XenMobile Server

SCEPデバイスポリシー

このポリシーでiOSデバイスとmacOSデバイスを構成し、SCEP(Simple Certificate Enrollment Protocol)を使用して外部SCEPサーバーから証明書を取得することができます。XenMobileに接続されているPKIからSCEPを使用してデバイスに証明書を配布する場合は、PKIエンティティとPKIプロバイダーを分散モードで作成する必要があります。詳しくは、「PKIエンティティ」を参照してください。

このポリシーを追加または構成するには、[構成]>[デバイスポリシー] の順に選択します。詳しくは、「デバイスポリシー」を参照してください。

iOSの設定

デバイスポリシー構成画面の画像

  • URLベース: HTTPまたはHTTPSを介したSCEP要求の送信先を定義するSCEPサーバーのアドレスを入力します。秘密キーは証明書署名要求(Certificate Signing Request:CSR)と一緒には送信されないため、暗号化されていない状態で要求を送信しても安全な場合があります。ただし、ワンタイムパスワードの再利用が許可されている場合は、パスワードを保護するためにHTTPSを使用してください。これは必須の手順です。
  • インスタンス名: SCEPサーバーで認識される文字列を入力します。たとえば、example.orgのようなドメイン名です。CAに複数のCA証明書がある場合、このフィールドを使用して必要なドメインを区別できます。これは必須の手順です。
  • X.500サブジェクト名(RFC 2253): オブジェクト識別子(OID)と値の配列として示されるX.500の名前の表現を入力します。たとえば、「/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar」の場合は、「[ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]」のように解釈されます。OIDはドット付き数値として表すことができ、略語は国(C)、地域(L)、州(ST)、組織(O)、組織単位(OU)、共通名(CN)を表しています。
  • [サブジェクトの別名の種類]: ドロップダウンリストから、代替名の種類を選択します。SCEPポリシーは、CAが証明書を発行するために必要な値を提供する、オプションの代替名の種類を指定できます。[なし][RFC 822名][DNS名][URI] のいずれかを指定できます。
  • 最大再試行回数: SCEPサーバーがPENDING応答を送信した場合にデバイスが再試行する回数を入力します。デフォルトは3です。
  • 再試行の延期: 次の再試行までの待機時間を秒数で入力します。最初の再試行は直ちに試行されます。デフォルトは10です。
  • チャレンジパスワード: 事前共有シークレットを入力します。
  • キーサイズ(ビット): 2048以上のキーサイズ(ビット)を選択します。
  • デジタル署名として使用: デジタル署名に証明書を使用するかどうかを指定できます。別のユーザーがデジタル署名を確認するために証明書を使用している場合(証明書がCAによって発行されたかどうかを確認する場合など)、公開キーを使ってハッシュを復号化する前に、SCEPサーバーではデジタル署名に証明書を使用できるかどうかが確認されます。
  • キーの暗号化に使用: キーの暗号化に証明書を使用するかどうかを指定します。サーバーで、クライアントが提供する証明書の公開キーを使用して、データが秘密キーを使って暗号化されているかを確認している場合、キーの暗号化に証明書を使用できるかどうかが最初に確認されます。できない場合は、操作に失敗します。
  • SHA1/MD5指紋(16進数の文字列): CAでHTTPが使われている場合、このフィールドを使って、CA証明書のフィンガープリントを提供します。このフィンガープリントは、登録時、CAの応答の信頼性を確認するためにデバイスで使われます。SHA1またはMD5のフィンガープリントを入力することも、署名をインポートする証明書を選択することもできます。

