SCEP 経由で iOS/iPadOS 登録を設定する
DigiCert® Trust Lifecycle Manager は、簡易証明書登録プロトコル(SCEP)を介した Web ベースの iOS/iPadOS 証明書登録に対応し、本格的な MDM/UEM ソリューションを導入することなく、Apple iPhone と iPad への証明書の直接的なプロビジョニングを容易にします。
前提条件
Trust Lifecycle Manager アカウントでは、DigiCert® Account Manager で SCEP と iOS/iPadOS の有効化の各機能を有効にする必要があります。
DigiCert® Private CA では、CA が SCEP パケットの復号化と署名を行うことを許可するように設定された発行 CA が必要です。
DigiCert ONE インスタンスは、公開 CA 証明書を使用して Apple .mobileConfig ファイルに署名できるように設定する必要があります。
注記
クラウドホスト版の DigiCert ONE を使用している場合は、これらの前提条件に関するサポートについてデジサートのアカウント担当者にお問い合わせください。オンプレミスのデプロイについては、デジサートのシステム管理者にお問い合わせください。
Trust Lifecycle Manager で証明書プロファイルを作成する
iOS/iPadOS 登録用に証明書プロファイルを作成するには、次の手順を実行します。
Trust Lifecycle Manager のメニューから、[Policies > Certificate profiles]に移動します。
[テンプレートからプロファイルを作成]の操作を選択します。
証明書プロファイル作成のベースとして、次のテンプレートのうちいずれか 1 つを選択します。
Generic Device CertificateGeneric User Certificate
プロファイル設定ウィザードを進め、下記で説明する iOS/iPadOS 関連オプションに重点を置き、ビジネス要件や発行したい証明書のタイプに応じてその他の選択をします。各画面で入力してから、[次へ]を選択して次の画面に進みます。
プロファイルウィザードの最初の[プライマリオプション]画面で、次の項目を設定します。
一般情報: 証明書を発行するには、該当する事業部門と SCEP 対応の発行 CA を選択します。
登録方法:
iOS/iPadOSを選択します。認証方法: iOS/iPadOS ベースの登録では、
Enrollment Codeが自動で選択されます。登録コードの設定を調整できます。
[証明書のオプション]画面で次の操作を実行します。
サブジェクト DN および SAN フィールド: 発行された証明書のサブジェクト識別名(DN)およびサブジェクト別名(SAN)に含めるフィールドを選択します。
各フィールドについて、フィールドの値が登録時に管理者から動的に提供されるかどうかに応じて、[
Entered/Uploaded by Admin]または[Fixed Value]のいずれかをその値のソースとして選択します。デフォルトでは、[コモンネーム]のみが含まれており、その値を[
Entered/Uploaded by Admin]にするよう設定されています。証明書にコモンネームのみが必要で、登録時にそれを設定したい場合は、ここで他に選択する必要はありません。
[追加のオプション]画面で次の操作を実行します。
証明書の配布形式は X.509 PEM に設定されており、変更できません。SCEP プロトコルではこれが必須の配布形式であるためです。
[詳細設定]画面で次の操作を実行します。
シート ID のマッピング: iOS/iPadOS 経由で証明書を登録する際にシート ID として使用する、使用可能な証明書フィールドのうちいずれか 1 つを選択します。デフォルトでは、Trust Lifecycle Manager で証明書のコモンネームをシート ID として使用するよう選択されています。
iOS デバイスのプロファイル設定:
Web authentication settingsのユースケースは、現時点で iOS ベースの登録に対応している唯一のユースケースであるため、自動で有効化されています。
[作成]を選択して新規証明書プロファイルを保存します。
プロファイルに対してシートを一括作成および一括登録する
CSV ファイルを作成する
次の形式で CSV ファイルを作成し、Trust Lifecycle Manager でシートの作成と登録コードの割り当てに使用します。
seat_id,seat_name,enrollment_code,enrollment_email
例:
seat01,seat01,817902767,seat01@example.com
この例では、817902767 が Apple デバイスでの登録を検証するために必要な登録コードです。登録リンクは、[enrollment_email]フィールドで指定されたアドレスにメールで送信されます。
CSV ファイル作成方法の詳細な例については、「複数シートの一括申請」を参照してください。
重要
Trust Lifecycle Manager アカウントで従来のライセンスモデル(シートタイプが異なる)が使用されている場合は、シートを個別または一括で申請する際にシートタイプを選択する必要があります。一度に 1 つのシートタイプしか申請できません。さまざまなシートタイプを一括で申請する場合は、タイプごとに 1 つの CSV ファイルを用意します。詳細については、「Legacy seat types」を参照してください。
CSV ファイルをアップロードしてシートを作成/登録する
CSV ファイルをアップロードしてシートレコードを作成し、Trust Lifecycle Manager で登録コードを記録するには、次の手順を実行します。
Trust Lifecycle Manager のメニューから、[Account > Seats]に移動します。
[シートの一括管理]ボタンを選択します。
[操作]ドロップダウンから[シートの作成/更新]を選択します。
[プロファイルに対して座席を登録]チェックボックスを選択し、このオプションを有効にします。
[登録コードを含む CSV ファイル]生成方法を選択します。
証明書プロファイルのドロップダウンから作成したプロファイルを選択します。
登録するすべてのシートのデータを含む CSV ファイルをアップロードします。
有効な CSV ファイルをアップロードすると、対応するシートレコードが登録されます。登録したすべてのシートとそれぞれのステータスのレポートを表示するには、[ダウンロード結果の JSON]リンクを選択します。
完了したら、[OK]ボタンを選択し、メインの[Account > Seats]ページに戻ります。
作成したシートレコードがこちらの表に表示されているはずです。
[Inventory > Enrollments]を選択し、保留中のコードベースの登録を確認します。
登録を検証し、Apple デバイスで証明書をインストールする
警告
これらの手順を完了するには、Safari Web ブラウザが必要です。
登録を検証し、.mobileConfig ファイルをダウンロードした後、8 分以内にプロファイルのインストールが必要です。これを過ぎると、セキュリティ対策として iOS/iPadOS による自動削除が行われます。問題を回避するためには、次の 2 つの手順を 1 回のセッションで完了します。
登録を検証してプロファイルをダウンロードする
登録リンクは、Trust Lifecycle Manager でシートを作成/登録した際に使用したメールアドレスに送信されます。
証明書をインストールする Apple デバイスで、Safari Web ブラウザを使用して登録リンクを開きます。
Trust Lifecycle Manager のシートレコードに対応する登録コードを入力します。
検証が成功すると、応答に署名済みの .mobileConfig ファイルが含まれます。
[許可]を選択して、Safari がプロファイルをダウンロードできるようにします。
プロファイルと証明書をインストールする
Apple デバイスで、[設定]>[一般]>[デバイス管理]に移動します。
プロファイルの詳細を確認し、[インストール]を選択してインストールします。
iOS は Trust Lifecycle Manager に証明書申請を送信し、その結果として生成された証明書プロファイルとペイロードをデバイスにインストールします。