サポート

法人向けアプリケーション

Kaspersky Security 10 for Mobile

MMC ベースの管理コンソールの操作

設定と管理

プロテクション

iOS MDM デバイスへの SCEP プロファイルの追加
Kaspersky Security for Mobile
サポートサイト オンラインヘルプ
よくある質問まとめ (FAQ) ダウンロード 購入 更新 フォーラム (英語) サポートへ問い合わせる 無料ツール

iOS MDM デバイスへの SCEP プロファイルの追加

2024年3月21日

ID 90359

PDF として入手

iOS MDM デバイスユーザーがインターネット経由で証明書センターから証明書を自動的に受け取れるようにするには、SCEP プロファイルを追加する必要があります。SCEP プロファイルによって Simple Certificate Enrollment Protocol(SCEP)のサポートが有効になります。

既定では、以下のように設定された SCEP プロファイルが追加されます:

  • 証明書の登録に、サブジェクトの別名は使用しない。
  • SCEP サーバーへのポーリングは、10 秒間隔で 3 回試行する。証明書に署名するすべての試行が失敗した場合、署名を要求する新しい証明書を生成する必要があります。
  • 受け取った証明書を、データの署名または暗号化に使用することはできない。

SCEP プロファイルを追加する時に、特定の設定を編集できます。

SCEP プロファイルを追加するには:

  1. コンソールツリーの[管理対象デバイス]フォルダーで、iOS MDM デバイスが属する管理グループを選択します。
  2. 選択したグループの作業領域で、[ポリシー]タブを選択します。
  3. ダブルクリックでポリシーのプロパティウィンドウを開きます。
  4. ポリシーのプロパティウィンドウで、[SCEP]セクションを選択します。
  5. SCEP プロファイル]セクションで、[追加]をクリックします。

    SCEP プロファイル]ウィンドウが表示されます。

  6. サーバーの Web アドレス]に、証明書センターが導入されている SCEP サーバーの URL を入力します。

    URL には IP アドレスまたは完全ドメイン名(FQDN)を含めることができます。例:http://10.10.10.10/certserver/companyscep

  7. 名前]に、SCEP サーバーに導入されている証明書センターの名前を入力します。
  8. サブジェクト]に、X.500 証明書に登録されている iOS MDM デバイスユーザーの属性を入力します。

    属性には、国(C)、組織(O)、共通名(CN)の詳細を定義できます。例:/C=RU/O=MyCompany/CN=User/RFC 5280 に指定されたその他の属性も使用できます。

  9. サブジェクトの別名の種別]ドロップダウンリストで、SCEP サーバーのサブジェクトの別名の種別を選択します:
    • なし - 別名による識別は使用しません。
    • RFC 822 名 - メールアドレスを使用した識別。メールアドレスは RFC 822 に従って指定する必要があります。
    • DNS 名 - ドメイン名を使用した識別。
    • URI - IP アドレスまたは FQDN 形式のアドレスを使用した識別。

    サブジェクトの別名は、iOS MDM モバイルデバイスのユーザーを識別するために使用できます。

  10. サブジェクトの別名]に X.500 証明書の別名を入力します。サブジェクトの別名の値は、サブジェクトの種別(ユーザーのメールアドレス、ドメインまたは Web アドレス)によって異なります。
  11. NT サブジェクト名]に、Windows NT ネットワーク上の iOS MDM モバイルデバイスユーザーの DNS 名を入力します。

    NT サブジェクト名は、SCEP サーバーに送信される証明書要求に含められます。

  12. SCEP サーバーのポーリング試行回数]に、証明書の署名を取得するために行う SCEP サーバーのポーリングの最大試行回数を指定します。
  13. 試行頻度(秒)]に、証明書の署名を取得するために行う SCEP サーバーのポーリングの試行間隔を秒単位で指定します。
  14. 登録要求]に、事前に公開されている登録鍵を入力します。

    証明書に署名する前に、SCEP サーバーはモバイルデバイスユーザーに暗号鍵の提供を要求します。このフィールドが空の場合、SCEP は暗号鍵を要求しません。

  15. 暗号鍵のサイズ]ドロップダウンリストで、1024 ビットまたは 2048 ビットを登録鍵のサイズとして選択します。
  16. SCEP サーバーから受け取った証明書を、ユーザーが署名する証明書として使用することを許可する場合は、[署名に使用]をオンにします。
  17. SCEP サーバーから受け取った証明書を、ユーザーがデータの暗号化に使用することを許可する場合は、[暗号化に使用]をオンにします。

    SCEP サーバー証明書を、データ署名証明書とデータ暗号化証明書の両方に同時に使用することは禁止されています。

  18. 証明書のフィンガープリント]に、証明書センターからの応答を検証するための一意の証明書のフィンガープリントを入力します。SHA-1 または MD5 ハッシュアルゴリズムによる証明書のフィンガープリントを使用できます。証明書のフィンガープリントを手動でコピーすること、または[証明書から作成]で証明書を選択することができます。[証明書から作成]でフィンガープリントを作成した場合、フィンガープリントはフィールドに自動的に追加されます。

    証明書のフィンガープリントは、モバイルデバイスと証明書センターとの間のデータ交換が HTTP プロトコル経由で行われる場合は必ず指定する必要があります。

  19. OK]をクリックします。

    新しい SCEP プロファイルがリストに表示されます。

  20. 適用]をクリックして、変更を保存します。

これにより、ポリシーの適用後、ユーザーのモバイルデバイスはインターネット経由で証明書センターから証明書を自動的に受け取るように設定されます。

Kaspersky Security for Mobile
機密性の高いビジネスデータや重要なビジネスプロセスをリスクにさらすことなく、どこでもスマートフォンやタブレットを使用して作業可能。Endpoint Security for Business Advanced の一部として購入。
拡張テクニカルサポート(MSA):優先度の高いインシデント対応
電話または Web ポータルでサポートを提供。迅速なインシデント対応、監視、正常性チェック。最適なプランを選び、申請して、契約(MSA)をアクティブ化。
この記事はお役に立ちましたか?
改善できる点がありましたらお聞かせください。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。
フィードバックをいただき、ありがとうございました。改善に向けて取り組んでまいります。