SCEP 用 Connector の Jamf Pro を設定する - AWS Private Certificate Authority
Jamf Pro

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

SCEP 用 Connector の Jamf Pro を設定する

Jamf Pro モバイルデバイス管理 (MDM) システムでは、 を外部認証機関 (CA) AWS Private CA として使用できます。このガイドでは、汎用コネクタを作成した後に Jamf Pro を設定する方法について説明します。

SCEP 用 Connector の Jamf Pro を設定する

このガイドでは、 Connector for SCEP で使用するように Jamf Pro を設定する方法について説明します。Jamf Pro と Connector for SCEP を正常に設定すると、マネージドデバイスに証明書を発行 AWS Private CA できるようになります。

Jamf Pro の要件

Jamf Pro の実装は、次の要件を満たしている必要があります。

  • Jamf Pro で証明書ベースの認証を有効にする設定を有効にする必要があります。この設定の詳細については、Jamf Pro ドキュメントの Jamf Pro セキュリティ設定ページを参照してください。

ステップ 1: (オプション - 推奨) プライベート CA のフィンガープリントを取得する

フィンガープリントはプライベート CA の一意の識別子であり、他のシステムやアプリケーションとの信頼を確立するときに CA のアイデンティティを検証するために使用できます。認証機関 (CA) フィンガープリントを組み込むことで、マネージドデバイスは接続先の CA を認証し、予想される CA からのみ証明書をリクエストできます。Jamf Pro で CA フィンガープリントを使用することをお勧めします。

プライベート CA のフィンガープリントを生成するには

  1. AWS Private CA コンソールから、または GetCertificateAuthorityCertificate を使用して、プライベート CA 証明書を取得します。ca.pem ファイルとして保存します。

  2. OpenSSL コマンドラインユーティリティをインストールします。

  3. OpenSSL で、次のコマンドを実行してフィンガープリントを生成します。

    openssl x509 -in ca.pem -sha256 -fingerprint

ステップ 2: Jamf Pro で外部 CA として を設定する AWS Private CA

SCEP 用のコネクタを作成したら、 を Jamf Pro の外部認証機関 (CA) AWS Private CA として設定する必要があります。をグローバルの外部 CA AWS Private CA として設定できます。または、Jamf Pro 設定プロファイルを使用して、組織内のデバイスのサブセットに証明書を発行するなど、ユースケースごとに AWS Private CA から異なる証明書を発行することもできます。Jamf Pro 設定プロファイルの実装に関するガイダンスは、このドキュメントの範囲外です。

Jamf Pro で外部認証機関 (CA) AWS Private CA として を設定するには

  1. Jamf Pro コンソールで、設定 > グローバル > PKI 証明書に移動して、PKI 証明書の設定ページに移動します。

  2. 管理証明書テンプレートタブを選択します。

  3. 外部 CA を選択します。

  4. [Edit] (編集) を選択します。

  5. (オプション) 設定プロファイルの SCEP プロキシとして Jamf Pro を有効にするを選択します。Jamf Pro 設定プロファイルを使用して、特定のユースケースに合わせて異なる証明書を発行できます。Jamf Pro で設定プロファイルを使用する方法のガイダンスについては、Jamf Pro ドキュメントの「Jamf Pro を設定プロファイルの SCEP プロキシとして有効にする」を参照してください。

  6. コンピュータとモバイルデバイスの登録に SCEP 対応の外部 CA を使用するを選択します。

  7. (オプション) コンピュータとモバイルデバイスの登録に SCEP プロキシとして Jamf Pro を使用するを選択します。プロファイルのインストールに障害が発生した場合は、「」を参照してくださいプロファイルのインストール失敗のトラブルシューティング

  8. Connector for SCEP パブリック SCEP URL をコネクタの詳細から Jamf Pro の URL フィールドにコピーして貼り付けます。コネクタの詳細を表示するには、Connectors for SCEP リストからコネクタを選択します。または、GetConnector を呼び出して URL を取得し、レスポンスからEndpoint値をコピーすることもできます。

