証明書管理

ライセンス: Silver

証明書認証の利用は、モバイルデバイスのセキュリティを確保する効果的な方法です。 証明書は、パスワードよりもセキュリティ効果が高く、1つの認証情報でVPN、無線ネットワーク、Eメールなどを保護することができます。 組織が外部証明機関にアクセスする場合、Connectorを利用してアクセスすることができます。 組織が認証機関へのアクセス権を持たない場合、Ivanti Neurons for MDMを認証機関として利用することができます。 また、別の証明書機関に対する仲介証明書機関としても利用できます。 Ivanti Neurons for MDMが生成した証明書は自己署名証明書と呼ばれます。

  • 新しいID証明書を作成する際、SHA-1証明書は使用できなくなりました。 他のアルゴリズムを選択してください。 証明書を更新する際、旧い証明書がSHA-1を使用していれば、同じSHA-1アルゴリズムを使用可能です。 旧い証明書がSHA-1より新しいアルゴリズムを使用している場合、SHA-1に戻すことはできません。
  • ローカルまたは外部認証機関の構成中に [Ivanti Neurons for MDMにIDをキャッシュ] オプションを選択し、Ivanti Neurons for MDMサービスに証明書を保存します。 必要の都度、キャッシュをクリアして証明書を生成します。
  • 既存の証明書の編集中に、必要に応じて [アクション] メニューから [キャッシュした証明書をクリアし、最近更新した新しい証明書を発行] オプションを選択してください。 キャッシュされていない証明書は自動的に再発行されます。
  • システム効率を高めるには、First In First Out (FIFO)キューを使用し、管理者が作成した構成の証明書をオフラインで生成します。 構成をオフラインで生成する間、構成状態は、デバイス詳細 ページの [構成] タブにある [ステータス] 列で [証明書生成保留中] となります。 証明書が生成されると、構成は [インストール保留中] 状態に移行し、自動強制チェックインを通じて証明書とともにデバイスにプッシュされます。
  • DigiCert PKIプラットフォームまたはGlobalSignの社外認証機関によって署名された証明書を含め、すべての認証機関の証明書は、デバイスの撤去、ワイプ、証明書の再生成時に取り消されます。

管理者は、スマートカードログオンやカスタムオブジェクトID(OID)用の Ivanti Neurons for MDM 証明書を生成することができます。 以下の認証オプションに対応する証明書を生成可能です。

クライアント認証 - デフォルトで有効

IPSEC – 任意、管理者が有効化

スマートカードログオン – 任意、管理者が有効化

カスタムOID – 任意、管理者が有効化

この機能は以下の認証機関にのみ対応します:

ローカル証明書機関

仲介認証機関

外部認証機関 - NDESサーバー内でCAテンプレートのアプリケーションポリシーを設定し、IPSEC、スマートカードログオン、カスタムOIDをサポートします。

デバイス管理者モード、アプリステーションモード、またはその他の非Android Enterpriseモードにおいて、Samsung APIを使用しているSamsungデバイスでは、証明書管理はサポートされません。 Samsungの推奨に基づいて、Androidキーストアへの移行を検証することをお勧めします。

