Template (管理用証明書テンプレート) タブをクリックしてBuilt-in CA (内蔵 CA) をクリックします。

  6. Create Certificate from CSR (CSR から証明書を作成) をクリックします。

  7. CSR フィールドへ CSR を貼り付けます。
    要求は
    ----BEGIN CERTIFICATE REQUEST----
    で開始し、
    ----END CERTIFICATE REQUEST---- で終了する必要があります

  8. 証明書のタイプを選択します。

  9. Create (作成) をクリックします。
    直ちに証明書ファイル (.pem) がダウンロードされます。

内蔵 CA 証明書のバックアップの作成

内蔵 CA 発行 CA 証明書は、パスワード認証付きのバックアップを作成し、安全な場所に保管することを推奨します。

  1. Jamf Pro にログインします。

  2. ページ右上隅の Settings (設定) images/download/thumbnails/81545437/Icon_Settings_Hover.png をクリックします。

  3. Global Management (グローバル管理) をクリックします。

  4. PKI Certificates (PKI 証明書) images/download/thumbnails/81545437/PKI.png をクリックします。

  5. Management Certificate Template (管理用証明書テンプレート) タブをクリックしてBuilt-in CA (内蔵 CA) をクリックします。

  6. Create CA Backup (CA バックアップを作成) をクリックします。

  7. 内蔵 CA 証明書のバックアップを安全にするために、パスワードを作成し、検証します。
    証明書バックアップの復元にはパスワード入力が必要です。

  8. Create Backup (バックアップを作成) をクリックします。
    直ちにバックアップファイル (.p12) がダウンロードされます。

内蔵 CA の更新

CA の有効期限が切れると、いくつかの重要な Jamf Pro フローが機能しなくなります。たとえば、CA の有効期限が切れたときにコンピュータまたはモバイルデバイスを登録すると、それらを管理できなくなります。有効期限までに内蔵 CA を更新することをお勧めします。

  1. Jamf Pro にログインします。

  2. ページ右上隅の Settings (設定) images/download/thumbnails/81545437/Icon_Settings_Hover.png をクリックします。

  3. Global Management (グローバル管理) をクリックします。

  4. PKI Certificates (PKI 証明書) images/download/thumbnails/81545437/PKI.png をクリックします。

  5. All (全て) の列にある数字をクリックします。
    対応する証明書のリストが表示されます。

  6. 件名に「認証局」が含まれる証明書をクリックして、証明書の詳細を表示します。

  7. Renew (更新) images/download/thumbnails/81534028/arrow-around-right.png をクリックして更新を確認します。

  8. (オプション) 新しい有効期限を確認します。

  9. ページをリフレッシュします。更新ステータスは Jamf Pro 通知に表示されます。また、アカウントに E メール通知が設定されている場合は、更新プロセスのステータスが記載された E メールが送信されます。

内蔵 CA が更新されると、その有効期限は 10 年延長されます。内蔵 CA によって発行されたすべての署名証明書は自動的に更新されます。

注: 内蔵認証局 (CA) の更新が成功した後、 コンピュータおよびモバイルデバイスの MDM プロファイルは、更新のために自動的にキューに入れられます。 次回コンピュータとモバイルデバイスが Jamf Pro にチェックインすると、MDM プロファイルが更新され、インベントリの MDM Profile Expiration Date (MDM プロファイルの有効期限) フィールド値には、新しい有効期限が表示されます。デバイス ID 証明書の有効期限は 2 年です。どの MDM プロファイルが更新されないかを監視するには、スマートコンピュータまたはモバイルデバイスグループを作成し、MDM プロファイルの更新が必要検索基準値を「はい」に設定します。

以下のことに配慮してください。

  • 内蔵 CA を 更新すると、内蔵 CA 自体を使用する統合、または CA によって署名された CSR から作成された証明書に影響する場合があります。これらの証明書は再発行が必要になる場合があります。
    影響を受ける統合には次のものがあります:

    • HTTPS ファイル共有配布ポイントの構成

    • カスタム構成プロファイルの署名

    • SCCM (System Center Configuration Manager) プラグイン

  • ご使用の環境で Apple Education Support が有効になっている場合、内蔵 CA を更新すると、既存の EDU プロファイルが再配布されます。これはネットワークトラフィックを増やす原因になります。

重要: 内蔵 CA 更新が失敗した場合は、プロセスを再度トリガーしないでください。有効期限が延長されていない場合や、Jamf Pro がマネージドコンピュータやモバイルデバイスと通信できないなど、更新された CA に問題がある場合は、Jamf サポートにお問い合わせください。

