Product Documentation

SCEPデバイスポリシー

2018年4月17日

このポリシーでiOSデバイスとmacOSデバイスを構成し、SCEP(Simple Certificate Enrollment Protocol)を使用して外部SCEPサーバーから証明書を取得することができます。XenMobileに接続されているPKIからSCEPを使用してデバイスに証明書を配布する場合は、PKIエンティティとPKIプロバイダーを分散モードで作成する必要があります。詳しくは、「PKIエンティティ」を参照してください。

このポリシーを追加または構成するには、[構成]>[デバイスポリシー] の順に選択します。詳しくは、「デバイスポリシー」を参照してください。

iOS 設定

デバイスポリシー構成画面の画像

  • URLベース: HTTPまたはHTTPSを介したSCEP要求の送信先を定義するSCEPサーバーのアドレスを入力します。秘密キーは証明書署名要求(Certificate Signing Request:CSR)と一緒には送信されないため、暗号化されていない状態で要求を送信しても安全な場合があります。ただし、ワンタイムパスワードの再利用が許可されている場合は、パスワードを保護するためにHTTPSを使用してください。これは必須の手順です。
  • インスタンス名: SCEPサーバーで認識される文字列を入力します。たとえば、example.orgのようなドメイン名です。CAに複数のCA証明書がある場合、このフィールドを使用して必要なドメインを区別できます。これは必須の手順です。
  • X.500サブジェクト名(RFC 2253): オブジェクト識別子(OID)と値の配列として示されるX.500の名前の表現を入力します。たとえば、「/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar」の場合は、「[ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]」のように解釈されます。OIDはドット付き数値として表すことができ、略語は国(C)、地域(L)、州(ST)、組織(O)、組織単位(OU)、共通名(CN)を表しています。
  • サブジェクトの別名の種類]: 一覧から、代替名の種類を選択します。SCEPポリシーは、CAが証明書を発行するために必要な値を提供する、オプションの代替名の種類を指定できます。[なし]、[RFC 822名]、[DNS名]、[URI] のいずれかを指定できます。
  • 最大再試行回数: SCEPサーバーがPENDING応答を送信した場合にデバイスが再試行する回数を入力します。デフォルトは、3です。
  • 再試行の延期: 次の再試行までの待機時間を秒数で入力します。最初の再試行は直ちに試行されます。デフォルトは10です。
  • チャレンジパスワード: 事前共有シークレットを入力します。
  • キーサイズ(ビット): 一覧から、1024または2048のいずれかのキーサイズ(ビット)を選択します。デフォルトは1024です。
  • デジタル署名として使用: デジタル署名に証明書を使用するかどうかを指定できます。別のユーザーがデジタル署名を確認するために証明書を使用している場合(証明書がCAによって発行されたかどうかを確認する場合など)、公開キーを使ってハッシュを復号化する前に、SCEPサーバーではデジタル署名に証明書を使用できるかどうかが確認されます。
  • キーの暗号化に使用: キーの暗号化に証明書を使用するかどうかを指定します。サーバーで、クライアントが提供する証明書の公開キーを使用して、データが秘密キーを使って暗号化されているかを確認している場合、キーの暗号化に証明書を使用できるかどうかが最初に確認されます。できない場合は、操作に失敗します。
  • SHA1/MD5指紋(16進数の文字列): CAでHTTPが使われている場合、このフィールドを使って、CA証明書のフィンガープリントを提供します。このフィンガープリントは、登録時、CAの応答の信頼性を確認するためにデバイスで使われます。SHA1またはMD5のフィンガープリントを入力することも、署名をインポートする証明書を選択することもできます。

macOS設定

デバイスポリシー構成画面の画像

  • URLベース: HTTPまたはHTTPSを介したSCEP要求の送信先を定義するSCEPサーバーのアドレスを入力します。秘密キーは証明書署名要求(Certificate Signing Request:CSR)と一緒には送信されないため、暗号化されていない状態で要求を送信しても安全な場合があります。ただし、ワンタイムパスワードの再利用が許可されている場合は、パスワードを保護するためにHTTPSを使用してください。これは必須の手順です。
  • インスタンス名: SCEPサーバーで認識される文字列を入力します。たとえば、example.orgのようなドメイン名です。CAに複数のCA証明書がある場合、このフィールドを使用して必要なドメインを区別できます。これは必須の手順です。
  • X.500サブジェクト名(RFC 2253): オブジェクト識別子(OID)と値の配列として示されるX.500の名前の表現を入力します。たとえば、「/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar」の場合は、「[ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], …, [ [“1.2.5.3”, “bar” ] ] ]」のように解釈されます。OIDはドット付き数値として表すことができ、略語は国(C)、地域(L)、州(ST)、組織(O)、組織単位(OU)、共通名(CN)を表しています。
  • サブジェクトの別名の種類]: 一覧から、代替名の種類を選択します。SCEPポリシーは、CAが証明書を発行するために必要な値を提供する、オプションの代替名の種類を指定できます。[None]、[RFC 822 name]、[DNS name]、[URI]のいずれかを指定できます。
  • 最大再試行回数: SCEPサーバーがPENDING応答を送信した場合にデバイスが再試行する回数を入力します。デフォルトは、3です。
  • 再試行の延期: 次の再試行までの待機時間を秒数で入力します。最初の再試行は直ちに試行されます。デフォルトは10です。
  • チャレンジパスワード: 事前共有シークレットを入力します。
  • キーサイズ(ビット): 一覧から、1024または2048のいずれかのキーサイズ(ビット)を選択します。デフォルトは1024です。
  • デジタル署名として使用: デジタル署名に証明書を使用するかどうかを指定できます。別のユーザーがデジタル署名を確認するために証明書を使用している場合(証明書がCAによって発行されたかどうかを確認する場合など)、公開キーを使ってハッシュを復号化する前に、SCEPサーバーではデジタル署名に証明書を使用できるかどうかが確認されます。
  • キーの暗号化に使用: キーの暗号化に証明書を使用するかどうかを指定します。サーバーで、クライアントが提供する証明書の公開キーを使用して、データが秘密キーを使って暗号化されているかを確認している場合、キーの暗号化に証明書を使用できるかどうかが最初に確認されます。できない場合は、操作に失敗します。
  • SHA1/MD5指紋(16進数の文字列): CAでHTTPが使われている場合、このフィールドを使って、CA証明書のフィンガープリントを提供します。このフィンガープリントは、登録時、CAの応答の信頼性を確認するためにデバイスで使われます。SHA1またはMD5のフィンガープリントを入力することも、署名をインポートする証明書を選択することもできます。

SCEPデバイスポリシー

In this article