Product Documentation

SCEPデバイスポリシー

Aug 02, 2016

このポリシーでiOSデバイスとMax OS Xデバイスを構成し、SCEP(Simple Certificate Enrollment Protocol)を使用して外部SCEPサーバーから証明書を取得することができます。 XenMobileに接続されているPKIからSCEPを使用してデバイスに証明書を配布する場合は、PKIエンティティとPKIプロバイダーを分散モードで作成する必要があります。 詳しくは、「PKIエンティティ」を参照してください。

iOSの設定

Mac OS Xの設定

1.XenMobileコンソールで、[Configure]の[Device Policies]をクリックします。 [Device Policies]ページが開きます。

2. [Add]をクリックします。 [Add New Policy]ダイアログボックスが開きます。

3. [More]を展開した後、[Security]の下の[SCEP]をクリックします。 [SCEP Policy]情報ページが開きます。

localized image

4. [Policy Information]ペインで、以下の情報を入力します。

  • Policy Name:ポリシーの説明的な名前を入力します。
  • Description:任意で、ポリシーの説明を入力します。

5.[Next]をクリックします。 [Platforms]ページが開きます。

6. [Platforms]の下で、追加するプラットフォームをオンにします。 1つのプラットフォームのみを構成する場合は、それ以外のプラットフォームをオフにします。

1つのプラットフォームの設定の構成が完了したら、手順7.を参照してプラットフォームの展開規則を設定します。 

iOSの設定の構成

localized image

次の設定を構成します。

  • URL base:HTTPまたはHTTPSを介したSCEP要求の送信先を定義するSCEPサーバーのアドレスを入力します。 秘密キーは証明書署名要求(Certificate Signing Request:CSR)と一緒には送信されないため、暗号化されていない状態で要求を送信しても安全な場合があります。 ただし、ワンタイムパスワードの再利用が許可されている場合は、パスワードを保護するためにHTTPSを使用してください。 これは必須の手順です。
  • Instance name:SCEPサーバーで認識される文字列を入力します。 たとえば、example.orgのようなドメイン名です。 CAに複数のCA証明書がある場合、このフィールドを使用して必要なドメインを区別できます。 これは必須の手順です。
  • Subject X.500 name (RFC 2253):オブジェクト識別子(OID)と値の配列として示されるX.500の名前の表現を入力します。 たとえば、「/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar」の場合は、「[ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ ["1.2.5.3", "bar" ] ] ]」のように解釈されます。 OIDはドット付き数値として表すことができ、略語は国(C)、地域(L)、州(ST)、組織(O)、組織単位(OU)、共通名(CN)を表しています。
  • [Subject alternative names type]:一覧から、代替名の種類を選択します。 SCEPポリシーは、CAが証明書を発行するために必要な値を提供する、オプションの代替名の種類を指定できます。 [None][RFC 822 name][DNS name][URI]のいずれかを指定できます。
  • Maximum retries:SCEPサーバーがPENDING応答を送信した場合にデバイスが再試行する回数を入力します。 デフォルトは3です。
  • Retry delay:次の再試行までの待機時間を秒数で入力します。 最初の再試行は直ちに試行されます。 デフォルトは10です。
  • Challenge password:事前共有シークレットを入力します。
  • [Key size(bits)]:一覧から、1024または2048のいずれかのキーサイズ(ビット)を選択します。 デフォルトは1024です。
  • Use as digital signature:デジタル署名に証明書を使用するかどうかを指定できます。 別のユーザーがデジタル署名を確認するために証明書を使用している場合(証明書がCAによって発行されたかどうかを確認する場合など)、公開キーを使ってハッシュを復号化する前に、SCEPサーバーではデジタル署名に証明書を使用できるかどうかが確認されます。
  • Use for key encipherment:キーの暗号化に証明書を使用するかどうかを指定します。 サーバーで、クライアントが提供する証明書の公開キーを使用して、データが秘密キーを使って暗号化されているかを確認している場合、キーの暗号化に証明書を使用できるかどうかが最初に確認されます。 できない場合は、操作に失敗します。
  • SHA1/MD5 fingerprint (hexadecimal string):CAでHTTPが使われている場合、このフィールドを使って、CA証明書のフィンガープリントを提供します。このフィンガープリントは、登録時、CAの応答の信頼性を確認するためにデバイスで使われます。 SHA1またはMD5のフィンガープリントを入力することも、署名をインポートする証明書を選択することもできます。
  • ポリシー設定
    • [Policy Settings]の下の[Remove policy]の横にある、[Select date]または[Duration until removal (in days)]をクリックします。
    • [Select date]をクリックした場合、カレンダーをクリックして削除を実行する特定の日付を選択します。
    • [Allow user to remove policy]の一覧で、[Always][Password required][Never]のいずれかを選択します。
    • [Password required]を選択した場合、[Removal password]の横に必要なパスワードを入力します。