詳細については、証明書構成を参照してください。

オンプレミスのSCEP認証機関への接続

手順

  1. Ivanti Neurons for MDM 管理ポータルにログインします。

  2. Connectorをインストールし構成します([管理] > [Connector])。 詳細については、コネクタ をご参照ください。

  3. [管理] > [インフラストラクチャ] > [証明書管理] を開きます。

  4. [認証機関] セクションの下で [追加] セクションをクリックします。

  5. [オンプレミスのSCEP認証機関を追加] を選択し、[続行] をクリックします。

  6. この構成を識別する名前に入力します。

  7. 次の認証機関の種類から1つを選択します。

    • Microsoft

    • EJBCA

    • 汎用SCEPサーバー

      汎用SCEPサーバーオプションは、静的チャレンジパスワードを持つほとんどのSCEPサーバーで利用できます。

  8. 表示されたフォームに入力します。

  9. [完了] をクリックします。

外部認証機関の作成

第三者の認証機関を使用したい場合は、このオプションを選択してください。

手順

  1. [証明書管理] ページの [認証機関] セクションで [追加] をクリックします。

  2. [認証機関を追加] ページの [外部認証機関を作成] で [続行] をクリックします。

  3. 外部認証機関としてGlobalSignまたはDigiCert PKIプラットフォームを選択します。

  4. 表示されるフォームの残りのフィールドに入力します。

  5. [完了] をクリックします。

外部認証機関の証明書の表示

証明書の詳細を表示させ、この認証機関の中間/オルタネートルート証明書をアップロードして保存済みの既存証明書と置き換えることができます。

手順

  1. [証明書管理] ページの [認証機関] で、外部認証機関の隣にある [アクション] をクリックし、さらに [証明書を表示] をクリックします。[証明書を表示] ウィンドウが表示されます。

  2. [証明書を表示] ウィンドウで、[証明書をアップロード] をクリックします。[証明書をアップロード:外部CA] ウィンドウが表示されます。

  3. [ファイルを選択] をクリックし、アップロードする証明書を選択します。

  4. [完了] をクリックします。

仲介認証機関の作成

  • 証明書が必要な場合は、CSRを生成し、それを署名機関に提出します。 署名機関から証明書を受け取ったら、証明書をアップロードします。

  • すでに必要な証明書がある場合は、それをアップロードします。

CSR(証明書署名要求)の生成

手順

  1. [証明書管理] ページの [認証機関] セクションで [追加] をクリックします。

  2. [認証機関を追加] セクションの [仲介認証機関を作成] で [CSRを生成] をクリックします。

  3. 表示されたフォームに入力します。

  4. [生成] をクリックします。

  5. BEGIN CERTIFICATE REQUESTからEND CERTIFICATE REQUESTまでの内容をテキスト ファイルにコピーします。

  6. ファイルを認証機関に送信します。

  7. [完了] をクリックします。

署名済み証明書のアップロード

認証局から署名された証明書を受信すると、署名された証明書をアップロードできます。

手順

  1. [証明書管理] ページの [認証機関] セクションで、生成したCSRのエントリを検索します。

  2. 次に [アクション] > [新しい署名済み証明書] を選択します。

  3. [ファイルの選択] をクリックします。

  4. 新しく署名された証明書を選択します。

  5. [完了] をクリックします。

既存の証明書のアップロード

このトピックでは、署名された証明書をアップロードする方法について説明します。

手順

  1. [証明書管理] ページの [認証機関] セクションで [追加] をクリックします。

  2. [認証機関を追加] セクションの [仲介認証機関を作成] で [既存のIDをアップロード] をクリックします。

  3. [名前] フィールドで、この証明書を他の証明書と区別する名前を入力します。

  4. [アップロード] をクリックします。

  5. 証明書を選択します。

  6. 証明書のパスワードを入力します。

  7. [アップロード] をクリックします。

仲介認証機関の証明書の表示

証明書の詳細を表示させ、認証機関のCRL(証明書失効リスト)URLを取得することができます。

手順

  1. [認証機関] セクションで、認証機関の隣にある [アクション] をクリックし、[証明書を表示] をクリックします。[証明書を表示] ウィンドウが表示されます。

  2. [証明書を表示] ウィンドウの [CRL URL] フィールドにURLが表示されます。

  3. [コピー] をクリックするとURLをクリップボードにコピーし、別のアプリケーションに貼り付けることができます。このURLは、Office 365の構成において認証機関が発行した証明書を承認する際に使用できます。

