ID証明書

このセクションは以下のトピックを含みます。

ID証明書構成では、モバイルデバイスの証明書認証メカニズムを定義します。 ID証明書とは、X.509証明書(.p12または.pfx)です。 ID証明書は認証機関をソースとして動的にも生成できます。開始する前に、モバイルデバイスへの証明書配信を計画する方法を把握しておく必要があります。 必要な認証機関も構成しておいてください。

リリース91以降、AppleデバイスのデバイスID証明書は、有効期限切れになる前の30日以内に自動的に更新されます。 iOSデバイスは、定期的なデバイスチェックインフローの一部として、更新済みのMDM証明書をIvanti Neurons for MDMから受け取ります。 ただし、オフラインになっている期間が長すぎて、証明書期限切れ前の更新が行われていたであろうチェックインよりも前にすでにMDM証明書が期限切れになっていたiOSデバイスは、Ivanti Neurons for MDMへの再登録が必要になります。

  • 新しいID証明書を作成する際、SHA-1証明書は使用できなくなりました。 他のアルゴリズムを選択してください。 証明書を更新する際、旧い証明書がSHA-1を使用していれば、同じSHA-1アルゴリズムを使用可能です。 旧い証明書がSHA-1より新しいアルゴリズムを使用している場合、SHA-1には変更できません。
  • ID証明書を構成した後、[構成をテストして続行] をクリックし、テスト証明書の発行と有効性検証を行います。 主体者名がローカル認証機関と同じ場合、動的に生成された新規または既存のID証明書構成に対してこのテストを実行すると、エラーが表示される場合があります。 このエラーメッセージが表示された場合は、ID証明書の主体者名を、ローカル認証機関の主体者名とは異なるものに変更する必要があります。 既存のID証明書構成の主体者名が変更されると、証明書が再発行され、構成が再プッシュされます。

    テスト証明書の発行なしで構成を作成し、動的生成証明書を配布するオプションを設定している場合は、[続行] をクリックしてください。
  • 既存のID証明書構成の編集中に(これは順次TunnelまたはAppTunnelのセキュリティプロファイルで使用されます)、必要に応じて [アクション] メニューから [キャッシュした証明書をクリアし、最近更新した新しい証明書を発行] オプションを選択できます。 キャッシュされていない証明書は自動的に再発行されます。
  • AndroidアプリにID証明書が割り当てられている場合、ユーザーのアプリがID証明書を取得し、証明書を使用する許可を(アプリではなく)ユーザーが与えるためのプロンプトが表示されることはありません。 これにはEmail+、Gmailなどすべてのアプリが含まれます。
  • Email+は、ユーザーが入力した [ID証明書] で構成することができ、アプリ構成としてAndroid Enterpriseデバイスにプッシュし、割り当てることができます。 これは、会社所有デバイス上の仕事用プロファイルとデバイス所有者モードにのみ適用されます。

ID証明書設定

設定

操作内容

名前

この構成を識別する名前に入力します。

説明

この構成の目的を明示する説明を入力します。

証明書の配布

設定する証明書配布の種類を選択します。

  • シングルファイル:デバイスに配布する既存の証明書をアップロードします。
  • 動的生成:ローカルまたは外部の証明書機関を利用し、要求に応じて証明書を作成します。
  • ユーザー提供:ユーザーによってアップロードされる証明書の種類のラベルを作成します。 作成した後、ユーザーは作成したラベル(オプション)をセルフサービスポータルで閲覧し、そのラベルに対応する証明書をアップロードできます。
  • デバイス認証情報:派生認証の用途を以下のいずれかに指定してください。
    • 認証
    • 暗号化
    • 署名
    • 復号化
  •  SCEP構成: SCEPサーバーからの証明書を要求する方法を指定します。 以下の構成から1つ選択してください。
    • Apple 構成
    • Windows構成

選択により、残りのフォームに表示されるオプションが決まります。

すべてのアプリにプライベートキーへのアクセスを許可(macOS 10.10+)