第三者機関の CA

Jamf Pro を信頼できる第三者機関の CA と統合できます。これには、DigiCert, Venafi や Active Directory 証明書サービス (AD CS) が含まれます。これらの統合により、オーガニゼーションは、すべてのデバイスにわたってすべての ID 証明書を制御する CA を持つことができます。第三者機関の CA を利用すると、IT チームの全証明書に対するレポーティングを一元化できます。

  • DigiCert—DigiCert 証明書は、DigiCert PKI Platform サービスを使用して Jamf Pro で管理されます。Jamf Pro と DigiCert PKI Platform の間の通信が確立された後、証明書をコンピュータやモバイルデバイスへ展開できます。詳しくは、テクニカル資料「Jamf Pro を使用した DigiCert との統合」を参照してください。

  • Venafi—Venafi 証明書は Venafi Trust Protection Platform を使用して Jamf Pro で管理されます。Jamf Pro と Venafi Trust Protection Platform の間の通信が確立された後、証明書をコンピュータやモバイルデバイスへ展開できます。詳しくは、テクニカル資料「Jamf Pro を使用した Venafi との統合」を参照してください。

  • AD CS — PKI プロバイダとの通信が正常に確立された後、AD CS を CA として使用して構成プロファイルで証明書を展開できます。証明書に基づく認証に対応するために Jamf Certificate SDK で開発された ID 識別用の In-house App を配布し、Single Sign-On (シングルサインオン)(SSO) または現環境に特有のその他の操作を実行できるようにすることもできます。詳しくは、テクニカル資料「Integrating with Active Directory Certificate Services (AD CS) Using Jamf Pro (Jamf Pro を使用した Active Directory 証明書サービス (AD CS) との統合)」を参照してください。

外部 CA

所属するオーガニゼーションまたはサードパーティの SCEP 対応 CA を使用している場合、それを使用してコンピュータ/モバイルデバイスへ管理証明書を発行できます。デバイスが Jamf Pro へチェックインする際、デバイスは SCEP サーバと通信し、証明書を取得します。

: コンピュータやモバイルデバイスに直接 SCEP サーバと通信させたくなく、外部 CA を使用している場合には、Jamf Pro を使用して SCEP サーバから管理証明書を取得して、登録の間それらをデバイスにインストールしておくことができます。また、SCEP プロキシとして Jamf Pro を有効にして、構成プロファイルを介してデバイス証明書を発行することができます。詳しくは、テクニカル資料「Enabling Jamf Pro as SCEP Proxy (Jamf Pro を SCEP プロキシとして有効化する)」を参照してください。

外部 CA を Jamf Pro に統合するには、以下の手順を実行します。

  • 外部 CA の SCEP パラメータを指定します。

  • 外部 CA 用の署名証明書と CA 証明書のアップロード

注: 所属するオーガニゼーションまたはサードパーティの CA を Jamf Pro で変更する必要がある場合、Jamf のサポートへお問い合わせください。PKI 設定を変更すると、モバイルデバイス管理 (MDM) に必要な Jamf Pro サーバとモバイルデバイス間の信頼できる通信を復元するために、環境内のモバイルデバイスの再登録が必要になる場合があります。コンピュータ管理のために PKI 設定の変更を準備すること、あるいは Jamf Pro で PKI 設定に変更が加えらえた後に Jamf Pro サーバとマネージドコンピュータの間で信頼できる通信を復元することが、Jamf Pro で利用できるポリシー機能を使用すると可能になる場合があります。ポリシーは、MDM にヒスのマネージドコンピュータで信頼された証明書の設定を更新するために使用できます。

外部 CA 用の SCEP パラメータ指定

  1. Jamf Pro にログインします。

  2. ページ右上隅の Settings (設定) images/download/thumbnails/81545437/Icon_Settings_Hover.png をクリックします。

  3. Global Management (グローバル管理) をクリックします。

  4. PKI Certificates (PKI 証明書) images/download/thumbnails/81545437/PKI.png をクリックします。

  5. Management Certificate Template (管理用証明書テンプレート) タブをクリックして External CA (外部 CA) をクリックします。

  6. Edit (編集) をクリックします。

  7. 外部 CA 領域を使い、SCEP パラメータを指定します。

  8. Challenge Type (チャレンジタイプ)」ポップアップメニューから使用するチャレンジパスワードの種類を選択します。

    • Static (スタティック)—すべてのコンピュータやモバイルデバイスに同一のチャレンジパスワードを使用したい場合、「Static (スタティック)」を選んでからパスワードを設定します。チャレンジパスワードは、自動登録の事前共有鍵として使用されます。