スタンドアロン認証機関の作成

完全にスタンドアロン(ローカルおよび自己署名)の新しい認証機関を作成したい場合は、このオプションを選択してください。

手順

  1. [証明書管理] ページの [認証機関] セクションで [追加] をクリックします。

  2. [認証機関を追加] ページの [スタンドアロン認証機関を作成] で [続行] をクリックします。

  3. 表示されたフォームに入力します。

  4. [生成] をクリックします。

スタンドアロン認証機関の有効期限設定

スタンドアロン(ローカル)の認証機関の有効期限を設定できます。 デフォルトで証明書の期限は30年に設定されています。

手順

  1. [証明書管理] ページの [認証機関] セクションで、スタンドアロン認証機関の隣にある [アクション] をクリックします。

  2. [編集] をクリックします。

    [認証機関を編集] ウィンドウが表示されます。

  3. [クライアント証明書テンプレート] セクションの [証明書有効期限] フィールドに新しい有効期間を日数で入力します。

  4. [保存] をクリックします。

ローカル認証機関によって発行された証明書の有効期限切れが近い場合、またはすでに有効期限が切れている場合、通知とメール(オプションで有効になっている場合)を受け取ることがあります。

  • 証明書の有効期限が切れるまでの日数に関する通知 - 証明書の有効期限までの間、事前に設定した間隔で通知が生成されます。 最初の通知は、有効期限の365日前に発生し、その後、有効期限の180日、60日、45日、7日前に追加の通知が生成されます。 この通知の受信は、[管理] > [証明書管理] > [アクション] > [新しい署名済み証明書をアップロード] を開いて証明書を置き換えるまで続きます。
  • 期限切れの証明書に関する通知 - 証明書の期限が切れたときに通知が送信されます。 通常のサービスを再開するには、証明書を置き換える必要があります。
  • 新しい有効な証明書がアップロードされたときの通知 - 署名済みの新しい証明書がアップロードされると、通知が送信されます。

スタンドアロン認証機関の証明書の表示

証明書の詳細を表示させ、ローカル認証機関のCRL(証明書失効リスト)URLを取得することができます。

手順

  1. [証明書管理] ページの [認証機関] セクションで、ローカル認証機関の隣にある [アクション] をクリックし、さらに [証明書の表示] をクリックします。[証明書を表示] ウィンドウが表示されます。

  2. [証明書を表示] ウィンドウの [CRL URL] フィールドにURLが表示されます。

  3. [コピー] をクリックするとURLをクリップボードにコピーし、別のアプリケーションに貼り付けることができます。このURLは、Office 365の構成においてローカル認証機関が発行した証明書を承認する際に使用できます。

認証機関のCRLの有効期限の表示

ローカル認証機関または仲介認証機関のCRLライフタイムの表示と編集を実行できます。

手順

  1. [証明書管理] ページの [認証機関] セクションで、ローカル認証機関の隣にある [アクション] をクリックし、さらに [編集] をクリックします。[認証機関を編集] ウィンドウが表示されます。

  2. [認証機関を編集] ウィンドウに、CRLライフタイムの値が表示されます。デフォルトの最小値は24時間です。 入力できる最大値は、10950時間です。

  3. CRLライフタイムの値を編集し、[保存] をクリックします。

クラウド認証機関の作成

クラウド認証機関を使用したい場合は、このオプションを選択してください。

手順

  1. [証明書管理] ページの [認証機関] セクションで [追加] をクリックします。

  2. [認証機関を追加] ページの [クラウド認証機関を作成] で [続行] をクリックします。

  3. クラウド認証機関を選択します。 以下から選択:

    • Atos IDnomic CMS

    • DigiCert PKIプラットフォーム
    • Entrust
    • GlobalSign

  4. 表示されるフォームの残りのフィールドに入力します。

  5. [完了] をクリックします。

証明書の詳細検索

詳細検索のオプションでは、管理者がルールを使用して発行済みの証明書を検索し、特定の基準を満たす証明書を識別および表示します。 これらのルールは、「は次から始まる:」、「は次で終わる:」、「は次を含む:」、「は次を含まない:」、「は次から始まらない:」、「は次で終わらない:」、「は次より小さい:」、「は次より大きい:」、「が次の範囲内:」、「は次と等しい:」、「は次と等しくない:」などの演算子を使用して作成します。 [ANY (OR)] または [ALL (AND)] オプションを使用すれば、ルールオプションをネストでまとめることができます。 ルールに一致する発行済みの証明書は、セクションの下に表示されます。 Ivanti Neurons for MDM リリース76以降では、すべての証明書管理テンプレートの通信事業者が標準の通信事業者です。以下のテンプレートの演算子は本リリースで標準化されています。

