AppleデバイスのSCEPペイロードの設定
モバイルデバイス管理(MDM)ソリューションに登録されているAppleデバイス用に認証局(CA)から証明書を取得するように、SCEP設定を構成できます。SCEPペイロードでは、デバイスがSCEP(Simple Certificate Enrollment Protocol)を使用して認証局(CA)から証明書を取得することを許可する設定を指定できます。
OSおよびチャネル | 利用可能な登録タイプ | 操作 | 重複 |
|---|---|---|---|
iOS iPadOS tvOS macOSデバイス macOSユーザ | デバイス 自動デバイス | 共通 | 複数 |
設定 | 説明 | 必須 |
|---|---|---|
URL | SCEPサーバのアドレスを指定します。 | はい |
名前 | 認証局で解釈される任意の文字列を指定します。インスタンスを区別するためなどに使用できます。 | いいえ |
サブジェクト | OIDおよび値の配列として表されるX.500名の表現。たとえば、/C=US/O=Apple Inc./CN=foo/1.2.5.3=barは、次のように変換されます: [ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] | いいえ |
サブジェクト代替名のタイプ | SCEPサーバの代替名のタイプを指定します。タイプは、「RFC 822名」、「DNS名」、および「URI」(Uniform Resource Identifier)です。URL(Uniform Resource Locator)、URN(Uniform Resource Name)、またはその両方を指定できます。 | いいえ |
サブジェクト代替名の値 | サブジェクト代替名の値です。 | いいえ |
NTプリンシパル名 | 証明書要求で使用されるプリンシパル名です。(オプション) | いいえ |
再試行 | 署名済み証明書のためにSCEPサーバへのポーリングを中断するまでの時間。 | いいえ |
再試行間隔 | ポーリング試行間隔(秒数)。 | いいえ |
チャレンジ | SCEPサーバが要求またはユーザを識別するために使用する事前共有シークレットです。 | いいえ |
証明書の有効期限切れ通知のしきい値 (macOSのみ) | 証明書の有効期限切れ通知の表示が開始されるまでの日数です。 | いいえ |
鍵のサイズ | 鍵のサイズを選択し、その下のチェックボックスで、受け入れ可能な鍵用途を選択します。 | いいえ |
鍵用途 | 鍵を以下のどちらに使用するかを選択します:
| いいえ |
フィンガープリント | CAがHTTPを使用している場合は、このフィールドにCAの証明書の指紋(フィンガープリント)を入力します。これは、登録時にCAの応答の真正性を確認するためにデバイスで使用されます。SHA1フィンガープリントまたはMD5フィンガープリントを入力するか、証明書を選択してその署名を読み込むことができます。 | いいえ |
キーチェーンからの書き出しを許可 (macOSのみ) | キーチェーンから秘密鍵を書き出すことができます。 | いいえ |
すべてのアプリケーションへのアクセスを許可 (macOSのみ) | すべてのアプリケーションにキーチェーン内の証明書へのアクセスを許可 | いいえ |
変数
macOSでは、SCEPの「サブジェクト」、「サブジェクト代替名」、および「NTプリンシパル名」フィールドに以下の変数を使用できます。これらの変数はインストール時にデバイス上で解決されるので、証明書登録要求を動的にカスタマイズできます。これらの変数と静的テキストを組み合わせて複合名を作成することもできます(Mac.%ComputerName%など)。
サポートされている変数については、MDMベンダーの資料を参照してください。
変数 | 置き換わる情報 |
|---|---|
%AD_ComputerID% | Active DirectoryコンピュータID |
%AD_Domain% | Active Directoryドメイン |
%AD_DomainForestName% | Active Directoryフォレスト名 |
%AD_DomainGuid% | Active Directory GUID |
%AD_DomainNameDNS% | Active Directory DNS名 |
%AD_KerberosID% | Active Directory Kerberos ID |
%ComputerName% | 「システム環境設定」>「共有」で設定されているコンピュータの名前 |
%HardwareUUID% | コンピュータの一意識別子 |
%HostName% | コンピュータのDNS名(例: mac1.example.com) |
%LocalHostName% | コンピュータのローカルネットワーク名(例: Mac1.local) |
%MACAddress% | コンピュータのEthernet(en0)MACアドレス |
%SerialNumber% | コンピュータのシリアル番号 |