プロファイルにセキュリティ識別子(SID)エクステンションを設定
DigiCert® Trust Lifecycle Manager の証明書プロファイルにセキュリティ識別子(SID)エクステンションを設定して、Microsoft Active Directory 環境で強固な証明書マッピングを使用できるようにします。さまざまな証明書申請方法/認証方法に対して SID エクステンションを有効化し、多様な方法で値を割り当てることができます。
使用可能なベーステンプレート
証明書に SID エクステンションを含めるには、次のいずれかのベーステンプレートからプロファイルを作成します。どのテンプレートも、DigiCert® Private CA からプライベートトラスト証明書を発行します。証明書を発行する事業部門に使用可能なシートライセンスが割り当てられていることを確認します。
テンプレート名 |
|---|
|
|
|
|
|
|
|
|
1.Intune SCEP の場合は、SID エクステンションではなく、SID 値を[SAN:URI]フィールドに追加します。詳細については、「Intune SCEP integration guide」を参照してください。 |
SID エクステンションを証明書プロファイルに追加
Trust Lifecycle Manager で証明書プロファイルを作成または編集する場合は、次のとおりに SID エクステンションを追加します。
プロファイル構成ウィザードの[エクステンション]画面で、[標準エクステンション]ドロップダウンを使用して、[セキュリティ識別子]エクステンションを追加します。
新しく追加した[セキュリティ識別子]エクステンションのタブを選択します。
右側でエクステンションの詳細を設定します。
重要性: 証明書が有効と見なされるように SID エクステンションを把握する必要があるかどうか。不確実な場合は、[False]に設定されたままにします。
フィールドの値のソース: 該当するプロファイルから発行される証明書で SID エクステンションに値を割り当てる方法のオプションを選択します。使用できるオプションは、プロファイルで使用されている申請方法と認証方法によって異なります。詳細については、「SID フィールドの値の使用可能なソース」セクションを参照してください。
注記
一部のオプションには、追加設定のための入力欄があります。該当する場合は、[必須]チェックボックスを使用して、プロファイルから証明書を申請する際に SID 値を入力する必要があるかどうかを指定します。
SID フィールドの値の使用可能なソース
証明書の申請時に SID エクステンションに値を割り当てる方法のオプションは、申請方法と認証方法によって異なります。詳細については、次の表を参照してください。
値のソース | 申請 | 認証 | 説明 |
|---|---|---|---|
AD 属性 |
|
| AD 属性から SID 値を取得します。 証明書プロファイルで、SID 値の取得元の AD 属性の名前として |
ユーザーによる入力 |
| 任意 | ユーザーは、申請を確認する際に値を入力するよう求められます。 現在の SID を確認するために、ユーザーは Windows コマンドラインから |
管理者による入力/アップロード | 任意( | 任意 | 管理者は、Trust Lifecycle Manager のユーザーインターフェースを介して申請要求を送信する際に値を入力するよう求められます。 |
EST 要求 |
| 任意 | EST 要求属性から SID 値を取得します。 |
固定値 | 任意 | 任意 | プロファイルから発行されるすべての証明書に同じ SID 値を追加します。 証明書プロファイルで、指定された入力欄に SID 値を入力します。OID を入力してはなりません。 |
CSR から |
| 任意 | 証明書署名要求(CSR)から SID 値を取得します。 |
REST 要求 |
| 任意 | API 要求属性から SID 値を取得します。 POST 証明書エンドポイントを使用して証明書を要求する場合は、JSON 要求の本文の |
SAML アサーション |
|
| SAML アサーションで AD 属性から SID 値を取得します。 証明書プロファイル内の SAML 属性名には、 |
SCEP 要求 |
| 任意 | SCEP 要求属性から SID 値を取得します。 注: Intune SCEP の場合は、SID エクステンションではなく、SID 値を[SAN:URI]フィールドに追加します。詳細については、「Intune SCEP integration guide」を参照してください。 |