SCEP プロトコルを使用した証明書配布

Jamf ProDigiCert PKI プラットフォーム の間の通信を確立すると、Jamf Pro を使用して DigiCert を認証局 (CA) とし、構成プロファイルを介してお使いの環境のコンピュータとモバイルデバイスに証明書を配布することができます。

SCEP プロトコルを使用して証明書を配布すると、トラフィックが直接 DigiCert PKI プラットフォーム に直接送信されます。トラフィックは Jamf Pro を経由したプロキシではありません。これにより、ダイナミックチャレンジおよび自動取り消しの双方によって SCEP ワークフローの証明書のセキュリティが強化されます。

手順には以下のステップがあります。

  1. DigiCert PKI プラットフォーム に新しい証明書プロファイルを追加

  2. DigiCertJamf Pro の認証局として構成

  3. 構成プロファイルを使用して DigiCert 証明書をデバイスへ配布

  4. DigiCert 証明書がデバイスに対して適切に発行されたことを検証

ステップ 1:DigiCert PKI プラットフォーム に新しい証明書プロファイルを追加

  1. DigiCert PKI プラットフォーム にログインします。
  2. Settings (設定) > Manage certificate profiles (証明書プロファイルを管理) へ移動します。
  3. Add certificate profiles (証明書プロファイルを追加) をクリックして、新しい証明書プロファイルをセットアップし、画面上の説明に従って先へ進みます。
  4. それぞれの DigiCert 証明書に対してプロファイルが作成されるまで、証明書プロファイルを追加し続けます。

ステップ 2:DigiCertJamf Pro の認証局として構成

以下のステップが CA により要求され、これにより Jamf Pro サーバは登録局 (RA) として証明書認証の要求を CA に対して行えるようになります。

  1. Jamf Pro で、ページの右上にある Settings (設定) をクリックします。
  2. Global Management (一括管理) セクションの PKI Certificates (PKI 証明書) をクリックします。
  3. Configure New Certificate Authority (新認証局の構成) をクリックします。
  4. DigiCert」を PKI プロバイダとして選択し、Next (次へ) をクリックして、DigiCert 証明書プロファイルアシスタントで続行します。
  5. CSR を Jamf Pro からコピーして、Next (次へ) をクリックします。
  6. プロンプト画面が表示されたら、DigiCert PKI プラットフォーム のウェブサイト (https://pki-manager.symauth.com/pki-manager/) に移動し、以下のステップを完了してください。
    1. PIN を入力してください。必要に応じて、どの証明書を認証に使用する必要があるかを選択します。
    2. Settings (設定) > Get an RA certificate (RA 証明書を取得) へ移動します。
    3. Jamf Pro からコピーした CSR を貼り付け、証明書に分かりやすい名前を入力し、Continue (続行) をクリックします。
    4. 生成された DigiCert RA 証明書をダウンロードするために Download (ダウンロード) をクリックして、Done (完了) をクリックします。
  7. 任意のテキストエディターでダウンロードした RA 証明書ファイル (.p7b) を開き、コンテンツをコピーします。
  8. Jamf Pro で、Next (次へ) をクリックします。
  9. DigiCert CA 構成名」を入力し、コピーした RA 証明書を RA Certificate Copied from DigiCert (DigiCert からコピーした RA 証明書) フィールドへ貼り付け、Next (次へ) をクリックします。
  10. コンピュータまたはモバイルデバイスからの証明書を自動的に取り消す場合は、Enable automatic certificate revocation (自動証明書失効を有効化) を選択します。詳しくは、DigiCert 証明書を取り消すを参照してください。
  11. 完了 をクリックします。
新しい認証局が正常に構成された場合、PKI 証明書の表に一覧表示されます。

ステップ 3:構成プロファイルを使用して DigiCert 証明書をデバイスへ配布

DigiCertJamf Pro に CA として追加され、Jamf ProDigiCert の間の通信が確立された後、Jamf Pro の構成プロファイルを使用して、DigiCert の証明書を CA として配布できます。構成プロファイルを使用すると、コンピュータやモバイルデバイスが CA 証明書をインストールできるようにしたり、ユーザが VPN や Wi-Fi などのリソースにアクセスしたりできるようにする設定を定義できます。

