SCEP プロトコルを使用した証明書配布
Jamf Pro と DigiCert PKI プラットフォーム の間の通信を確立すると、Jamf Pro を使用して DigiCert を認証局 (CA) とし、構成プロファイルを介してお使いの環境のコンピュータとモバイルデバイスに証明書を配布することができます。
SCEP プロトコルを使用して証明書を配布すると、トラフィックが直接 DigiCert PKI プラットフォーム に直接送信されます。トラフィックは Jamf Pro を経由したプロキシではありません。これにより、ダイナミックチャレンジおよび自動取り消しの双方によって SCEP ワークフローの証明書のセキュリティが強化されます。
手順には以下のステップがあります。
-
DigiCert PKI プラットフォーム に新しい証明書プロファイルを追加
DigiCert を Jamf Pro の認証局として構成
構成プロファイルを使用して DigiCert 証明書をデバイスへ配布
DigiCert 証明書がデバイスに対して適切に発行されたことを検証
ステップ 1:DigiCert PKI プラットフォーム に新しい証明書プロファイルを追加
- DigiCert PKI プラットフォーム にログインします。
- へ移動します。
- Add certificate profiles (証明書プロファイルを追加) をクリックして、新しい証明書プロファイルをセットアップし、画面上の説明に従って先へ進みます。
- それぞれの DigiCert 証明書に対してプロファイルが作成されるまで、証明書プロファイルを追加し続けます。
ステップ 2:DigiCert を Jamf Pro の認証局として構成
以下のステップが CA により要求され、これにより Jamf Pro サーバは登録局 (RA) として証明書認証の要求を CA に対して行えるようになります。
- Jamf Pro で、ページの右上にある Settings (設定)
をクリックします。
- Global Management (一括管理) セクションの PKI Certificates (PKI 証明書)
をクリックします。
- Configure New Certificate Authority (新認証局の構成) をクリックします。
- 「DigiCert」を PKI プロバイダとして選択し、Next (次へ) をクリックして、DigiCert 証明書プロファイルアシスタントで続行します。
- CSR を Jamf Pro からコピーして、Next (次へ) をクリックします。
- プロンプト画面が表示されたら、DigiCert PKI プラットフォーム のウェブサイト (https://pki-manager.symauth.com/pki-manager/) に移動し、以下のステップを完了してください。
- PIN を入力してください。必要に応じて、どの証明書を認証に使用する必要があるかを選択します。
- へ移動します。
- Jamf Pro からコピーした CSR を貼り付け、証明書に分かりやすい名前を入力し、Continue (続行) をクリックします。
- 生成された DigiCert RA 証明書をダウンロードするために Download (ダウンロード) をクリックして、Done (完了) をクリックします。
- 任意のテキストエディターでダウンロードした RA 証明書ファイル (.p7b) を開き、コンテンツをコピーします。
- Jamf Pro で、Next (次へ) をクリックします。
- 「DigiCert CA 構成名」を入力し、コピーした RA 証明書を RA Certificate Copied from DigiCert (DigiCert からコピーした RA 証明書) フィールドへ貼り付け、Next (次へ) をクリックします。
- コンピュータまたはモバイルデバイスからの証明書を自動的に取り消す場合は、Enable automatic certificate revocation (自動証明書失効を有効化) を選択します。詳しくは、DigiCert 証明書を取り消すを参照してください。
- 完了 をクリックします。
ステップ 3:構成プロファイルを使用して DigiCert 証明書をデバイスへ配布
DigiCert が Jamf Pro に CA として追加され、Jamf Pro と DigiCert の間の通信が確立された後、Jamf Pro の構成プロファイルを使用して、DigiCert の証明書を CA として配布できます。構成プロファイルを使用すると、コンピュータやモバイルデバイスが CA 証明書をインストールできるようにしたり、ユーザが VPN や Wi-Fi などのリソースにアクセスしたりできるようにする設定を定義できます。
構成プロファイルを配布するための要件が満たされていることを確認するには、Jamf Pro ドキュメントの以下のセクションの要件を参照します:
ステップ 4:DigiCert 証明書がデバイスに対して適切に発行されたことを検証
DigiCert 証明書がデバイスへ適切に発行されていることを検証するために、Jamf Pro でデバイス記録へ移動し、History (履歴) タブをクリックし、Management History (管理履歴) カテゴリを開き、証明書プロセスが正常に完了したことを確認してください。