SCEP の設定と使用
SCEP(Simple Certificate Enrollment Protocol)は、IoT デバイスの証明書発行と管理の自動化を容易にします。MDM システム、携帯電話、ネットワーク機器で SCEP は一般的に使用されています。SCEP は RFC 8894 で定義されています。
Device Trust Manager における SCEP は、RFC 8894 に概説されている仕様に準拠しています。最終的な RFC は 2020 年に公開されましたが、実装では、業界で広く使用されているオリジナルドラフトのバージョン 23 で定義された機能が引き続きサポートされています。
Device Trust Manager は以下の SCEP 仕様をサポートしています。
セクション 2.9「実装必須の機能」で指定されている必須の操作すべて。
セクション 3.1「SCEP メッセージオブジェクトの処理」に概説されているように、RSA 受信者公開鍵を使用した SCEP メッセージの暗号化。
注記
Device Trust Manager では、SCEP 操作での ECDSA 鍵の使用はサポートされていません。
開始する前に
Ensure you've reviewed the following concepts:
Device Trust Manager で SCEP を設定する前に、デジサートのアカウント担当者に問い合わせてアカウントを設定してください。
Device Trust Managerで SCEP 申請を正常に使用するために、DigiCert®システム管理者はまず認証局(CA)インフラストラクチャの適切な構成を確認する必要があります。SCEP の運用をサポートするには、ルート CA と中間 CA の両方を 1.702.0 の特定の設定で設定する必要があります。
CA Manager では、DigiCert® システム管理者が次のように設定する必要があります。
Device Trust Manager での SCEP の設定
Device Trust Manager で次の手順を実行するには、ソリューション管理者のロールが必要です。
ソリューション管理者として DigiCert® ONE にサインインします。
DigiCert ONE の[マネージャー]メニュー(右上のグリッド)で、[Device Trust]を選択します。
認証ポリシーを作成し、認証クレデンシャルを追加します。「認証ポリシーの作成」を参照してください。
証明書管理ポリシーの作成「証明書管理ポリシーの作成」を参照してください。
[一般設定]を開きます。
をクリックして、証明書管理ポリシーウィザードの証明書管理ポリシーの[名前]を入力します。
ポリシーを割り当てる[ディビジョン]を選択します。
証明書管理モデルから[SCEP](Simple Certificate Enrollment Protocol)を選択します。
EST、SCEP、CMPv2、または ACME の各手法に必要な場合は、[認証ポリシー]を選択します。
[次へ]をクリックして[証明書の設定]に進みます。
サブジェクトフィールド、エクステンション、有効期限などの証明書構造を定義する[エンドエンティティ証明書プロファイル]を選択します。
利用可能なオプションから[中間証明書プロファイル]を選択します。この中間 CA は、このポリシーに基づいて発行される証明書に署名します。
利用可能なオプションから[発行 CA]を選択します。このポリシーに基づいて発行される証明書に署名する認証局。
鍵ペア生成の 環境を設定します。
秘密鍵をデバイス上で生成するか、サーバー側で生成して SCEP 証明書リクエストの応答でデバイスに渡すかを設定できます。
[次へ]をクリックして[使用上の制限]に進みます。
許可された IP アドレス: 切り替えて、各 IP アドレス、IP アドレス範囲、またはワイルドカード IP アドレスを追加および入力し、証明書リクエストが許可される IP アドレスまたはアドレス範囲を指定します。単一の IP、範囲、またはワイルドカード IP を指定できます。
稼働時間: [タイムゾーン]を選択し、証明書リクエストが許可される[時間]を定義して、稼働時間の設定に切り替えます。
稼働日: 証明書管理ポリシーを使用できる開始日と終了日(有効期間開始日と有効期間終了日)を設定します。
[終了]をクリックして、証明書管理ポリシーの作成を完了します。
SCEP エンドポイントの取得
次に、SCEP クライアントで使用できるように SCEP エンドポイントを取得します。
Device Trust Manager で、[証明書管理]>[証明書管理ポリシー]を選択します。
SCEP 対応の証明書管理ポリシーの名前をクリックします。
[証明書管理ポリシーの詳細]ページで、[SCEP]セクションに移動します。
[SCEP]セクションで、[Enroll/reenroll]エンドポイント URL をコピーします。
SCEP の使用
これで SCEP エンドポイントと認証方法(申請パスコードまたは認証証明書)が確定したので、それを使用して SCEP 登録を実行できます。
TrustCore SDK と TrustEdge のどちらにも、DigiCert® Device Trust Managerで動作する SCEP クライアントが含まれています。
TrustEdge SCEP クライアントの例をお試しください。