  9. (オプション) Name フィールドにインスタンスの名前を入力します。たとえば、 という名前を付けることができますAWS Private CA

  10. チャレンジタイプの静的 を選択します。

  11. コネクタからチャレンジパスワードをコピーし、チャレンジフィールドに貼り付けます。コネクタは、複数のチャレンジパスワードを持つことができます。コネクタのチャレンジパスワードを表示するには、 AWS コンソールでコネクタの詳細ページに移動し、パスワードの表示ボタンを選択します。または、GetChallengePassword を呼び出してレスポンスからPassword値をコピーすることで、コネクタのチャレンジパスワード (複数可) を取得することもできます。チャレンジパスワードの使用については、「」を参照してくださいConnector for SCEP の考慮事項と制限を理解する

  12. チャレンジパスワードをチャレンジの検証フィールドに貼り付けます。

  13. キーサイズを選択します。キーサイズは 2048 以上をお勧めします。

  14. (オプション) デジタル署名として使用するを選択します。認証目的でこれを選択すると、Wi-Fi や VPN などのリソースへの安全なアクセスがデバイスに付与されます。

  15. (オプション) キー暗号化に使用するを選択します。

  16. (オプション - 推奨) フィンガープリントフィールドに 16 進文字列を入力します。マネージドデバイスが CA を検証できるように CA フィンガープリントを追加し、CA からの証明書のみをリクエストすることをお勧めします。プライベート CA のフィンガープリントを生成する方法については、「」を参照してくださいステップ 1: (オプション - 推奨) プライベート CA のフィンガープリントを取得する

  17. [保存] を選択します。

ステップ 3: 設定プロファイル署名証明書を設定する

Connector for SCEP で Jamf Pro を使用するには、コネクタに関連付けられているプライベート CA の署名証明書と CA 証明書を指定する必要があります。これを行うには、両方の証明書を含むプロファイル署名証明書キーストアを Jamf Pro にアップロードします。

証明書キーストアを作成して Jamf Pro にアップロードする手順は次のとおりです。

  • 内部プロセスを使用して証明書署名リクエスト (CSR) を生成します。

  • コネクタに関連付けられたプライベート CA によって署名された CSR を取得します。

  • プロファイル署名と CA 証明書の両方を含むプロファイル署名証明書キーストアを作成します。

  • 証明書キーストアを Jamf Pro にアップロードします。

これらのステップに従うことで、デバイスがプライベート CA によって署名された設定プロファイルを検証および認証し、Jamf Pro で Connector for SCEP を使用できるようになります。

  1. 次の例では OpenSSL と を使用していますが AWS Certificate Manager、任意の方法を使用して証明書署名リクエストを生成できます。

    AWS Certificate Manager console
    ACM コンソールを使用してプロファイル署名証明書を作成するには

    1. ACM を使用してプライベート PKI 証明書をリクエストします。以下を含めます。

      • タイプ - MDM システムの SCEP 認証機関として機能するのと同じプライベート CA タイプを使用します。

      • 認証機関の詳細セクションで、認証機関メニューを選択し、Jamf Pro の CA として機能するプライベート CA を選択します。

      • ドメイン名 - 証明書に埋め込むドメイン名を指定します。などの完全修飾ドメイン名 (FQDN)www.example.com、または example.com ( を除く) などのベアドメイン名または apex ドメイン名を使用できますwww.