適用先: 1つのファイル、動的に生成、ユーザ提供、SCEP Apple 構成 ID 証明書。

(任意)PKCS#12証明書の場合は、[すべてのアプリにプライベートキーへのアクセスを許可] オプションを有効化し、すべてのアプリがプライベートキーにアクセスできるようにします。

たとえばこのキーは、VPNに使用する証明書へのアクセスを許可するため、ユーザーからパスワードが要求された場合などに使用できます。

シングルファイル

ID証明書データ

証明書ファイルを点線で囲まれたボックスへドラッグするか、[ファイルを選択する] をクリックしてファイルシステムから選択します。

パスワード

PKCS#12証明書ファイルを保護するパスワードを入力します。 このパスワードはプロンプトなしでのインストールに使用されます。

動的生成

ソース

ドロップダウンからローカル認証機関を選択します。 [管理] > [証明書管理] でこのCAを作成しておく必要があります。

テスト証明書の発行なしで構成を作成

テスト証明書の発行なしで構成を作成する場合にチェックチェックボックスを選択します。

Windowsのみ - ターゲット証明書ストア

管理者はWindowsデバイスでターゲット証明書ストアを選択できるようになりました。

ユーザー提供

証明書表示名

証明書名を入力します。 この証明書の名前はテナントに固有であり、ユーザーは証明書をアップロードする際にセルフサービスポータルで名前を見ることができます。

プライベートキーを削除

n(1~30)日後に証明書のプライベートキーを削除する場合に選択します。

この操作には Ivanti Neurons for MDM が提供するAPIを使用できます。 APIの詳細はIvanti Neurons for MDMAPIガイドをご覧ください。

プライベートキーが削除された後でこの証明書を構成に使用しようとすると(アプリケーションの認証やWi-FiまたはVPN構成のプッシュなど)、タスクは失敗します。 プライベートキーを削除する前に必ずタスクを実行してください。

プライベートキーを削除するまでの日数 証明書のプライベートキーがクリアされる日数(1~30)を選択します。 デフォルト値は2日です。
派生認証情報
派生認証情報の使用

以下のいずれかを選択します。

  • 認証 - 派生認証情報を認証に使用することを指定します。
  • 暗号化 - 派生認証情報の用途を暗号化に指定します。
  • 署名 - 派生認証情報を署名に使用することを指定します。
  • 復号化 - 派生認証情報の用途を復号化に指定します。
ブランド

使用する派生認証情報プロバイダーを次から選択します。

  • Entrust
  • Intercede
  • Purebred

カスタム派生認証情報を追加する方法は、派生認証情報プロバイダーを参照してください。

ACME構成 - iOS/iPadOS16+にのみ該当

クライアント識別子

特定のデバイスを識別する一意の文字列

ディレクトリURL

(必須)ACMEサーバーのディレクトリURL。 このURLには、httpsスキームを使用する必要があります。

拡張キー使用法

値は文字列の配列です。 各文字列はドット表記のOIDです。 たとえば、[”1.3.6.1.5.5.7.3.2”, “1.3.6.1.5.5.7.3.4”] はクライアント認証とメール保護を示します。

デバイスは、ACMEサーバーが発行する証明書の場合に、このフィールドを要求します。 ACMEサーバーは、自身が発行した証明書内ではこのフィールドをオーバーライドまたは無視する場合があります。

キーサイズ

(必須)KeySizeの有効値は、KeyTypeとHardwareBoundの値に依存します。 特定の要件については、それぞれのキーを参照してください。

キータイプ

(必須)生成するキーペアの種類。

タイトル名

(必須)デバイスは、ACMEサーバーが発行する証明書の場合に、このサブジェクトを要求します。 ACMEサーバーは、自身が発行した証明書内ではこのフィールドをオーバーライドまたは無視する場合があります。 OIDと値の配列として表されるX.500名の表現 たとえば、/C=US/O=Apple Inc./CN=foo/1.2.5.3=barは、以下に相当します。

[ [ [”C”, “US”] ], [ [”O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ]

