Citrix Endpoint Management

SCEPデバイスポリシー

このポリシーでiOSデバイスとmacOSデバイスを構成し、SCEP(Simple Certificate Enrollment Protocol)を使用して外部SCEPサーバーから証明書を取得することができます。Endpoint Managementに接続されているPKIからSCEPを使用してデバイスに証明書を配布する場合は、PKIエンティティとPKIプロバイダーを分散モードで作成します。詳しくは、「PKIエンティティ」を参照してください。

このポリシーを追加または構成するには、[構成]>[デバイスポリシー] の順に選択します。詳しくは、「デバイスポリシー」を参照してください。

iOSの設定

デバイスポリシー構成画面

  • URLベース: HTTPまたはHTTPSを介したSCEP要求の送信先を定義するSCEPサーバーのアドレスを入力します。秘密キーは証明書署名要求(Certificate Signing Request:CSR)と一緒には送信されないため、暗号化されていない状態で要求を送信しても安全な場合があります。ワンタイムパスワードが再利用されるように構成している場合は、HTTPSを使用してパスワードを保護します。これは必須の手順です。
  • インスタンス名: SCEPサーバーで認識される文字列を入力します。たとえば、example.orgのようなドメイン名です。CAに複数のCA証明書がある場合、このフィールドを使用して必要なドメインを区別できます。これは必須の手順です。
  • X.500サブジェクト名(RFC 2253):オブジェクト識別子(OID)と値の配列としてX.500の名前の表現を入力します。たとえば「/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar」と入力します。これは、「[ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]」に変換されます。OIDはドット付き数値として表すことができ、略語は国(C)、地域(L)、州(ST)、組織(O)、組織単位(OU)、共通名(CN)を表しています。

  • サブジェクトの別名の種類: 代替名の種類を選択します。オプションの代替名の種類で、CAが証明書を発行するために必要な値を指定できます。[なし][RFC 822名][DNS名][URI] のいずれかを指定できます。
  • 最大再試行回数: SCEPサーバーがPENDING応答を送信した場合にデバイスが再試行する回数を入力します。デフォルトは3です。
  • 再試行の延期: 次の再試行までの待機時間を秒数で入力します。最初の再試行は直ちに試行されます。デフォルトは10です。
  • チャレンジパスワード: 事前共有シークレットを入力します。
  • キーサイズ(ビット):1024または2048のいずれかのキーサイズ(ビット)を選択します。デフォルトは1024です。
  • デジタル署名として使用:デジタル署名として証明書を使用するかどうかを指定します。SCEPサーバーは、公開キーを使用してハッシュを暗号化解除する前に、証明書がデジタル署名として使用されていることを確認します。
  • キーの暗号化に使用:キーの暗号化に証明書を使用するかどうかを選択します。サーバーはまず、クライアントから提供された証明書がキーの暗号化で許可されているかどうかをチェックします。次に、サーバーは証明書内の公開キーを使用して、データが秘密キーを使用して暗号化されていることを確認します。できない場合は、操作に失敗します。
  • SHA1/MD5指紋(16進数の文字列):CAでHTTPが使われている場合、このフィールドを使って、CA証明書のフィンガープリントを提供します。このフィンガープリントは、登録時、CAの応答の信頼性を確認するためにデバイスで使われます。SHA1またはMD5のフィンガープリントを提供することも、署名をインポートする証明書を選択することもできます。

  • ポリシー設定(一般的な「設定」と区別するためにここでは「設定項目」という語を使用します)
    • ポリシーの削除: ポリシー削除のスケジュールを設定する方法を選択します。利用可能なオプションは、[日付を選択][削除までの期間(時間)を指定] です。
      • 日付を選択: カレンダーをクリックして削除を実行する特定の日付を選択します。
      • 削除までの期間(時間)を指定: ポリシーの削除が開始するまでの期間を時間単位で入力します。iOS 6.0以降でのみ使用できます。

macOS設定

デバイスポリシー構成画面

  • URLベース: HTTPまたはHTTPSを介したSCEP要求の送信先を定義するSCEPサーバーのアドレスを入力します。秘密キーは証明書署名要求(Certificate Signing Request:CSR)と一緒には送信されないため、暗号化されていない状態で要求を送信しても安全な場合があります。ワンタイムパスワードが再利用されるように構成している場合は、HTTPSを使用してパスワードを保護します。これは必須の手順です。
  • インスタンス名: SCEPサーバーで認識される文字列を入力します。たとえば、example.orgのようなドメイン名です。CAに複数のCA証明書がある場合、このフィールドを使用して必要なドメインを区別できます。これは必須の手順です。
  • X.500サブジェクト名(RFC 2253):オブジェクト識別子(OID)と値の配列としてX.500の名前の表現を入力します。たとえば「/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar」と入力します。これは、「[ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]」に変換されます。OIDはドット付き数値として表すことができ、略語は国(C)、地域(L)、州(ST)、組織(O)、組織単位(OU)、共通名(CN)を表しています。
  • サブジェクトの別名の種類: 代替名の種類を選択します。オプションの代替名の種類で、CAが証明書を発行するために必要な値を指定できます。[なし][RFC 822名][DNS名][URI] のいずれかを指定できます。
  • 最大再試行回数: SCEPサーバーがPENDING応答を送信した場合にデバイスが再試行する回数を入力します。デフォルトは3です。
  • 再試行の延期: 次の再試行までの待機時間を秒数で入力します。最初の再試行は直ちに試行されます。デフォルトは10です。
  • チャレンジパスワード: 事前共有シークレットを入力します。
  • キーサイズ(ビット):1024または2048のいずれかのキーサイズ(ビット)を選択します。デフォルトは1024です。
  • デジタル署名として使用:デジタル署名として証明書を使用するかどうかを指定します。SCEPサーバーは、公開キーを使用してハッシュを暗号化解除する前に、証明書がデジタル署名として使用されていることを確認します。
  • キーの暗号化に使用:キーの暗号化に証明書を使用するかどうかを選択します。サーバーはまず、クライアントから提供された証明書がキーの暗号化で許可されているかどうかをチェックします。次に、サーバーは証明書内の公開キーを使用して、データが秘密キーを使用して暗号化されていることを確認します。できない場合は、操作に失敗します。
  • SHA1/MD5指紋(16進数の文字列):CAでHTTPが使われている場合、このフィールドを使って、CA証明書のフィンガープリントを提供します。このフィンガープリントは、登録時、CAの応答の信頼性を確認するためにデバイスで使われます。SHA1またはMD5のフィンガープリントを提供することも、署名をインポートする証明書を選択することもできます。

  • ポリシー設定(一般的な「設定」と区別するためにここでは「設定項目」という語を使用します)
    • ポリシーの削除: ポリシー削除のスケジュールを設定する方法を選択します。利用可能なオプションは、[日付を選択][削除までの期間(時間)を指定] です。
      • 日付を選択: カレンダーをクリックして削除を実行する特定の日付を選択します。
      • 削除までの期間(時間)を指定: ポリシーの削除が開始するまでの期間を時間単位で入力します。
    • ユーザーにポリシーの削除を許可: ユーザーがデバイスからポリシーを削除するタイミングを選択できます。メニューで [常に][パスコードが必要です]、または[許可しない] を選択します。[パスコードが必要です] を選択する場合、[削除のパスコード] フィールドにパスコードを入力します
    • プロファイルの対象: このポリシーを [ユーザー] に適用するか、[システム] 全体に適用するかを選択します。デフォルトは [ユーザー] です。このオプションはmacOS 10.7以降でのみ使用できます。

SCEPデバイスポリシー