  • ポリシー設定
    • ポリシーの削除: ポリシーの削除をスケジュール設定する方法を選択します。利用可能なオプションは、[日付を選択][削除までの期間(時間)を指定] です。
      • 日付を選択: カレンダーをクリックして削除を実行する特定の日付を選択します。
      • 削除までの期間(時間)を指定: ポリシーが削除されるまでの時間単位の数値を入力します。iOS 6.0以降でのみ使用できます。

macOS設定

デバイスポリシー構成画面の画像

  • URLベース: HTTPまたはHTTPSを介したSCEP要求の送信先を定義するSCEPサーバーのアドレスを入力します。秘密キーは証明書署名要求(Certificate Signing Request:CSR)と一緒には送信されないため、暗号化されていない状態で要求を送信しても安全な場合があります。ただし、ワンタイムパスワードの再利用が許可されている場合は、パスワードを保護するためにHTTPSを使用してください。これは必須の手順です。
  • インスタンス名: SCEPサーバーで認識される文字列を入力します。たとえば、example.orgのようなドメイン名です。CAに複数のCA証明書がある場合、このフィールドを使用して必要なドメインを区別できます。これは必須の手順です。
  • X.500サブジェクト名(RFC 2253): オブジェクト識別子(OID)と値の配列として示されるX.500の名前の表現を入力します。たとえば、「/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar」の場合は、「[ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]」のように解釈されます。OIDはドット付き数値として表すことができ、略語は国(C)、地域(L)、州(ST)、組織(O)、組織単位(OU)、共通名(CN)を表しています。
  • [サブジェクトの別名の種類]: ドロップダウンリストから、代替名の種類を選択します。SCEPポリシーは、CAが証明書を発行するために必要な値を提供する、オプションの代替名の種類を指定できます。[なし][RFC 822名][DNS名][URI] のいずれかを指定できます。
  • 最大再試行回数: SCEPサーバーがPENDING応答を送信した場合にデバイスが再試行する回数を入力します。デフォルトは3です。
  • 再試行の延期: 次の再試行までの待機時間を秒数で入力します。最初の再試行は直ちに試行されます。デフォルトは10です。
  • チャレンジパスワード: 事前共有シークレットを入力します。
  • キーサイズ(ビット): 2048以上のキーサイズ(ビット)を選択します。
  • デジタル署名として使用: デジタル署名に証明書を使用するかどうかを指定できます。別のユーザーがデジタル署名を確認するために証明書を使用している場合(証明書がCAによって発行されたかどうかを確認する場合など)、公開キーを使ってハッシュを復号化する前に、SCEPサーバーではデジタル署名に証明書を使用できるかどうかが確認されます。
  • キーの暗号化に使用: キーの暗号化に証明書を使用するかどうかを指定します。サーバーで、クライアントが提供する証明書の公開キーを使用して、データが秘密キーを使って暗号化されているかを確認している場合、キーの暗号化に証明書を使用できるかどうかが最初に確認されます。できない場合は、操作に失敗します。
  • SHA1/MD5指紋(16進数の文字列): CAでHTTPが使われている場合、このフィールドを使って、CA証明書のフィンガープリントを提供します。このフィンガープリントは、登録時、CAの応答の信頼性を確認するためにデバイスで使われます。SHA1またはMD5のフィンガープリントを入力することも、署名をインポートする証明書を選択することもできます。

  • ポリシー設定
    • ポリシーの削除: ポリシーの削除をスケジュール設定する方法を選択します。利用可能なオプションは、[日付を選択][削除までの期間(時間)を指定] です。
      • 日付を選択: カレンダーをクリックして削除を実行する特定の日付を選択します。
      • 削除までの期間(時間)を指定: ポリシーが削除されるまでの時間単位の数値を入力します。
    • ユーザーにポリシーの削除を許可: ユーザーがデバイスからポリシーを削除できるタイミングを選択できます。メニューで [常に][パスコードが必要です] または [許可しない] を選択します。[パスコードが必要です] を選択する場合、[削除のパスコード] フィールドに入力します
    • プロファイル対策: このポリシーを [ユーザー] または [システム] 全体に適用するかを選択します。デフォルトは [ユーザー] です。このオプションはmacOS 10.7以降でのみ使用できます。
SCEPデバイスポリシー

この記事の概要