証明書 (API) プロトコルを使用した証明書配布

Jamf ProDigiCert PKI プラットフォーム の間の通信を確立すると、Jamf Pro を使用して DigiCert を認証局 (CA) とし、構成プロファイルを介してお使いの環境のコンピュータとモバイルデバイスに証明書を配布することができます。

証明書は直ちに配布されません。証明書を取得するために、構成プロファイルがキューに投入されます。証明書 Payload と構成プロファイルが完了すると、構成プロファイルがデバイスに配布されます。証明書配布の時間枠はサーバの負荷に依存し、一般的に 5 分、またはデバイスが次回チェックインする際に配布されます。
注:

証明書の有効期限切れの 10 日前に Jamf Pro が構成プロファイルを介して証明書を自動的に再配布します。デフォルトの 10 日という設定がニーズを満たさない場合は、Jamf サポート に連絡してください。

この手順では、Jamf ProDigiCert PKI プラットフォーム を同時に構成する必要があります。各構成はご使用の環境に対して一意であり、追加のステップが必要である可能性があります。

手順には以下のステップがあります。

  1. DigiCert PKI プラットフォーム に新しい証明書プロファイルを追加

  2. DigiCertJamf Pro の認証局として構成

  3. 構成プロファイルを使用して DigiCert 証明書をデバイスへ配布
    注:

    証明書は直ちに配布されません。証明書を取得するために、構成プロファイルがキューに投入されます。証明書 Payload と構成プロファイルが完了すると、構成プロファイルがデバイスに配布されます。証明書配布の時間枠はサーバの負荷に依存し、一般的に 5 分、またはデバイスが次回チェックインする際に配布されます。

  4. DigiCert 証明書がデバイスに対して適切に発行されたことを検証

ステップ 1:DigiCert PKI プラットフォーム に新しい証明書プロファイルを追加

  1. DigiCert PKI プラットフォーム にログインします。
  2. Settings (設定) > Manage certificate profiles (証明書プロファイルを管理) へ移動します。
  3. Add certificate profiles (証明書プロファイルを追加) をクリックして、新しい証明書プロファイルをセットアップし、画面上の説明に従って先へ進みます。
  4. それぞれの DigiCert 証明書に対してプロファイルが作成されるまで、証明書プロファイルを追加し続けます。

ステップ 2:DigiCertJamf Pro の認証局として構成

以下のステップが CA により要求され、これにより Jamf Pro サーバは登録局 (RA) として証明書認証の要求を CA に対して行えるようになります。

  1. Jamf Pro で、ページの右上にある Settings (設定) をクリックします。
  2. Global Management (一括管理) セクションの PKI Certificates (PKI 証明書) をクリックします。
  3. Configure New Certificate Authority (新認証局の構成) をクリックします。
  4. DigiCert」を PKI プロバイダとして選択し、Next (次へ) をクリックして、DigiCert 証明書プロファイルアシスタントで続行します。
  5. CSR を Jamf Pro からコピーして、Next (次へ) をクリックします。
  6. プロンプト画面が表示されたら、DigiCert PKI プラットフォーム のウェブサイト (https://pki-manager.symauth.com/pki-manager/) に移動し、以下のステップを完了してください。
    1. PIN を入力してください。必要に応じて、どの証明書を認証に使用する必要があるかを選択します。
    2. Settings (設定) > Get an RA certificate (RA 証明書を取得) へ移動します。
    3. Jamf Pro からコピーした CSR を貼り付け、証明書に分かりやすい名前を入力し、Continue (続行) をクリックします。
    4. 生成された DigiCert RA 証明書をダウンロードするために Download (ダウンロード) をクリックして、Done (完了) をクリックします。
  7. 任意のテキストエディターでダウンロードした RA 証明書ファイル (.p7b) を開き、コンテンツをコピーします。
  8. Jamf Pro で、Next (次へ) をクリックします。
  9. DigiCert CA 構成名」を入力し、コピーした RA 証明書を RA Certificate Copied from DigiCert (DigiCert からコピーした RA 証明書) フィールドへ貼り付け、Next (次へ) をクリックします。
  10. コンピュータまたはモバイルデバイスからの証明書を自動的に取り消す場合は、Enable automatic certificate revocation (自動証明書失効を有効化) を選択します。詳しくは、DigiCert 証明書を取り消すを参照してください。
  11. 完了 をクリックします。
新しい認証局が正常に構成された場合、PKI 証明書の表に一覧表示されます。

