技術記事・調査 2024/02/26

【OneGate技術記事】Jamf Proと連携した証明書の自動配布

概要

株式会社ソリトンシステムズが提供する、情報資産を不正アクセスから守るID認証サービス
「Soliton OneGate（ソリトンワンゲート）」は、証明書発行を行うプライべート認証局（CA）機能を搭載しており、そのプライベート認証局から安全に証明書配布する複数の仕組みを標準機能として提供しています。
その一つに、SCEP（Simple Certificate Enrollment Protocol）に対応したMDM製品と連携して、MDM管理下のデバイスに対し証明書を自動配布できる機能があります。

本記事では、Jamf社のJamf Pro（Appleデバイスの管理を行うMDM）を使って、OneGateのMDM連携機能で証明書配布する方法についてご紹介します。

本記事では動作イメージと設定の流れを紹介しています。
より詳細な設定手順につきましては、こちらをご確認ください。

※本記事は2024年2月に弊社で検証を行った内容を元に作成しているため、連携先サービスの画面イメージは最新のものと異なる場合があります。
※本記事は、連携先サービスが提供する機能について動作を保証するものではありません。また連携先サービスに関するお問い合わせにはお答えできませんので、ご了承ください。

動作イメージ

※本記事ではJamf ProをSCEPプロキシとして設定しています。そのため、OneGateとのSCEP関連の通信はすべてJamf Proが行い、利用者デバイスはOneGateと直接通信を行いません。
※デバイス登録は、利用者による操作を必要とする「ユーザーによる登録」で行いました。

事前に準備するもの

OneGateテナント（OneGateテナントのお申し込みまたはトライアルはこちら）
Jamf Proテナント
管理対象Apple ID（iPhoneをMDM登録する際に利用します。）

OneGateでの設定（管理者操作）

MDM連携設定

証明書管理＞外部連携設定より、MDM連携設定を有効化しJamf Proでの設定に必要な情報を控えます。

OneGate管理画面

各種証明書のダウンロード

CA証明書と、連携用のクライアント証明書をそれぞれダウンロードします。
どちらもJamf Proでの設定時に使用します。

Jamf Proでの設定（管理者操作）

OneGateを外部CAとして登録

設定＞グローバル＞ PKI証明書＞管理用証明書テンプレートより、Jamf Proの外部CAとしてOneGateを登録します。
登録時に、あらかじめOneGateでダウンロードしておいたCA証明書と連携用のクライアント証明書を使用します。
外部CAとして登録することで、プロファイル作成時にSCEPサーバーとして選択できるようになります。

デバイス登録用のユーザーアカウント作成

設定＞システム＞ユーザーアカウントおよびグループより、デバイス登録時のJamf Proログインに使用するユーザーアカウントを作成します。

ユーザーによるデバイス登録を有効化

設定＞グローバル＞ユーザーによる登録より、デバイス上での利用者操作でJamf Proにデバイス登録ができるように設定します。

構成プロファイル作成

コンピューター（MacBook）/モバイルデバイス（iPhone/iPad）への証明書配布に必要な構成プロファイルを、それぞれ作成します。

デバイス上での設定（ユーザー操作）

MacBookへの証明書配布

MacBook上のSafariからデバイス登録用URLにアクセスし、デバイス登録を行います。
登録完了後、設定からプロファイルがインストールされていることを確認します。
（今回は「macOS CA証明書配布用」でCA証明書配布、「macOS SCEPプロファイル」でデフォルトキーチェーンへのクライアント証明書配布を行っています。）

インストールされたプロファイル