要件

構成プロファイルを配布するための要件が満たされていることを確認するには、Jamf Pro ドキュメントの以下のセクションの要件を参照します:

  1. Jamf Pro で、サイドバーのトップの Computers (コンピュータ) または Devices (デバイス) をクリックします。
  2. サイドバーの Configuration Profiles (構成プロファイル) をクリックします。
  3. New (新規) をクリックします。
  4. 一般 Payload を使用し、プロファイルを適用するレベルや配布方法などの基本設定を構成します。選択されたレベルに適用される Payload と設定のみプロファイルに表示されます。
  5. SCEP サーバと直接通信を行い、CA 証明書を取得できるようにデバイスを有効にするには、SCEP Payload を選択し、Configure (構成) をクリックし、以下を実行してください。
    1. DigiCert 証明書プロファイルから提供された SCEP 登録 URL を入力してください。
    2. Name (名前) フィールドの DigiCert 構成プロファイルに表示される Certificate Authority (CA) の名称を入力してください。
    3. Challenge Type (チャレンジタイプ) ポップアップメニューからダイナミック DigiCert を選択して、使用する DigiCert PKI インスタンスを選択してください。
    4. SCEP チャレンジに使用する証明書プロファイル ID とシート ID を選択してください。
      注:

      Jamf Pro の構成プロファイルセットアップページに一覧表示されている OID は、DigiCert PKI Manager の証明書プロファイル記録の OID に関連しています。OID を比較して、構成プロファイル設定が有効で、DigiCert PKI Manager の証明書プロファイル記録で定義されている設定と合致していることを確認してください。

      証明書プロファイル ID とシートID の組み合わせは、各構成プロファイルに対して 1 回しか使用できません。

      証明書プロファイル ID は各構成プロファイルに対して 1 回のみ使用するようにする必要があります。証明書プロファイル ID を同じデバイスタイプの複数の構成プロファイルに対して再利用すると、証明書が不適切に割り当てられることがあります。しかし、同じ証明書プロファイル ID を別のデバイスタイプ (1 つのコンピュータ構成プロファイルと 1 つのモバイルデバイス構成プロファイルなど) の構成プロファイルに対して再利用できます。

      SCEP プロファイルに使用されるシート ID は Subject (件名) フィールドで使用される CN と同じにすることが推奨されます。

      DigiCert で使用されている証明書プロファイルの要件によっては、追加の設定を構成することが求められることがあります (Key Size (キーサイズ)、Use a digital signature (デジタル署名を使用)、Use for key encipherment (キーの暗号化に使用) など)。

  6. プロファイルに対して追加の Payload を構成し、ユーザが VPN や Wi-Fi などのリソースにアクセスできるようにします。CA 証明書をインストールするためのデバイスを有効にする方法によっては、信頼された証明書として追加の Payload にこの証明書を追加する必要がある場合があります。
  7. Scope (適用範囲) タブをクリックし、プロファイルの適用範囲を構成します。PKI が証明書を自動的に取り消すように構成されている場合、証明書が Scope 外のデバイスから自動的に取り消されるように、プロファイルの Scope を構成する必要があります。詳しくは、DigiCert 証明書の取り消し を参照してください。
  8. DigiCert 証明書を全デバイスへ発行する場合は、Save (保存) をクリックし、Distribute to All (すべてへ配布) を選択します。
    重要:

    デバイスに DigiCert 証明書を適切に発行するために、ユーザのインベントリ情報は完全である必要があります。Jamf Pro のユーザ向けのインベントリ情報に不完全なデータがある場合、DigiCert 証明書は属性がないので、「N/A」が記録されて発行されます。

  9. DigiCert Managed PKI サービス証明書をコンピュータやモバイルデバイスに対して発行するために、Jamf Pro で構成されているすべての構成プロファイルに対してプロセスを繰り返してください。

ステップ 4:DigiCert 証明書がデバイスに対して適切に発行されたことを検証

DigiCert 証明書がデバイスへ適切に発行されていることを検証するために、Jamf Pro でデバイス記録へ移動し、History (履歴) タブをクリックし、Management History (管理履歴) カテゴリを開き、証明書プロセスが正常に完了したことを確認してください。