Jamf Pro を使用して DigiCert と統合
Jamf Pro 構成プロファイル内の証明書または SCEP Payload のいずれかを使用して、コンピュータやモバイルデバイスへ DigiCert 証明書を発行できます。
注: コンピュータまたはモバイルデバイスに DigiCert 証明書を適切に発行するためにも、ユーザのインベントリ情報は完全である必要があります。Jamf Pro のユーザ向けのインベントリ情報に不完全なデータがある場合、DigiCert 証明書は属性がないので、「N/A」が記録されて発行されます。
要件
-
DigiCert PKI プラットフォーム
-
DigiCert PKI プラットフォームの搭載されたウェブブラウザ
-
ローカルキーチェーンに追加されている DigiCert 管理者証明書
-
Jamf Pro で構成されているプッシュ証明書
用語
-
CA:認証局
-
CN:コモンネーム
-
CSR:証明書署名要求
-
OID:Object 識別子
-
PKI:公開鍵インフラストラクチャ
-
RA:登録局
-
SCEP:Simple Certificate Enrollment Protocol
手順
手順では、Jamf Pro と DigiCert PKI プラットフォームを同時に構成することが求められます。各構成はご使用の環境に対して一意であり、追加のステップが必要である可能性があります。
手順には以下のステップがあります。
-
新しい RA 証明書プロファイルを DigiCert PKI プラットフォームに追加します。
-
Jamf Pro で CA を構成します。
-
構成プロファイルを使用して証明書をデバイスへ配布します。
注: 証明書は直ちに配布されません。証明書を取得するために、構成プロファイルがキューに投入されます。証明書 Payload と構成プロファイルが完了すると、構成プロファイルがデバイスに配布されます。証明書配布の時間枠はサーバの負荷に依存し、一般的に 5 分、またはデバイスが次回チェックインする際に配布されます。
-
DigiCert 証明書がコンピュータに対して適切に発行されたことを検証します。
ステップ 1:新しい証明書プロファイルを DigiCert PKI プラットフォームに追加
-
DigiCert PKI プラットフォームへログインします。
-
Settings (設定) > Manage certificate profiles (証明書プロファイルを管理) へ移動します。
-
Add certificate profiles (証明書プロファイルを追加) をクリックして、新しい証明書プロファイルをセットアップし、画面上の説明に従って先へ進みます。
-
それぞれの DigiCert 証明書に対してプロファイルが作成されるまで、証明書プロファイルを追加し続けます。
ステップ 2:DigiCert を Jamf Pro の認証局として構成
以下のステップが CA により要求され、これにより Jamf Pro サーバは登録局 (RA) として証明書認証の要求を CA に対して行えるようになります。
-
Jamf Pro にログインします。
-
ページ右上隅の Settings (設定)
をクリックします。 -
Global Management (グローバル管理) をクリックします。
-
PKI Certificates (PKI 証明書)
.をクリックします。 -
Configure New Certificate Authority (新認証局の構成) をクリックします。
-
「DigiCert」を PKI プロバイダとして選択し、Next (次へ) をクリックして、DigiCert 証明書プロファイルアシスタントで続行します。
-
CSR を Jamf Pro からコピーして、Next (次へ) をクリックします。
-
プロンプト画面が表示されたら、DigiCert PKI プラットフォームのウェブサイト (https://pki-manager.symauth.com/pki-manager/) に移動し、以下のステップを完了してください。
-
PIN を入力してください。必要に応じて、どの証明書を認証に使用する必要があるかを選択します。
-
Settings (設定) > Get an RA certificate (RA 証明書を取得) へ移動します。
-
Jamf Pro からコピーした CSR を貼り付け、証明書に分かりやすい名前を入力し、Continue (続行) をクリックします。
-
生成された DigiCert RA 証明書をダウンロードするために Download (ダウンロード) をクリックして、Done (完了) をクリックします。
-
-
任意のテキストエディターでダウンロードした RA 証明書ファイル (.p7b) を開き、コンテンツをコピーします。
-
Jamf Pro で、Next (次へ) をクリックします。
-
「DigiCert CA 構成名」を入力し、コピーした RA 証明書を RA Certificate Copied from DigiCert (DigiCert からコピーした RA 証明書) フィールドへ貼り付け、Next (次へ) をクリックします。
-
コンピュータまたはモバイルデバイスからの証明書を自動的に取り消す場合は、Enable automatic certificate revocation (自動証明書失効を有効化) を選択します。
詳しくは、DigiCert 証明書を取り消す を参照してください。 -
Done (完了) をクリックします。新しい認証局が正常に構成された場合、PKI 証明書の表に一覧表示されます。
ステップ 3:構成プロファイルを使用して DigiCert 証明書をデバイスへ配布
DigiCert がJamf Pro に CA として追加され、Jamf Pro と DigiCert の間の通信が確立された後、Jamf Pro の構成プロファイルを使用して、DigiCert の証明書を CA として配布できます。構成プロファイルを使用すると、コンピュータやモバイルデバイスが CA 証明書をインストールできるようにしたり、ユーザが VPN や Wi-Fi などのリソースにアクセスしたりできるようにする設定を定義できます。
構成プロファイルを使用して、デバイスが以下の方法で CA 証明書をインストールできるようになります。
-
CA 証明書を直接デバイスに配布 - Jamf Pro の証明書 Payload を使用して、CA 証明書を直接デバイスへ配布できます。
-
SCEP サーバとの通信を行うためにデバイスを有効化 - ご使用の環境が Simple Certificate Enrollment Protocol (SCEP) に対応している場合、設定を定義することにより、デバイスが SCEP サーバと通信し、CA 証明書を取得できるようになります。
