Product Documentation

XenMobileでの証明書のアップロード

Oct 25, 2016

証明書はXenMobileサーバーで機能上使用されます。 XenMobileへの証明書のアップロードは、XenMobileコンソールの[Certificates]領域で行います。  これらの証明書には、CA(Certificate Authority:証明機関)証明書、RA(Registration Authority:登録機関)証明書、およびインフラストラクチャのほかのコンポーネントでのクライアント認証用の証明書が含まれます。 また、デバイスに展開する証明書のストレージの場所として[Certificates]領域を使用することができます。 これは特に、デバイスで信頼性を確立するために使用されるCAに適用されます。

アップロードする各証明書は、[Certificates]の表で1つのエンティティとして表され、その内容がまとめられています。 証明書が必要なPKI統合コンポーネントを構成するときに、サーバー証明書の一覧からコンテキスト依存の条件を満たすサーバー証明書を選択するよう求めるメッセージが表示されます。 たとえば、XenMobileをMicrosoft CAと統合するように構成する場合があります。 Microsoft CAへの接続はクライアント証明書を使用して認証されます。

このセクションでは、証明書をアップロードする一般的な手順について説明します。 クライアント証明書の作成、アップロード、構成について詳しくは、「クライアント証明書認証の構成」を参照してください。

秘密キーの要件

XenMobileは、特定の証明書に対して秘密キーを所有する場合と所有しない場合があります。 同様に、XenMobileは、アップロードする証明書に対して秘密キーを要求する場合と要求しない場合があります。

コンソールへの証明書のアップロード

CAが要求に署名するために使用するCA証明書(秘密キーなし)とクライアント認証用のSSLクライアント証明書(秘密キーあり)をアップロードできます。 Microsoft CAエンティティを構成する場合は、CA証明書を指定する必要があります。CA証明書であるすべてのサーバー証明書の一覧から選択できます。 同様に、クライアント認証を構成する場合は、XenMobileが秘密キーを持っているすべてのサーバー証明書の一覧から選択できます。

XenMobileは、証明書の以下の入力形式をサポートします。

  • PEMまたはDERでエンコードされた証明書ファイル
  • PEMまたはDERでエンコードされた秘密キーファイルが関連付けられたPEMまたはDERでエンコードされた証明書ファイル
  • PKCS#12キーストア(P12。WindowsのPFXとも呼ばれます)

重要: XenMobileサーバーでは拡張子「.pem」の証明書はサポートされません。 opensslコマンドを使用して、PEMファイルからPFXファイルを生成してください。

openssl pkcs12 -export -out certificate.pfx  -in certificate.pem

キーストアをインポートするには

設計上、キーストアには複数のエントリを含めることができます。 このため、キーストアから読み込むときに、読み込むエントリを識別するエントリエイリアスの指定を求めるメッセージが表示されます。 エイリアスを指定しない場合、ストアの最初のエントリが読み込まれます。 PKCS#12ファイルに含まれるエントリは通常1つだけであるため、キーストアの種類としてPKCS#12を選択した場合、エイリアスフィールドは表示されません。