    2. ACM を使用して、前のステップで作成したプライベート証明書をエクスポートします。証明書、証明書チェーン、および暗号化されたキーのファイルをエクスポートを選択します。次のステップで必要になるため、パスフレーズは手元に置いてください。

    3. ターミナルで、エクスポートされたファイルを含むフォルダで次のコマンドを実行して、前のステップで作成したパスフレーズでエンコードされたoutput.p12ファイルに PKCS#12 バンドルを書き込みます。

      openssl pkcs12 -export \
  -in "Exported Certificate.txt" \
  -certfile "Certificate Chain.txt" \
  -inkey "Exported Certificate Private Key.txt" \
  -name example \
  -out output.p12 \
  -passin pass:your-passphrase \
  -passout pass:your-passphrase
    AWS Certificate Manager CLI
    ACM CLI を使用してプロファイル署名証明書を作成するには

    • 次のコマンドは、ACM で証明書を作成し、ファイルを PKCS#12 バンドルとしてエクスポートする方法を示しています。

      PCA=<Enter your Private CA ARN>

CERTIFICATE=$(aws acm request-certificate \
    --certificate-authority-arn $PCA \
    --domain-name <any valid domain name, such as test.name> \
    | jq -r '.CertificateArn')

while [[ $(aws acm describe-certificate \
  --certificate-arn $CERTIFICATE \
  | jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
  
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.Certificate' > Certificate.pem
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
aws acm export-certificate \
  --certificate-arn $CERTIFICATE \
  --passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
  
openssl pkcs12 -export \
  -in "Certificate.pem" \
  -certfile "CertificateChain.pem" \
  -inkey "PrivateKey.pem" \
  -name example \
  -out output.p12 \
  -passin pass:passphrase \
  -passout pass:passphrase
    OpenSSL CLI
    OpenSSL CLI を使用してプロファイル署名証明書を作成するには

    1. OpenSSL を使用して、次のコマンドを実行してプライベートキーを生成します。

      openssl genrsa -out local.key 2048

    2. 証明書署名リクエスト (CSR) を生成します。

      openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation

    3. を使用して AWS CLI、前のステップで生成した CSR を使用して署名証明書を発行します。次のコマンドを実行し、レスポンスに証明書 ARN を書き留めます。

      aws acm-pca issue-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS

    4. 次のコマンドを実行して、署名証明書を取得します。前のステップの証明書 ARN を指定します。

      aws acm-pca get-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --certificate-arn <ARN OF NEW CERTIFICATE> | jq -r '.Certificate' >local.crt

    5. 次のコマンドを実行して CA 証明書を取得します。

      aws acm-pca get-certificate-authority-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> | jq -r '.Certificate' > ca.crt

    6. OpenSSL を使用して、署名証明書キーストアを p12 形式で出力します。ステップ 4 と 5 で生成した CRT ファイルを使用します。

      openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12

    7. プロンプトが表示されたら、エクスポートパスワードを入力します。このパスワードは、Jamf Pro に提供するキーストアパスワードです。

  2. Jamf Pro で、管理証明書テンプレートに移動し、外部 CA ペインに移動します。

  3. 外部 CA ペインの下部で、署名の変更と CA 証明書を選択します。

  4. 画面の指示に従って、外部 CA の署名証明書と CA 証明書をアップロードします。

ステップ 4: (オプション) ユーザー主導の登録中に証明書をインストールする

クライアントデバイスとプライベート CA 間の信頼を確立するには、デバイスが Jamf Pro によって発行された証明書を信頼していることを確認する必要があります。Jamf Pro のユーザー主導登録設定を使用して、登録プロセス中に証明書をリクエストするときに、 AWS Private CAの CA 証明書をクライアントデバイスに自動インストールできます。

プロファイルのインストール失敗のトラブルシューティング

コンピュータおよびモバイルデバイスの登録に SCEP Proxy として Jamf Pro を使用するを有効にした後にプロファイルのインストールに失敗する場合は、デバイスログを参照して、以下を試してください。

デバイスログのエラーメッセージ 緩和策

Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:15001>

登録中にこのエラーメッセージが表示された場合は、登録を再試行してください。登録が成功するまでに数回の試行が必要になる場合があります。

Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:14006>

チャレンジパスワードの設定が間違っている可能性があります。Jamf Pro のチャレンジパスワードがコネクタのチャレンジパスワードと一致していることを確認します。