ドット区切りの数字でOIDを表現でき、国(C)、地域(L)、州(ST)、組織(O)、組織ユニット(OU)、共通名(CN)はそれぞれショートカットです。

型:[文字列]

サブジェクトの別名

ACMEサーバーが発行する証明書の場合にデバイスが要求するサブジェクト別名。 ACMEサーバーは、自身が発行した証明書内ではこのフィールドをオーバーライドまたは無視する場合があります。

キーの使用

この値はビットフィールドです。

ビット0x01は、デジタル署名を示します。

ビット0x10はキーの承諾を示します。

デバイスは、ACMEサーバーが発行する証明書の場合に、このキーを要求します。 ACMEサーバーは、自身が発行した証明書内ではこのフィールドをオーバーライドまたは無視する場合があります。

バインドされたハードウェア

[バインドされたハードウェア] がtrueに設定されていると、プライベートキーがデバイスにバインドされ、そうなると、キータイプはECSECPrimeRandomでなければならず、キーサイズは256または384でなければなりません。

証明

trueの場合、デバイスは、デバイスを記述する構成証明と生成されたキーをACMEサーバーに提供します。 [証明] がtrueの場合は、[バインドされたハードウェア] もtrueであることが必要です。

SCEP 構成 - Apple 構成

ID証明書(SCEP)

SCEPサーバーを指定する場合に選択します。

ローカル証明書機関

[管理] > [証明書管理] ですでに作成してあるローカル認証機関を指定する場合に選択します。このオプションを選択したときに表示されるドロップダウンからローカル証明書機関を選択します。

URL

SCEPサーバのURLを入力します。

CA識別子

認証機関によって提供された識別子を入力します。

タイトル名

OIDと値をコンマで区切って配列するX.500名を入力します。 一般に、サブジェクトはユーザーの完全修飾ドメイン名にします。 たとえば、C=US,DC=com,DC=MobileIron,OU=InfoTechやCN=www.mobileiron.comとします。

また、OIDに変数を追加してサブジェクトをカスタマイズすることができます。 たとえばCN=www.mobileiron.com-$DEVICE_CLIENT_ID$です。

設定を簡素化するために、$USER_DN$変数を使用して [サブジェクト] にユーザーのFQDNを入力することができます。

主体者名にはバックスラッシュ(\)を使用しないでください。

主体者別名タイプ

証明書テンプレートの属性に基づき、RFC 822名、DNS名、URI、または「なし」を選択します。

主体者別名値

対応するタイプの値を入力します。 最初に「$」の文字を入力すると、可能なカスタムLDAPおよびAAD属性のドロップダウンリストが表示されます。 リストから適切なカスタム属性を選択してください。

AAD値を使用する場合は、「onPremisesImmutableId」のみサポートされます。 fn:base64tohex(${onPremisesImmutableId})を入力してください。

NTのプリンシパル名

Microsoft環境の主体者別名を入力します。 これは通常ユーザーのUPN(ユーザーのプリンシパル名)を含むよう構成されます。

チャレンジ (任意)事前共有シークレットとして自動登録に使用されています。

再試行

最初に「保留」というステータスが返された後、認証を再試行できる回数をリストから選択して設定します。

再試行遅延

再試行までの間、待機する秒数をリストから選択して設定します。

キーサイズ

1024、2048、4096ビットのいずれかを選択します。

デジタル署名として使用

証明書を署名に使用できる場合に選択します。

キー暗号化として使用

証明書を暗号化に使用できる場合に選択します。

CAフィンガープリント

認証機関がHTTPを使用している場合は、CAの証明書のフィンガープリントとして使用される16進数を入力します。 MD5フィンガープリントがサポートされています。

希望に応じて、証明書からフィンガープリントを作成することができます。 証明書を目的の部分にドラッグアンドドロップするか、[証明書から作成] をクリックし、ファイルシステムから証明書を選択します。

SCEP構成 - Windows構成

CA(認証機関)

[管理] > [証明書管理] ですでに作成してある認証機関を指定する場合に選択します。このオプションを選択したときに表示されるドロップダウンから認証機関を選択します。