さらに、構成プロファイルの配布のための要件が満たされていることを確認してください。Jamf Connect 管理者ガイドの以下のセクションの要件を参照してください:
-
Jamf Pro にログインします。
-
コンピュータとモバイルデバイス構成プロファイルを作成:
-
コンピュータ構成プロファイルを作成するには、ページの上部の Computers (コンピュータ) をクリックしてから Configuration Profiles (構成プロファイル) をクリックしてください。
-
モバイルデバイス構成プロファイルを作成するには、ページの上部の Devices (デバイス) をクリックしてから Configuration Profiles (構成プロファイル) をクリックしてください。
-
-
New (新規) をクリックします。
-
一般 Payload を使用し、プロファイルを適用するレベルや配布方法などの基本設定を構成します。選択されたレベルに適用される Payload と設定のみプロファイルに表示されます。
-
以下のいずれか 1 つを実行して、デバイスが CA 証明書を取得し、インストールする方法を構成してください。
-
SCEP - SCEP サーバと直接通信行い、CA 証明書を取得できるようにデバイスを有効にするには、SCEP Payload を選択し、Configure (構成) をクリックし、以下を実行してください。
-
DigiCert 証明書プロファイルから提供された SCEP 登録 URL を入力してください。
-
Name (名前) フィールドの DigiCert 構成プロファイルに表示される Certificate Authority (CA) の名称を入力してください。
-
Challenge Type (チャレンジタイプ) ポップアップメニューから「ダイナミック DigiCert」を選択して、使用する DigiCert PKI インスタンスを選択してください。
-
SCEP チャレンジに使用する証明書プロファイル ID とシート ID を選択してください。
注記:
-
Jamf Pro の構成プロファイルセットアップページに一覧表示されている OID は、DigiCert PKI Manager の証明書プロファイル記録の OID に関連しています。OID を比較して、構成プロファイル設定が有効で、DigiCert PKI Manager の証明書プロファイル記録で定義されている設定と合致していることを確認してください。
-
証明書プロファイル ID とシートID の組み合わせは、各構成プロファイルに対して 1 回しか使用できません。
-
証明書プロファイル ID は各構成プロファイルに対して 1 回のみ使用するようにする必要があります。証明書プロファイル ID を同じデバイスタイプの複数の構成プロファイルに対して再利用すると、証明書が不適切に割り当てられることがあります。しかし、同じ証明書プロファイル ID を別のデバイスタイプ (1 つのコンピュータ構成プロファイルと 1 つのモバイルデバイス構成プロファイルなど) の構成プロファイルに対して再利用できます。
-
SCEP プロファイルに使用されるシート ID は Subject (件名) フィールドで使用される CN と同じにすることが推奨されます。
-
DigiCert で使用されている証明書プロファイルの要件によっては、追加の設定を構成することが求められることがあります (Key Size (キーサイズ)、Use a digital signature (デジタル署名を使用)、Use for key encipherment (キーの暗号化に使用) など)。
-
-
-
API (証明書 Payload) - CA 証明書をデバイスに直接配布するには、証明書 Payload を選択し、Configure (構成) をクリックし、以下を実行します。
-
表示名を入力してから、Select Certificate Option (証明書オプションを選択) ポップアップメニューから DigiCert インスタンスを選択してください。
-
CA に関する情報を指定するために、領域で設定を使用します。
-
-
-
プロファイルに対して追加の Payload を構成し、ユーザが VPN や Wi-Fi などのリソースにアクセスできるようにします。CA 証明書をインストールするためのデバイスを有効にする方法によっては、信頼された証明書として追加の Payload にこの証明書を追加する必要がある場合があります。
-
Scope (適用範囲) タブをクリックし、プロファイルの適用範囲を設定します。PKI が証明書を自動的に取り消すように構成されている場合、証明書が Scope 外のデバイスから自動的に取り消されるように、プロファイルの Scope を構成する必要があります。詳しくは、DigiCert 証明書を取り消す を参照してください。
-
DigiCert 証明書を全デバイスへ発行する場合は、Save (保存) をクリックし、Distribute to All (すべてへ配布) を選択してください。
重要: デバイスに DigiCert 証明書を適切に発行するために、ユーザのインベントリ情報は完全である必要があります。Jamf Pro のユーザ向けのインベントリ情報に不完全なデータがある場合、DigiCert 証明書は属性がないので、「N/A」が記録されて発行されます。
-
DigiCert Managed PKI サービス証明書をコンピュータやモバイルデバイスに対して発行するために、Jamf Pro で構成されているすべての構成プロファイルに対してプロセスを繰り返してください。
ステップ 4:DigiCert 証明書がデバイスに対して適切に発行されたことを検証
DigiCert 証明書がデバイスへ適切に発行されていることを検証するために、Jamf Pro でデバイス記録へ移動し、History (履歴) タブをクリックし、Management History (管理履歴) カテゴリを開き、証明書プロセスが正常に完了したことを確認してください。
留意点
-
プロファイル再登録中に、DigiCert 証明書はコンピュータに対して複数回発行されます。コンピュータから MDM プロファイルを削除するか、sudo jamf removeFramework のコマンドを実行することにより削除する場合、プロファイルの再登録中に、アクティブな DigiCert 証明書が複数回発行されます。
-
構成プロファイルの Wi-Fi Payload の構成時に、DigiCert 証明書は「Trusted Certificates (信頼された証明書)」には表示されません。