Workspace ONE 用 API 統合ガイド
このガイドは、Workspace ONE 統合エンドポイント管理(UEM)プラットフォームのエンドユーザーデバイスをプロビジョニングするために、DigiCert® Trust Lifecycle Manager から証明書を要求する方法について説明します。
相互 TLS(mTLS)を使用して要求を認証する Workspace ONE と統合するため、Trust Lifecycle Manager の REST API サービスを設定します。
Workspace ONE の統合は、Trust Lifecycle Manager に定義した預託が有効な証明書プロファイルからの、公開およびプライベート DigiCert 証明書の発行をサポートします。
ワークフロー
Workspace ONE の統合を有効にするには、これらのタスクを順に完了します。
| タスク | セクション |
|---|---|---|
1. | Trust Lifecycle Manager の前提条件を検証します。 | |
2. | API サービスユーザーを作成して、Trust Lifecycle Manager でクライアント認証証明書を生成します。 | |
3. | Trust Lifecycle Manager から発行する DigiCert 証明書のタイプを定義します。 | |
4. | Workspace ONE で DigiCert 認証局、証明書要求テンプレート、および申請プロファイルを設定します。 | |
5. | Workspace ONE 管理のデバイスが DigiCert から証明書を取得できるかどうかを検証して、統合が機能していることを確認します。 |
開始する前に
Trust Lifecycle Manager でこれらの前提条件を検証するためにサポートが必要な場合は、デジサートのシステム管理者またはアカウント担当者にお問い合わせください。
Trust Lifecycle Manager アカウントからアクセス可能な発行 CA が少なくとも 1 つ必要です。The Workspace ONE 統合では、次の DigiCert CA サービスをサポートしています。
DigiCert CA サービス | トラストタイプ | 必須の設定 |
|---|---|---|
DigiCert Private CA | プライベート | DigiCert Private CA にセットアップされたプライベートルートと発行 CA |
CertCentral | パブリック | Trust Lifecycle Manager にセットアップされた CertCentral コネクタ |
Trust Lifecycle Manager への API アクセスを有効化する
Workspace ONE と統合するには、クライアント認証証明書を持つ API サービスユーザーが必要です。DigiCert® ONE プラットフォームにサインインして、これらのステップを完了します。
DigiCert ONE でサービスユーザーを作成するには、次の操作を実行します。
DigiCert ONE の新しい API サービス用の認証証明書を生成するには、次の操作を実行します。
Trust Lifecycle Manager に証明書プロファイルを作成する
証明書プロファイルは発行 CA および Trust Lifecycle Manager で発行できる証明書タイプの一般的なプロパティを定義します。ベーステンプレートを起点として使用し、Workspace ONE で申請しようとする各証明書のタイプのプロファイルを作成します。
Workspace ONE が管理するデバイスに対して、Trust Lifecycle Manager で証明書プロファイルを作成するときには、次のいずれかのベーステンプレートを起点として使用します。
DigiCert ONE で発行した証明書の預託を有効にするには、クラウド鍵預託のサポートを含むテンプレートを選択します。
証明書を発行する Trust Lifecycle Manager の事業部門に配置された利用可能なシートライセンスがあることを確認してください。
テンプレート名 | トラストタイプ | DigiCert CA サービス | クラウド鍵預託のサポート |
|---|---|---|---|
| プライベート | DigiCert Private CA | あり |
| パブリック | CertCentral | なし |
| パブリック | CertCentral | なし |
| プライベート | DigiCert Private CA | なし |
| プライベート | DigiCert Private CA | なし |
| プライベート | DigiCert Private CA | あり |
| プライベート | DigiCert Private CA | あり |
| パブリック | CertCentral | あり |
Trust Lifecycle Manager で証明書プロファイルを作成して Workspace ONE で使用するには、次の操作を実行します。
[Trust Lifecycle Manager]メニューで[Policies > Certificate profiles]を選択します。
[テンプレートからプロファイルを作成]ボタンを選択します。
利用可能なベーステンプレートセクションから、証明書プロファイル作成の基盤としてテンプレートを 1 つ選択します。
注: DigiCert Cloud で発行した証明書のリカバリを有効にするには、クラウド鍵預託オプションをサポートするベーステンプレートを選択します。
プロファイル作成ウィザードに従い、次で説明する Workspace ONE 関連のオプションを重視して、自社のニーズに応じて他の選択を行います。
第一オプションは次の通りです。
[一般情報]適切な事業部門と証明書の 発行 CA を選択します。
[申請方法]:
REST APIを選択します。[認証方法]:
3rd Party appを選択します。
[証明書のオプション] > [フローオプション]は次の通りです。
[cloud key escrow and recovery](ベーステンプレートが鍵預託をサポートする場合)には、次の操作を実行します。
[複製証明書の許可]チェックボックスを選択解除します。
[デジサートクラウド鍵預託]を有効化し、[マッチング申請要求のために預託された証明書を配信]チェックボックスを選択します。
[複製証明書](すべてのテンプレート)の発行を有効化するには、次の操作を実行します。[複製証明書の許可]チェックボックスを選択します。
