この記事はアーカイブ済みで、これ以上更新されることはありません。

Microsoft認証局に証明書を要求する

DCE/RPCおよびActive Directory証明書プロファイルのペイロードを使って、証明書を要求する方法について説明します。

OS X Mountain Lion以降では、DCE/RPCプロトコルを使えます。DCE/RPCを使えば、Webに対応した認証局(CA)は必要なくなります。また、証明書を作成するテンプレートの選択時の自由度も広がります。

OS X Mountain Lion以降では、プロファイルマネージャのWeb UIでActive Directory証明書プロファイルに対応しています。コンピュータまたはユーザ用のAD証明書プロファイルをクライアントデバイスに自動で、または手動ダウンロードの形で配布できます。

macOSにおけるプロファイルベースの証明書の更新については、こちらの記事を参照してください。

ネットワークとシステム条件

  • 有効なADドメイン

  • 稼働中のMicrosoft AD証明書サービス認証局

  • ADにバインドされたOS X Mountain Lion以降搭載のクライアントシステム

プロファイルの配備

OS X Mountain Lion以降は、構成プロファイルをサポートしています。プロファイルを使って、システムやアカウントの各種設定を定義できます。

macOSクライアントにプロファイルを配布する方法はいくつかあります。主となる配布方法は、macOS Serverのプロファイルマネージャです。OS X Mountain Lion以降では、ほかにもいくつか方法があります。Finderで.mobileconfigファイルをダブルクリックする、他社製のモバイルデバイス管理(MDM)サーバを利用するなどが、その例です。

ペイロードの詳細

プロファイルマネージャのインターフェイスを使って、AD証明書のペイロードを定義できます。以下のフィールドがあります。

プロファイルマネージャのインターフェイスを使って、AD証明書のペイロードを定義できます。

  • 説明:プロファイルペイロードの簡単な説明を入力します。

  • 証明書サーバ:認証局の完全修飾ホスト名を入力します。ホスト名の前に「http://」は入力しないでください。

  • 認証局:認証局(CA)のショートネームを入力します。この値は、ADエントリのCNで確認できます。CN=<認証局名>, CN=Certification Authorities, CN=Public Key Services, CN=Services, CN=Configuration, <ベースDN>

  • 証明書テンプレート:利用環境に必要な証明書テンプレートを入力します。ユーザ証明書のデフォルト値はUserです。コンピュータ証明書のデフォルト値はMachineです。

  • 証明書の有効期限切れ通知のしきい値:証明書の有効期限が切れる何日前からmacOSで期限切れの通知を表示するか、日数を整数値で指定します。15日以上で、証明書の有効期間よりも短い日数にする必要があります。

  • RSA鍵のサイズ:証明書署名要求(CSR)に署名する秘密鍵のサイズを整数値で指定します。1024、2048、4096といった値を指定できます。選択されているテンプレートに応じて、鍵のサイズとして使う値が決まってきます。テンプレートはCAで定義されています。

  • 資格情報の入力を要求:コンピュータ証明書の場合、このオプションは無視してください。ユーザ証明書では、プロファイルの配布方法として「手動ダウンロード」を選択した場合にのみ、この設定が適用されます。プロファイルのインストール時に、ユーザによる資格情報の入力が促されます。

  • ユーザ名:コンピュータ証明書の場合、このフィールドは無視してください。ユーザ証明書の場合は、任意入力のフィールドになります。要求した証明書のベースとなるADユーザ名を入力できます。

  • パスワード:コンピュータ証明書の場合、このフィールドは無視してください。ユーザ証明書については、ADユーザ名を入力した場合に、そのユーザ名に関連付けられているパスワードを入力します。

コンピュータ証明書を要求する

お使いのmacOS Serverで、デバイス管理用にプロファイルマネージャサービスが有効になっていて、ADにバインドされていることを確認してください。

AD証明書プロファイルをサポート対象の組み合わせで使う

  • コンピュータ/マシン証明書のみ(OS X Mountain Lion以降を搭載したクライアントに自動配布)

  • ネットワークプロファイルに統合された証明書(EAP-TLS 802.1x認証)

  • VPNプロファイルに統合された証明書(マシンベースの証明書認証)

  • EAP-TLS/ネットワークプロファイルとVPNプロファイルの両方に統合された証明書

プロファイルマネージャペイロードを配布する

  1. OS X Mountain Lion以降のクライアントをADにバインドします。プロファイル、クライアント上のGUI、クライアント上のCLIのいずれかを使ってクライアントをバインドできます。

  2. クライアントで完全な信頼チェーンを確立できるように、発行元の認証局またはそれ以外の認証局の証明書をクライアントにインストールします。プロファイルを使ってインストールすることもできます。

  3. AD証明書プロファイルを、デバイスまたはデバイスグループのプロファイルとして「自動プッシュ」または「手動ダウンロード」のどちらの方法で配布するかを選択します。

    AD証明書プロファイルを、デバイスまたはデバイスグループのプロファイルとして「自動プッシュ」または「手動ダウンロード」で配布する方法を示す画像。証明書を要求する手順を示した画像。

  4. 「自動プッシュ」を選択した場合は、macOS Serverのプロファイルマネージャのデバイス管理を使って、クライアントを登録できます。

  5. 登録済みのデバイスまたはデバイスグループに対し、AD証明書ペイロードを定義します。ペイロードフィールドについて詳しくは、前述の「ペイロードの詳細」セクションを参照してください。

    登録済みのデバイスまたはデバイスグループに対して、定義されたAD証明書ペイロードを示した画像。

  6. 同じデバイスまたはデバイスグループのプロファイルに対して、有線または無線のTLS用のネットワークペイロードを定義できます。資格情報として、設定済みのAD証明書ペイロードを選択してください。Wi-FiまたはEthernetのペイロードを定義できます。

    Image showing how to define a network payload for wired or wireless TLS for the same device or device group profile.Image showing how to define a network payload for wired or wireless TLS for the same device or device group profile.

