【EPS技術記事】Jamf Proと連携した証明書の配布

概要

NetAttest EPSは、SCEP（Simple Certificate Enrollment Protocol）による証明書の署名要求を受け付けて証明書を発行することができます。
Jamf Proでは、SCEPプロファイルを作成し、MDM管理下のデバイスに対しSCEPプロファイルを配布できます。
デバイスがSCEPプロファイルを取得すると、SCEPを使用してNetAttest EPSに証明書署名要求を行い、クライアント証明書の発行および配布が可能になります。

本記事では、Jamf ProとNetAttest EPSを連携した証明書の自動配布の動作イメージと設定をご紹介します。
※本記事は、連携先サービスが提供する機能について動作を保証するものではありません。
また連携先サービスに関するお問い合わせにはお答えできませんので、ご了承ください。

動作イメージ

※NetAttest EPSはインターネット公開する前提で作られた製品ではないため、
本記事ではクライアント端末が社内LAN経由でアクセスしてくるパターンをまとめています。

EPSでの設定（管理者操作）

1. EPSサービス管理画面>高度なメニュー>CA>証明書プロファイル>プロファイルより、
   SCEPでクライアント証明書を配布するための証明書プロファイルを作成します｡
   プロファイル表示名：SCEPカスタム証明書　で「複製して編集」をクリックします。
   
2. 複製したプロファイルでは、以下のように設定します。
   
   
   ※「プロファイル識別子」と「SCEP固定チャレンジ」はJamf Proの設定で必要になるので控えておいてください。
3. EPSサービス管理画面>高度なメニュー>CA>証明書プロファイル>署名要求作成より、
   「SCEPカスタム証明書」を選択し、「TLS Web クライアント認証(1.3.6.1.5.5.7.3.2)」にチェックを入れます。
   

以上で、EPSの設定は終了です。

Jamf Proでの設定（管理者操作）

構成プロファイルの作成 - MacBook

Jamf Proに登録されたデバイスに対して、クライアント証明書とCA証明書を配布するための構成プロファイルを作成します。
構成プロファイルでは、以下のプロファイルの設定を行います。
・CA証明書配布用
・クライアント証明書配布用(SCEP)

構成プロファイルではプロファイルの適用レベルの設定があり、このレベルによって以下の通り証明書のインストール先が変わります。
・Computer Level：システムチェーン
・User Level：デフォルトキーチェーン

本記事では、デフォルトキーチェーンにクライアント証明書・CA証明書をインストールする想定で設定を行います。

1. コンピュータ>構成プロファイルに進み、「+新規」をクリックしプロファイルを作成します。
   
2. 「オプション」タブの「一般」にて以下のように設定します。
   ・名称：任意
   ・レベル：User Level
   ・配布方法：Install Automatically
   
3. CA証明書を配布するための設定を行います。
   「証明書」を開き、「構成」をクリックし以下のように設定します。
   ・証明書の名称：任意
   ・証明書オプションの選択：アップロード
   「証明書のアップロード」より、あらかじめダウンロードしたEPSのCA証明書ファイルをアップロードします。
   ※パスワードは空欄のまま
   ・すべてのAppにアクセスを許可：有効
   ・キーチェーンからのエクスポートを許可：無効
   
4. クライアント証明書を配布するための設定を行います。
   「SCEP」を開き、「構成」をクリックし以下のように設定します。
   
   必要な設定
   ・外部認証局の設定を使用して、Jamf Proをこの構成プロファイルのSCEP プロキシとして有効にする：無効
   ・URL：http://<EPSのIPアドレスまたはホスト名>/ca/NaScep-mac.cgi
   　NaScep-mac.cgi にはEPSで設定したプロファイル識別子を入力する
   ・件名：証明書のCNになる（詳細は以下をご参照ください）
   　Computer Configuration Profiles - Jamf Pro Administrator's Guide | Jamf
   ・チャレンジタイプ：Static
   　「チャレンジ」「チャレンジの検証」にはEPSで生成したSCEP固定チャレンジを入力する
   
5. 「Scope」タブの「Targets」で以下のように設定します。
   ・ターゲットコンピュータ：All Computers
   ・ターゲットユーザ：All Users
   

構成プロファイルの作成 - iPhone

OS標準ストアにクライアント証明書とCA証明書をインストールするための構成プロファイルを作成します。
構成プロファイルでは、以下のプロファイルの設定を行います。
・CA証明書配布用
・クライアント証明書配布用(SCEP)

1. デバイス>構成プロファイル に進み、「+新規」をクリックし、「オプション」タブの「一般」にて以下のように設定します。
   ・名称：任意
   ・レベル：Device Level
   ・配布方法：Install Automatically
   
2. CA証明書を配布するための設定を行います。
   「証明書」を開き、「構成」をクリックし以下のように設定します。
   ・証明書の名称：任意
   ・証明書オプションの選択：アップロード
   「証明書のアップロード」より、あらかじめダウンロードしたEPSのCA証明書ファイルをアップロードします。
   ※パスワードは空欄のまま
   
3. クライアント証明書を配布するための設定を行います。
   「SCEP」を開き、「構成」をクリックし以下のように設定します。
   
   必要な設定
   ・外部認証局の設定を使用して、Jamf Proをこの構成プロファイルのSCEP プロキシとして有効にする：無効
   ・URL：http://<EPSのIPアドレスまたはホスト名>/ca/NaScep-mac.cgi
   　NaScep-mac.cgi にはEPSで設定したプロファイル識別子を入力する
   ・件名：証明書のCNになる（詳細は以下をご参照ください）
   　Computer Configuration Profiles - Jamf Pro Administrator's Guide | Jamf
   ・チャレンジタイプ：Static
   　「チャレンジ」「チャレンジの検証」にはEPSで生成したSCEP固定チャレンジを入力する
   
   
4. 「Scope」タブの「Targets」で以下のように設定します。
   ・ターゲットコンピュータ：All Mobile Device
   ・ターゲットユーザ：All Users
   

以上で、Jamf Proの設定は終了です。

デバイス上での設定（ユーザー操作）

MacBookへの証明書配布

MacBook上のSafariからデバイス登録用URLにアクセスし、デバイス登録を行います。
登録完了後、設定からプロファイルがインストールされていることを確認してください。
プロファイルインストール後、CA証明書のインストールおよびクライアント証明書が自動配布されます。

iPhoneへの証明書配布

iPhone上のSafariからデバイス登録用URLにアクセスし、管理対象Apple IDを使用してデバイス登録を行います。
登録完了後、設定からプロファイルがインストールされていることを確認してください。
プロファイルインストール後、CA証明書のインストールおよびクライアント証明書が自動配布されます。

以上で、Jamf ProとEPSを連携して実現する証明書の自動配布は完了です。