タイトル名

OIDと値をコンマで区切って配列するX.500名を入力します。 一般に、サブジェクトはユーザーの完全修飾ドメイン名にします。 たとえば、C=US,DC=com,DC=MobileIron,OU=InfoTechやCN=www.mobileiron.comとします。

また、OIDに変数を追加してサブジェクトをカスタマイズすることができます。 たとえばCN=www.mobileiron.com-$DEVICE_CLIENT_ID$です。

設定を簡素化するために、$USER_DN$変数を使用して [サブジェクト] にユーザーのFQDNを入力することができます。

主体者名にはバックスラッシュ(\)を使用しないでください。

主体者別名タイプ

[追加] をクリックし、証明書テンプレートの属性に基づいてRFC 822名、DNS名、URI、または「なし」を選択します。

再試行

最初に「保留」というステータスが返された後、認証を再試行できる回数をリストから選択して設定します。

再試行遅延

再試行までの間、待機する秒数をリストから選択して設定します。

キーの長さ

キーサイズを1024、2048、4096から選択します。

用途を選択

少なくとも1つ選択します。

  • デジタル署名として使用 - 証明書を署名に使用できる場合に選択します。
  • キー暗号化として使用 - 証明書を暗号化に使用できる場合に選択します。
有効性 有効期間を日数、月数、年数で選択します。

CA親指指紋

認証機関がHTTPを使用している場合は、CAの証明書のフィンガープリントとして使用される16進数を入力します。 MD5フィンガープリントがサポートされています。

希望に応じて、証明書からフィンガープリントを作成することができます。 証明書を目的の部分にドラッグアンドドロップするか、[証明書から作成] をクリックし、ファイルシステムから証明書を選択します。

ハッシュアルゴリズムファミリー SHA-2またはSHA-3アルゴリズムを選択します。

仕事用本人確認(Work Challenge)パスコードを設定せずにデバイスの仕事用プロファイルにID証明書を適用する場合、デバイスは仕事用本人確認パスコードではなくデバイスパスコードの入力を求めます。

構成の配布

Ivanti Neurons for MDM リリース81以降、グローバル管理者はスペース管理者に、すべてのデバイス向けおよびカスタム配信オプション向けの動的生成ID証明書の編集を委譲できるようになりました。 動的生成証明書の場合は、[この構成をすべてのスペースで利用可能にする] オプションを選択することも可能です。 このオプションは、動的生成ID証明書をすべてのスペースに提供し、Exchange、Wi-Fi、VPNのほか、マネージドアプリ構成などの他の構成でも使用可能にします。 このオプションは、動的生成ID証明書を、関連する構成の一部としてのみデバイス(非デフォルトスペース)に配布する必要があり、個別の構成としては配布しない場合に使用できます。

手順

  1. 前述の表にある情報を使用して、ID証明書の設定フィールドに入力します。
  2. [次へ] をクリックします。
  3. [この構成を有効化] オプションを選択します。
  4. (オプション)[この構成をすべてのスペースで利用可能にする] を選択します。

  5. 以下の配布オプションから1つ選択します。
    • すべてのデバイス。 以下のオプションから1つ選択してください:
      • 他のスペースに適用しない
      • 他のスペースにあるデバイスに適用する
        • [スペース管理者に配布の編集を許可] のチェックボックスを選択すると、委譲スペース管理者が特定のスペースの配布を編集できるようになります。
    • デバイスなし(デフォルト)
    • カスタム。以下のオプションから1つ選択します。
      • 他のスペースに適用しない
      • 他のスペースにあるデバイスに適用する
        • [スペース管理者に配布の編集を許可] のチェックボックスを選択すると、委譲スペース管理者が特定のスペースの配布を編集できるようになります。

    スペースに関係なく、動的生成ID証明書はすべてのスペースに対して構成し、すべてのデバイスに配布し、他のデバイススペースのすべてのデバイスに適用できます。

  6. [完了] をクリックします。