iOS MDM デバイスへの SCEP プロファイルの追加
iOS MDM デバイスユーザーがインターネット経由で証明書センターから証明書を自動的に受け取れるようにするには、SCEP プロファイルを追加する必要があります。SCEP プロファイルによって Simple Certificate Enrollment Protocol(SCEP)のサポートが有効になります。
既定では、以下のように設定された SCEP プロファイルが追加されます:
- 証明書の登録に、サブジェクトの別名は使用しない。
- SCEP サーバーへのポーリングは、10 秒間隔で 3 回試行する。証明書に署名するすべての試行が失敗した場合、署名を要求する新しい証明書を生成する必要があります。
- 受け取った証明書を、データの署名または暗号化に使用することはできない。
SCEP プロファイルを追加する時に、特定の設定を編集できます。
SCEP プロファイルを追加するには:
- コンソールツリーの[管理対象デバイス]フォルダーで、iOS MDM デバイスが属する管理グループを選択します。
- 選択したグループの作業領域で、[ポリシー]タブを選択します。
- ダブルクリックでポリシーのプロパティウィンドウを開きます。
- ポリシーのプロパティウィンドウで、[SCEP]セクションを選択します。
- [SCEP プロファイル]セクションで、[追加]をクリックします。
[SCEP プロファイル]ウィンドウが表示されます。
- [サーバーの Web アドレス]に、証明書センターが導入されている SCEP サーバーの URL を入力します。
URL には IP アドレスまたは完全ドメイン名(FQDN)を含めることができます。例:http://10.10.10.10/certserver/companyscep
- [名前]に、SCEP サーバーに導入されている証明書センターの名前を入力します。
- [サブジェクト]に、X.500 証明書に登録されている iOS MDM デバイスユーザーの属性を入力します。
属性には、国(C)、組織(O)、共通名(CN)の詳細を定義できます。例:/C=RU/O=MyCompany/CN=User/RFC 5280 に指定されたその他の属性も使用できます。
- [サブジェクトの別名の種別]ドロップダウンリストで、SCEP サーバーのサブジェクトの別名の種別を選択します:
- なし - 別名による識別は使用しません。
- RFC 822 名 - メールアドレスを使用した識別。メールアドレスは RFC 822 に従って指定する必要があります。
- DNS 名 - ドメイン名を使用した識別。
- URI - IP アドレスまたは FQDN 形式のアドレスを使用した識別。
サブジェクトの別名は、iOS MDM モバイルデバイスのユーザーを識別するために使用できます。
- [サブジェクトの別名]に X.500 証明書の別名を入力します。サブジェクトの別名の値は、サブジェクトの種別(ユーザーのメールアドレス、ドメインまたは Web アドレス)によって異なります。
- [NT サブジェクト名]に、Windows NT ネットワーク上の iOS MDM モバイルデバイスユーザーの DNS 名を入力します。
NT サブジェクト名は、SCEP サーバーに送信される証明書要求に含められます。
- [SCEP サーバーのポーリング試行回数]に、証明書の署名を取得するために行う SCEP サーバーのポーリングの最大試行回数を指定します。
- [試行頻度(秒)]に、証明書の署名を取得するために行う SCEP サーバーのポーリングの試行間隔を秒単位で指定します。
- [登録要求]に、事前に公開されている登録鍵を入力します。
証明書に署名する前に、SCEP サーバーはモバイルデバイスユーザーに暗号鍵の提供を要求します。このフィールドが空の場合、SCEP は暗号鍵を要求しません。
- [暗号鍵のサイズ]ドロップダウンリストで、1024 ビットまたは 2048 ビットを登録鍵のサイズとして選択します。
- SCEP サーバーから受け取った証明書を、ユーザーが署名する証明書として使用することを許可する場合は、[署名に使用]をオンにします。
- SCEP サーバーから受け取った証明書を、ユーザーがデータの暗号化に使用することを許可する場合は、[暗号化に使用]をオンにします。
SCEP サーバー証明書を、データ署名証明書とデータ暗号化証明書の両方に同時に使用することは禁止されています。
- [証明書のフィンガープリント]に、証明書センターからの応答を検証するための一意の証明書のフィンガープリントを入力します。SHA-1 または MD5 ハッシュアルゴリズムによる証明書のフィンガープリントを使用できます。証明書のフィンガープリントを手動でコピーすること、または[証明書から作成]で証明書を選択することができます。[証明書から作成]でフィンガープリントを作成した場合、フィンガープリントはフィールドに自動的に追加されます。
証明書のフィンガープリントは、モバイルデバイスと証明書センターとの間のデータ交換が HTTP プロトコル経由で行われる場合は必ず指定する必要があります。
- [OK]をクリックします。
新しい SCEP プロファイルがリストに表示されます。
- [適用]をクリックして、変更を保存します。
これにより、ポリシーの適用後、ユーザーのモバイルデバイスはインターネット経由で証明書センターから証明書を自動的に受け取るように設定されます。