Mac OS Xの設定の構成

localized image

次の設定を構成します。

  • URL base:HTTPまたはHTTPSを介したSCEP要求の送信先を定義するSCEPサーバーのアドレスを入力します。 秘密キーは証明書署名要求(Certificate Signing Request:CSR)と一緒には送信されないため、暗号化されていない状態で要求を送信しても安全な場合があります。 ただし、ワンタイムパスワードの再利用が許可されている場合は、パスワードを保護するためにHTTPSを使用してください。 これは必須の手順です。
  • Instance name:SCEPサーバーで認識される文字列を入力します。 たとえば、example.orgのようなドメイン名です。 CAに複数のCA証明書がある場合、このフィールドを使用して必要なドメインを区別できます。 これは必須の手順です。
  • Subject X.500 name (RFC 2253):オブジェクト識別子(OID)と値の配列として示されるX.500の名前の表現を入力します。 たとえば、「/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar」の場合は、「[ [ ["C", "US"] ], [ ["O", "Apple Inc."] ], ..., [ ["1.2.5.3", "bar" ] ] ]」のように解釈されます。 OIDはドット付き数値として表すことができ、略語は国(C)、地域(L)、州(ST)、組織(O)、組織単位(OU)、共通名(CN)を表しています。
  • [Subject alternative names type]:一覧から、代替名の種類を選択します。 SCEPポリシーは、CAが証明書を発行するために必要な値を提供する、オプションの代替名の種類を指定できます。 [None][RFC 822 name][DNS name][URI]のいずれかを指定できます。
  • Maximum retries:SCEPサーバーがPENDING応答を送信した場合にデバイスが再試行する回数を入力します。 デフォルトは3です。
  • Retry delay:次の再試行までの待機時間を秒数で入力します。 最初の再試行は直ちに試行されます。 デフォルトは10です。
  • Challenge password:事前共有シークレットを入力します。
  • [Key size(bits)]:一覧から、1024または2048のいずれかのキーサイズ(ビット)を選択します。 デフォルトは1024です。
  • Use as digital signature:デジタル署名に証明書を使用するかどうかを指定できます。 別のユーザーがデジタル署名を確認するために証明書を使用している場合(証明書がCAによって発行されたかどうかを確認する場合など)、公開キーを使ってハッシュを復号化する前に、SCEPサーバーではデジタル署名に証明書を使用できるかどうかが確認されます。
  • Use for key encipherment:キーの暗号化に証明書を使用するかどうかを指定します。 サーバーで、クライアントが提供する証明書の公開キーを使用して、データが秘密キーを使って暗号化されているかを確認している場合、キーの暗号化に証明書を使用できるかどうかが最初に確認されます。 できない場合は、操作に失敗します。
  • SHA1/MD5 fingerprint (hexadecimal string):CAでHTTPが使われている場合、このフィールドを使って、CA証明書のフィンガープリントを提供します。このフィンガープリントは、登録時、CAの応答の信頼性を確認するためにデバイスで使われます。 SHA1またはMD5のフィンガープリントを入力することも、署名をインポートする証明書を選択することもできます。
  • ポリシー設定
    • [Policy Settings]の下の[Remove policy]の横にある、[Select date]または[Duration until removal (in days)]をクリックします。
    • [Select date]をクリックした場合、カレンダーをクリックして削除を実行する特定の日付を選択します。
    • [Allow user to remove policy]の一覧で、[Always][Password required][Never]のいずれかを選択します。
    • [Password required]を選択した場合、[Removal password]の横に必要なパスワードを入力します。
    • [Profile scope]の横にある、[User]または[System]を選択します。 デフォルトは[User]です。 このオプションはOS X 10.7以降でのみ使用できます。
7. 展開規則を構成します。

8.[Next]をクリックします。 [SCEP Policy]割り当てページが開きます。

9.[Choose delivery groups]の横に、ポリシーを割り当てるデリバリーグループを入力して検索するか、一覧でグループを選択します。 選択したグループが右側の[Delivery groups to receive app assignment]一覧に表示されます。

10.[Deployment Schedule]を展開して以下の設定を構成します。

  • [Deploy]の横の[ON]をクリックすると展開がスケジュールされ、[OFF]をクリックすると展開が行われません。 デフォルトのオプションは[ON]です。 [OFF]を選択した場合、そのほかのオプションを構成する必要はありません。
  • [Deployment schedule]の横の[Now]または[Later]をクリックします。 デフォルトのオプションは[Now]です。
  • [Later]をクリックした場合は、カレンダーアイコンをクリックして展開日時を選択します。
  • [Deployment condition]の横の[On every connection]をクリックするか、[Only when previous deployment has failed]をクリックします。 デフォルトのオプションは、[On every connection]です。
  • [Deploy for always-on connection]の横の[ON]または[OFF]をクリックします。 デフォルトのオプションは[OFF]です。

注:

  • このオプションは、[Settings]>[Server Properties]において、バックグラウンドで展開するキーのスケジュールを構成した場合に適用されます。 常時接続オプションは、iOSデバイスでは使用できません。
  • 構成した展開スケジュールはすべてのプラットフォームについて同一です。 すべてのプラットフォームに変更が適用されます。ただしiOSには、[Deploy for always on connection]は適用されません。

11.[Save]をクリックしてポリシーを保存します。