1. XenMobileコンソールで、右上の歯車アイコンをクリックします。 [Settings]ページが開きます。

2. [Certificates]をクリックします。 [Certificates]ページが開きます。

localized image

3. [Import]をクリックします。 [Import]ダイアログボックスが開きます。

4. 次の設定を構成します。

  • Import:ボックスの一覧から、[Keystore]を選択します。 [Import]ダイアログボックスが、使用可能なキーストアオプションを反映した表示に変わります。
localized image
  • Keystore type:ボックスの一覧から、[PKCS#12]を選択します。
  • Use as:ボックスの一覧から、キーストアの使用方法を選択します。 以下の種類から選択できます。
    • Server。 サーバー証明書はXenMobileサーバーで機能上使用される証明書で、XenMobile Webコンソールにアップロードされます。 サーバー証明書には、CA証明書、RA証明書、およびインフラストラクチャのほかのコンポーネントでのクライアント認証用の証明書が含まれます。 また、デバイスに展開する証明書のストレージとしてサーバー証明書を使用することができます。 これは特に、デバイスで信頼性を確立するために使用されるCAに適用されます。
    • SAML。 Security Assertion Markup Language(SAML)証明書を使用すると、サーバー、Webサイト、およびアプリケーションへのシングルサインオン(Single Sign-On:SSO)アクセスを提供できます。
    • APNs。 AppleのApple Push Notificationサービス(APNs)証明書を使用すると、Apple Push Networkを使用してモバイルデバイスを管理できます。
    • SSL Listener。 SSL(Secure Sockets Layer)リスナーは、XenMobileにSSL暗号化アクティビティを通知します。
  • Keystore file[Browse]をクリックしてインポートするキーストアファイルの場所に移動し、そのファイルを選択します。
  • Password:証明書に割り当てられたパスワードを入力します。
  • Description:任意で、キーストアの説明を入力します。この説明は、ほかのキーストアと区別するときに役立ちます。

5. [Import]をクリックします。 キーストアが[Certificates]の表に追加されます。

証明書をインポートするには

ファイルまたは キーストア エントリから証明書をインポートするときに、XenMobileは入力から証明書チェーンの作成を試行し、そのチェーンのすべての証明書をインポートします(各証明書のサーバー証明書エントリを作成します)。 この操作は、チェーン内の連続する各証明書が前の証明書の発行者である場合など、ファイルまたは キーストア エントリの証明書が実際にチェーンを形成している 場合にのみ 機能します。

発見目的でインポートされた証明書にオプションで説明を追加できます。 説明はチェーンの1つ目の証明書にのみ追加されます。 ほかの証明書の説明は後から更新できます。

1. XenMobileコンソールで、右上の歯車アイコンをクリックした後、[Certificates]をクリックします。

2. [Certificates]ページで、[Import]をクリックします。 [Import]ダイアログボックスが開きます。

3. [Import]ダイアログボックスの[Import]の一覧から、まだ選択していない場合は[Certificate]を選択します。

4. [Import]ダイアログボックスが、使用可能な証明書オプションを反映した表示に変わります。 [Use as]の一覧から、 キーストアの使用方法を選択します。 以下の種類から選択できます。

  • Server。 サーバー証明書はXenMobileサーバーで機能上使用される証明書で、XenMobile Webコンソールにアップロードされます。 サーバー証明書には、CA証明書、RA証明書、およびインフラストラクチャのほかのコンポーネントでのクライアント認証用の証明書が含まれます。 また、デバイスに展開する証明書のストレージとしてサーバー証明書を使用することができます。 このオプションは特に、デバイスで信頼性を確立するために使用されるCAに適用されます。
  • SAML。 Security Assertion Markup Language(SAML)証明書を使用すると、サーバー、Webサイト、およびアプリケーションへのシングルサインオン(Single Sign-On:SSO)アクセスを提供できます。
  • SSL Listener。 SSL(Secure Sockets Layer)リスナーは、XenMobileにSSL暗号化アクティビティを通知します。

5. インポートする証明書を参照して指定します。

6. 任意で、証明書の秘密キーファイルを参照して指定します。 秘密キーは、証明書と組み合わせて暗号化と復号化で使用されます。

7. 任意で、証明書の説明を入力します。この説明は、ほかの証明書と区別するときに役立ちます。

8. [Import]をクリックします。 証明書が[Certificates]の表に追加されます。

証明書の更新

XenMobileで同時に存在できるのは1つの 公開キーにつき1つの 証明書のみです。 既にインポートされている証明書と同じキーペアの証明書をインポートしようとする場合、既存のエントリを置き換えるか、または削除するかを選択できます。

証明書を最も効果的に更新するには、XenMobileコンソールで右上の歯車アイコンをクリックして[Settings]ページを開き、[Certificates]をクリックします。 [Import]ダイアログボックスで、新しい証明書をインポートします。 サーバー証明書を更新すると、以前の証明書を使用していたコンポーネントが新しい証明書を使用するように自動的に切り替わります。 同様に、デバイスにサーバー証明書を展開している場合、証明書は次回展開するときに自動的に更新されます。