    • Dynamic (ダイナミック)—Microsoft 以外の CA を使用し、コンピュータやデバイスごとに異なるチャレンジパスワードを使用したい場合は、「Dynamic (ダイナミック)」を選択します。ダイナミックチャレンジタイプでは、Classic API の使用と Jamf Developer Program (Jamf 開発者プログラム) のメンバーシップが必要です。Dynamic (ダイナミック) チャレンジは、ユーザ名やパスワードの代わりに「Fingerprint (指紋)」や「Thumbprint (拇印)」を使用します。Jamf Pro の Fingerprint (指紋) フィールドの Thumbprint (拇印) ハッシュ値は、受信するプロフィールに表示されます。このオプションを選択する場合は、あらかじめテクニカルアカウント担当マネージャに連絡し、Jamf デベロッパープログラムの詳細とオプションを使用する必要な追加手順を確認してください。

      注: 「Dynamic (ダイナミック)」チャレンジタイプでは、User-Initiated Enrollement を利用して、コンピュータやモバイルデバイスを登録すると、デバイスごとに異なるチャレンジパスワードを使用できます。詳しくは、コンピュータの User-Initiated Enrollmentモバイルデバイスの User-Initiated Enrollment を参照してください。

    • Dynamic-Microsoft CA (ダイナミック-Microsoft CA)—Microsoft CA を使用し、コンピュータやデバイスごとに異なるチャレンジパスワードを使用したい場合は、「Dynamic-Microsoft CA (ダイナミック-Microsoft CA)」を選択します。

      注: 「Dynamic-Microsoft CA (ダイナミック-Microsoft CA)」チャレンジタイプを選択した場合、User-Initiated Enrollment でコンピュータやモバイルデバイスを登録すると、デバイスごとに異なるチャレンジパスワードを使用できます。詳しくは、コンピュータの User-Initiated Enrollmentモバイルデバイスの User-Initiated Enrollment を参照してください。

    • Dynamic-Entrust (ダイナミック-信頼) — Entrust CA (CA を信頼) を使用している場合、「Dynamic-Entrust (ダイナミック-信頼)」を選択します。

      注: Jamf Pro を SCEP プロキシとして有効化し、Entrust CA と統合する場合、構成プロファイルを通じて証明書を配布するために追加の手順が必要です。詳しくは、テクニカル資料「Enabling Jamf Pro as SCEP Proxy (Jamf Pro を SCEP プロキシとして有効化する)」を参照してください。

  9. Save (保存) images/download/thumbnails/81531754/floppy-disk.png をクリックします。

外部 CA 用の署名証明書と CA 証明書のアップロード

Jamf Pro に外部 CA を統合するには、外部 CA 用の署名証明書と CA 証明書が必要です。これは、双方の証明書を含む署名した証明書 Keystore (.jks または .p12) を Jamf Pro へアップロードすることによって実行されます。Microsoft CA から SCEP プロキシ署名証明書を取得し、ダウンロードする方法の詳細については、以下のナレッジベース資料を参照してください。

注: デフォルト設定では、Jamf Pro は Jamf Pro 内蔵 CA に署名と CA 証明書を使用します。そのため、統合設定を実行する際に、これらの証明書を外部 CA 用のものと交換してください。

  1. Jamf Pro にログインします。

  2. ページ右上隅の Settings (設定) images/download/thumbnails/81545437/Icon_Settings_Hover.png をクリックします。

  3. Global Management (グローバル管理) をクリックします。

  4. PKI Certificates (PKI 証明書) images/download/thumbnails/81545437/PKI.png をクリックします。

  5. Management Certificate Template (管理用証明書テンプレート) タブをクリックして External CA (外部 CA) をクリックします。

  6. 外部 CA 領域の下に表示される Change Signing and CA Certificates (署名証明書と CA 証明書を変更) をクリックします。

  7. 表示される指示に従って、外部 CA 用の証明書をアップロードします。

関連情報

以下に挙げるナレッジベースの資料に関連情報が記載されています。

Copyright     個人情報保護方針     使用条件     セキュリティ
© copyright 2002-2020 Jamf. All rights reserved.