重要
クラウド鍵預託または複製証明書を有効化できますが、両方を有効化することはできません。
Workspace ONE 統合に対して、[詳細設定] > [サービスユーザーバインディング]で、作成したサービスユーザーを選択します。
最終のプロファイル作成ウィザード画面で、[作成]を選択して、新しい証明書プロファイルを保存します。
Workspace ONE を設定する
Workspace ONE 管理のデバイスに対して、Trust Lifecycle Manager で証明書を要求するには、DigiCert 認証局を有効化して、これに向けて要求の設定を行う必要があります。Workspace ONE プラットフォームにサインインして、次のステップを完了します。
Workspace ONE に DigiCert 認証局(CA)を追加するには、次の操作を実行します。
[設定] > [エンタープライズ統合] > [認証局]に移動します。
[認証局]タブで、[追加]ボタンを選択します。
以下の設定を行います。
[名前]: DigiCert CA サービスを識別するのに役立つ名前を入力します。
[認証局タイプ]:
DigiCertを選択します。[サーバー URL]: DigiCert ONE 環境のクライアント認証 URL を入力します。
たとえば、DigiCert ONE の米国本番環境を使用する場合、ここに
https://clientauth.one.digicert.comと入力します。[証明書]: DigiCert ONE の API サービスユーザー用に、作成した認証証明書をアップロードします。
[追加] > [Choose file]を選択します。
ダウンロードした認証証明書の PKCS#12 ファイルに移動します。
[証明書パスワード]フィールドに、証明書 PKCS#12 ファイル用に DigiCert ONE からコピーしたパスワードを入力します。
[アップロード]を選択します。
完成した Workspace ONE ダイアログは、次のスクリーンショットのような見た目になります。
設定をテストするには、[TEST CONNECTION]ボタンを選択します。問題があれば対処します。
テストの成功後に新しい CA レコードを保存するには、[保存]を選択します。
DigiCert から証明書を要求するために Workspace ONE にテンプレートを追加するには、次の操作を実行します。
[設定] > [エンタープライズ統合] > [認証局]に移動します。
[Request Templates]タブで、[追加]ボタンを選択します。
以下の設定を行います。
[名前]: この証明書要求テンプレートを識別するのに役立つ名前を入力します。
認証局: 作成した DigiCert CA を選択します。
CA を選択すると、[プロファイル名]ドロップダウンにその CA が利用できる証明書プロファイルの一覧が入力されます。
プロファイル名: Workspace ONE 管理のデバイスに証明書を発行するため、Trust Lifecycle Manager で作成した証明書プロファイルのいずれか 1 つを選択します。
プロファイルを選択すると、属性テーブルには各属性値のソースを含むプロファイル設定が入力されます。
完成した Workspace ONE ダイアログは、次のスクリーンショットのような見た目になります。
[保存]を選択して、新しい証明書要求を保存します。
エンドユーザーデバイスの DigiCert 証明書の申請のため、Workspace ONE にプロファイルを追加するには、次の操作を実行します。
[Resources] > [Profiles & Baselines] > [Profiles]に移動します。
[追加] を選択します。
該当するデバイスの[プラットフォーム]を選択します。例えば、「Windows」。
証明書申請の[コンテキスト]を選択します。例えば、「ユーザープロファイル」。
[一般]タブで、次の設定を行います。
[名前]: この証明書申請プロファイルを識別するのに役立つ名前を入力します。
[Smart Groups]: このプロファイルから証明書を申請するデバイスグループを選択します。
自社のニーズに応じて追加の選択を行います。完成したタブは、次のスクリーンショットのような見た目になります。
[クレデンシャル]タブで、次の設定を行います。
[Credential Source]:
Defined Certificate Authorityを選択します。認証局: 作成した DigiCert CA を選択します。
[証明書テンプレート]: Trust Lifecycle Manager で証明書を発行するために作成した、いずれかの証明書要求テンプレートを選択します。
完成したタブは、次のスクリーンショットのような見た目になります。
[SAVE AND PUBLISH]を選択して、プロファイルを保存し、ターゲットデバイスに対して証明書申請をトリガーします。
証明書の申請を検証する
DigiCert 証明書の申請を要求した後、Trust Lifecycle Manager で発行されて Workspace ONE によってプロビジョニングされた証明書を検証します。
Trust Lifecycle Manager で発行された証明書を表示するには、次の操作を実行します。
[Inventory] ページに移動します。
インベントリ機能を使用して、発行された証明書を見つけるサポートをします。該当するフィルタには次が含まれます。
[コモンネーム]: 証明書のコモンネームの値によって検索します。
[申請方法]:
REST APIを選択します。ヒント
インベントリテーブルに列がない場合は、右上のテーブル設定を使用してそれを追加します。
(オプション)テーブルで証明書を見つけた場合、コモンネームを選択し、それに関する追加の詳細を表示します。
Workspace ONE において申請の詳細を表示するには、次の操作を実行します。
[MONITOR] > [Events and Logs] > [Device Events]に移動します。
申請のターゲットデバイスでは、[イベント]列に
Certificate Issuedが表示されます。イベントステータスのリンクを選択して、申請に関する追加の詳細を表示します。
証明書がインストールされていることを検証するために、デバイス自体をチェックします。
たとえば、Windows デバイスでは、証明書管理アプリケーション(certmgr.msc)を使用して、[証明書] - [Current User] > [個人] > [証明書]で DigiCert 証明書をチェックします。