ステップ 3:構成プロファイルを使用して DigiCert 証明書をデバイスへ配布

DigiCertJamf Pro に CA として追加され、Jamf ProDigiCert の間の通信が確立された後、Jamf Pro の構成プロファイルを使用して、DigiCert の証明書を CA として配布できます。構成プロファイルを使用すると、コンピュータやモバイルデバイスが CA 証明書をインストールできるようにしたり、ユーザが VPN や Wi-Fi などのリソースにアクセスしたりできるようにする設定を定義できます。

構成プロファイルを使用すると、Jamf Pro の証明書 payload を使用して CA 証明書をデバイスに直接配布できます。
注:

証明書の有効期限切れの 10 日前に Jamf Pro が構成プロファイルを介して証明書を自動的に再配布します。デフォルトの 10 日という設定がニーズを満たさない場合は、Jamf サポートに連絡してください。

要件

構成プロファイルを配布するための要件が満たされていることを確認するには、Jamf Pro ドキュメントの以下のセクションの要件を参照します:

  1. Jamf Pro で、サイドバーのトップの Computers (コンピュータ) または Devices (デバイス) をクリックします。
  2. サイドバーの Configuration Profiles (構成プロファイル) をクリックします。
  3. New (新規) をクリックします。
  4. 一般 Payload を使用し、プロファイルを適用するレベルや配布方法などの基本設定を構成します。選択されたレベルに適用される Payload と設定のみプロファイルに表示されます。
  5. 証明書ペイロードを選択し、Configure (構成) をクリックして、以下を実行します。
    1. 表示名を入力してから、Select Certificate Option (証明書オプションを選択) ポップアップメニューから DigiCert インスタンスを選択します。
    2. CA に関する情報を指定するために、領域で設定を使用します。
  6. プロファイルに対して追加の Payload を構成し、ユーザが VPN や Wi-Fi などのリソースにアクセスできるようにします。CA 証明書をインストールするためのデバイスを有効にする方法によっては、信頼された証明書として追加の Payload にこの証明書を追加する必要がある場合があります。
  7. Scope (適用範囲) タブをクリックし、プロファイルの適用範囲を構成します。PKI が証明書を自動的に取り消すように構成されている場合、証明書が Scope 外のデバイスから自動的に取り消されるように、プロファイルの Scope を構成する必要があります。詳しくは、DigiCert 証明書の取り消し を参照してください。
  8. DigiCert 証明書を全デバイスへ発行する場合は、Save (保存) をクリックし、Distribute to All (すべてへ配布) を選択します。
    重要:

    デバイスに DigiCert 証明書を適切に発行するために、ユーザのインベントリ情報は完全である必要があります。Jamf Pro のユーザ向けのインベントリ情報に不完全なデータがある場合、DigiCert 証明書は属性がないので、「N/A」が記録されて発行されます。

  9. DigiCert Managed PKI サービス証明書をコンピュータやモバイルデバイスに対して発行するために、Jamf Pro で構成されているすべての構成プロファイルに対してプロセスを繰り返してください。

ステップ 4:DigiCert 証明書がデバイスに対して適切に発行されたことを検証

DigiCert 証明書がデバイスへ適切に発行されていることを検証するために、Jamf Pro でデバイス記録へ移動し、History (履歴) タブをクリックし、Management History (管理履歴) カテゴリを開き、証明書プロセスが正常に完了したことを確認してください。