Appleデバイスの証明書ペイロードの設定
モバイルデバイス管理(MDM)ソリューションに登録されているiPhone、iPad、Mac、およびApple TVデバイスの証明書設定を構成できます。証明書ペイロードでは、デバイスに証明書と識別情報を追加できます。
OSおよびチャネル | 利用可能な登録タイプ | 操作 | 重複 |
|---|---|---|---|
iOS iPadOS tvOS macOSデバイス macOSユーザ | ユーザ デバイス 自動デバイス | 共通 | 複数 |
設定 | 説明 | 必須 |
|---|---|---|
証明書名 | 証明書の表示名。 | はい |
証明書または識別子データ | iPhone、iPad、Mac、およびApple TVデバイスでは、RSA鍵が含まれるX.509証明書を使用できます。フォーマットおよび認識されるファイル拡張子は以下の通りです:
PKCS12ファイルには、秘密鍵も含まれるほか、識別情報が1つだけ含まれます。秘密鍵を確実に保護するため、PKCS12ファイルはパスフレーズで暗号化されます。 | はい |
パスフレーズ | 資格情報を保護するために使用するパスフレーズ。 | いいえ |
ルート証明書をインストールするときは、デバイス上にある信頼された証明書へのチェーンを確立する中間証明書もインストールできます。これは、802.1Xなどの技術で重要になることがあります。Appleデバイスにあらかじめインストールされているルートについては、次のAppleサポート記事を参照してください:
インストールしたい証明書または識別情報がキーチェーンにある場合は、キーチェーンアクセスを使用して.P12形式で書き出します。キーチェーンアクセスは、「/アプリケーション/ユーティリティ/」にあります。「キーチェーンアクセスユーザガイド」を参照してください。
Microsoft ExchangeまたはExchange ActiveSync、シングルサインオン、VPN、およびネットワークまたはWi-Fiで使用するための識別情報を追加するには、その固有のペイロードを使用します。
PKCS12ファイルを導入するときに証明書識別情報のパスフレーズを指定しなかった場合は、プロファイルのインストール時にユーザに入力が求められます。ペイロードのコンテンツは難読化されていますが、暗号化はされていません。パスフレーズを含める場合は、認証されたユーザのみがプロファイルを利用できるようにしてください。
構成プロファイルを使って証明書をインストールする代わりに、ユーザにSafariとその証明書を使用してWebページからデバイスに証明書をダウンロードしてもらうこともできます(証明書はホスティングするべきではありません)。または、ユーザにメールメッセージで証明書を送ることもできます。さらに、AppleデバイスのSCEP(Simple Certificate Enrollment Protocol)ペイロードの設定を使って、プロファイルのインストール時に証明書を取得する方法を指定することもできます。
手動では証明書を信頼しないようにする
プロファイルマネージャのペイロードから自動的にインストールされた証明書や、Apple Configurator 2を使ってインストールされた証明書は、完全に信頼されます。プロファイルマネージャの登録ペイロードも含むプロファイルを使って手動でインストールした証明書も、完全に信頼されます。ベストプラクティスとして、証明書ペイロードをMDM登録プロファイルに含め、手動で証明書を信頼する手順が不要になるようにしてください。