  • [管理] > [証明書管理] > [発行された証明書] > [詳細検索]

発行された証明書の詳細検索

手順

  1. [証明書管理] ページの [発行された証明書][詳細検索] リンクをクリックします。
  2. ユーザーが少なくとも1つのルールを満たす必要がある場合は [いずれか]、証明書がすべてのルールを満たす必要がある場合は [すべて] をクリックします。
  3. 以下の属性について検索基準を定義するルールを作成します。
    • CA
    • 構成名
    • 有効期限
    • プライベートキー
    • OS
    • シリアル番号
    • ステータス
    • 利用の種類
    • ユーザー
  4. (任意)[+] をクリックし、必要に応じて他のルールを作成します。
  5. (任意)[保存] をクリックしてクエリを保存します。
  6. [検索] をクリックします。検索基準に一致するユーザーのリストがページに表示されます。

ユーザが指定した証明書の詳細検索

手順

  1. [証明書管理] ページの [ユーザが指定した証明書][詳細検索] リンクをクリックします。
  2. ユーザーが少なくとも1つのルールを満たす必要がある場合は [いずれか]、証明書がすべてのルールを満たす必要がある場合は [すべて] をクリックします。
  3. 以下の属性について検索基準を定義するルールを作成します。
    • 証明書名
    • 有効期限
    • 発行者:
    • アップロード日:
  4. (任意)[+] をクリックし、必要に応じて他のルールを作成します。
  5. (任意)[保存] をクリックしてクエリを保存します。
  6. [検索] をクリックします。検索基準に一致するユーザーのリストがページに表示されます。

発行された証明書に対する検索クエリのロード

保存した検索クエリーのリストを表示するには:

手順

  1. [証明書管理] ページの [発行された証明書][詳細検索] リンクをクリックします。
  2. フォルダーアイコンをクリックします。 [詳細検索] ウィンドウが表示されます。[クエリを読み込む] セクションに、作成された検索クエリのリストが表示されます。このセクションには以下の情報が表示されます。
    • クエリ名 - 読み込まれたクエリの名前。
    • クエリの内容 - 検索クエリを定義するルールの内容を表示します。
    • アクション - クエリに実行するアクションを選択します。
  3. [アクション] カラムの [クエリを読み込む] をクリックすると、発行された証明書のうち、読み込まれたクエリに定義された基準に一致する証明書のリストが表示されます。

    読み込んだクエリを削除するには、削除アイコンをクリックします。

[CSVにエクスポート] をクリックすると、検索結果のレポートの内容をCSVファイルにダウンロードし、後で参照または分析することができます。

発行された証明書の有効期限の表示

[発行された証明書] セクションの [有効期限(日数)] カラムには、有効期間が残り30日未満になった証明書の残りの有効日数が表示されます。過去30日以内にすでに証明書の有効期限が切れている場合、証明書の [有効期限(日数)] カラムは有効期限が切れてからの日数を表示します。

詳細は外部認証機関用のSCEP構成を参照してください。

CSVにエクスポート

後から参照または分析するために、証明書を CSV ファイルにエクスポートできます。

手順

  1. [証明書管理] ページで、次のタブのいずれかに移動します。

    • 認証機関

    • 発行された証明書

    • ユーザが指定した証明書

  2. [CSV にエクスポート] をクリックします。

  3. [ダウンロード] をクリックします。

  4. (任意)レポートを削除するには [削除] をクリックします。