  7. デバイスまたはデバイスグループでIPSec(Cisco)VPNプロファイルを定義します。資格情報として、設定済みのAD証明書ペイロードを選択してください。

    鍵のアイコンと「VPN 1個のペイロード構成」というテキストが表示されているVPN構成Active Directoryの証明書オプションが表示されている認証設定パネル

    • IPSec VPNトンネルに限り、証明書ベースのマシン認証を利用できます。それ以外のVPNタイプでは別の認証方式が必要です。

    • アカウント名フィールドには、プレースホルダ文字列を入れることができます。

  8. プロファイルを保存します。自動プッシュの場合、登録済みのコンピュータにネットワーク経由でプロファイルが配布されます。AD証明書は、コンピュータのAD資格情報を使って、CSRに必要なデータを入力します。

  9. 手動ダウンロードの場合は、クライアントから、プロファイルマネージャのユーザポータルに接続します。

  10. 利用可能なデバイスプロファイルまたはデバイスグループプロファイルをインストールします。

  11. 新しい秘密鍵と証明書がクライアントのシステムキーチェーンに入っていることを確認します。

証明書、ディレクトリ、AD証明書、ネットワーク(TLS)、VPNの各ペイロードを組み合わせたデバイスプロファイルを配布できます。クライアントは、各ペイロードのアクションが正常に実行されるように、適切な順序でペイロードを処理します。

ユーザ証明書を要求する

お使いのmacOS Serverで、デバイス管理用にプロファイルマネージャサービスが有効になっていて、ADにバインドされていることを確認してください。

AD証明書プロファイルをサポート対象の組み合わせで使う

  • ユーザ証明書のみ(OS X Mountain Lion以降を搭載したクライアントに自動配布)

  • ネットワークプロファイルに統合された証明書(EAP-TLS 802.1x認証)

プロファイルマネージャペイロードを配布する

  1. クライアントをADにバインドします。プロファイル、クライアント上のGUI、クライアント上のCLIのいずれかを使ってクライアントをバインドできます。

  2. 利用環境のポリシーに従って、クライアントでADモバイルアカウントの作成を有効にします。この機能は、プロファイル(Mobility)、クライアントのGUI、以下のようなクライアントのコマンドラインのいずれかを使って有効にすることができます。

    sudo dsconfigad -mobile enable

  3. クライアントで完全な信頼チェーンを確立できるように、発行元の認証局またはそれ以外の認証局の証明書をクライアントにインストールします。プロファイルを使ってインストールすることもできます。

  4. AD証明書プロファイルを、ADユーザまたはユーザグループのプロファイルとして「自動プッシュ」または「手動ダウンロード」のどちらの方法で配布するかを選択します。該当するユーザまたはグループに、プロファイルマネージャサービスへのアクセス権を付与する必要があります。

    「1個のペイロード構成」とスイッチのアイコンが表示されている「一般」設定パネル。AD証明書プロファイルの配布方法として「自動プッシュ」または「手動ダウンロード」を選択。

  5. 「自動プッシュ」を選択した場合は、macOS Serverのプロファイルマネージャのデバイス管理を使って、クライアントを登録できます。クライアントコンピュータを上記のADユーザに関連付けてください。

  6. 同じADユーザまたはグループのプロファイルに対して、AD証明書ペイロードを定義します。ペイロードフィールドについて詳しくは、前述の「ペイロードの詳細」を参照してください。

    Microsoft認証局からユーザー証明書を要求するプロセスを示した画像。

  7. 同じADユーザまたはグループのプロファイルに対して、有線または無線のTLS用のネットワークペイロードを定義できます。資格情報として、設定済みのAD証明書ペイロードを選択してください。Wi-FiまたはEthernet のペイロードを定義できます。

    ネットワークのアイコンと「1個のペイロード構成」というテキスト証明書要求の認証プロトコルオプション

  8. プロファイルマネージャサービスへのアクセス権を持つADユーザアカウントでクライアントにログインします。自動プッシュの場合、ログインすると、必要なKerberosチケット認可チケット(TGT)が発行されます。TGTは、要求されたユーザ証明書を確認するテンプレートの役割を果たします。

  9. 手動ダウンロードの場合は、プロファイルマネージャのユーザポータルに接続します。

  10. 利用可能なユーザプロファイルまたはグループプロファイルをインストールします。

  11. 認証を求められたらユーザ名とパスワードを入力します。

  12. キーチェーンアクセスを起動します。ログインキーチェーンに、Microsoft認証局が発行した秘密鍵とユーザ証明書が登録されていることを確認します。

証明書、AD証明書、ネットワーク(TLS)を組み合わせたユーザプロファイルを配布できます。OS X Mountain Lion以降を搭載したクライアントは、各ペイロードのアクションが正常に実行されるように、適切な順序でペイロードを処理します。

Apple が製造していない製品に関する情報や、Apple が管理または検証していない個々の Web サイトについては、推奨や承認なしで提供されています。Apple は他社の Web サイトや製品の選択、性能、使用に関しては一切責任を負いません。Apple は他社の Web サイトの正確性や信頼性についてはいかなる表明もいたしません。詳しくは各メーカーや開発元にお問い合わせください。

公開日: