

株式会社ソリトンシステムズが提供する、情報資産を不正アクセスから守るID認証サービス
「Soliton OneGate(ソリトン ワンゲート)」は、証明書発行を行うプライべート認証局(CA)機能を搭載しており、そのプライベート認証局から安全に証明書配布する複数の仕組みを標準機能として提供しています。
その一つに、SCEP(Simple Certificate Enrollment Protocol)に対応したMDM製品と連携して、MDM管理下のデバイスに対し証明書を自動配布できる機能があります。
本記事では、Jamf社のJamf Pro(Appleデバイスの管理を行うMDM)を使って、OneGateのMDM連携機能で証明書配布する方法についてご紹介します。
本記事では動作イメージと設定の流れを紹介しています。
より詳細な設定手順につきましては、こちらをご確認ください。
※本記事は2024年2月に弊社で検証を行った内容を元に作成しているため、連携先サービスの画面イメージは最新のものと異なる場合があります。
※本記事は、連携先サービスが提供する機能について動作を保証するものではありません。また連携先サービスに関するお問い合わせにはお答えできませんので、ご了承ください。
※本記事ではJamf ProをSCEPプロキシとして設定しています。そのため、OneGateとのSCEP関連の通信はすべてJamf Proが行い、利用者デバイスはOneGateと直接通信を行いません。
※デバイス登録は、利用者による操作を必要とする「ユーザーによる登録」で行いました。
OneGateテナント(OneGateテナントのお申し込みまたはトライアルはこちら)
Jamf Proテナント
管理対象Apple ID(iPhoneをMDM登録する際に利用します。)
証明書管理 > 外部連携設定 より、MDM連携設定を有効化しJamf Proでの設定に必要な情報を控えます。
OneGate管理画面
CA証明書と、連携用のクライアント証明書をそれぞれダウンロードします。
どちらもJamf Proでの設定時に使用します。
設定 > グローバル > PKI証明書 > 管理用証明書テンプレート より、Jamf Proの外部CAとしてOneGateを登録します。
登録時に、あらかじめOneGateでダウンロードしておいたCA証明書と連携用のクライアント証明書を使用します。
外部CAとして登録することで、プロファイル作成時にSCEPサーバーとして選択できるようになります。
設定 > システム > ユーザーアカウントおよびグループ より、デバイス登録時のJamf Proログインに使用するユーザーアカウントを作成します。
設定 > グローバル > ユーザーによる登録 より、デバイス上での利用者操作でJamf Proにデバイス登録ができるように設定します。
コンピューター(MacBook)/モバイルデバイス(iPhone/iPad)への証明書配布に必要な構成プロファイルを、それぞれ作成します。
MacBook上のSafariからデバイス登録用URLにアクセスし、デバイス登録を行います。
登録完了後、設定からプロファイルがインストールされていることを確認します。
(今回は「macOS CA証明書配布用」でCA証明書配布、「macOS SCEPプロファイル」でデフォルトキーチェーンへのクライアント証明書配布を行っています。)
インストールされたプロファイル
キーチェーンアクセスから、インストールされたCA証明書とクライアント証明書を確認します。
CA証明書
クライアント証明書
iPhone上のSafariからデバイス登録用URLにアクセスし、管理対象Apple IDを使用してデバイス登録を行います。
登録完了後、設定からプロファイルがインストールされていることを確認します。
インストールされたプロファイル
上記の動画にて、以下の一連の操作をご確認いただけます。
以上で、Jamf ProとOneGateを連携して実現する証明書の自動配布は完了です。
本記事は弊社FAQで公開しているOneGate参考資料のダイジェスト版になります。
各設定の詳細につきましては、こちらをご確認ください。
弊社のネットワーク認証アプライアンスであるNetAttest EPSでの、Jamf Proと連携した証明書の自動配布をご紹介した記事はこちらです。併せてご覧ください。