【OneGate技術記事】Jamf Proと連携した証明書の自動配布

アイキャッチ
目次

概要

株式会社ソリトンシステムズが提供する、情報資産を不正アクセスから守るID認証サービス
Soliton OneGate(ソリトン ワンゲート)」は、証明書発行を行うプライべート認証局(CA)機能を搭載しており、そのプライベート認証局から安全に証明書配布する複数の仕組みを標準機能として提供しています。
その一つに、SCEP(Simple Certificate Enrollment Protocol)に対応したMDM製品と連携して、MDM管理下のデバイスに対し証明書を自動配布できる機能があります。

本記事では、Jamf社のJamf Pro(Appleデバイスの管理を行うMDM)を使って、OneGateのMDM連携機能で証明書配布する方法についてご紹介します。

本記事では動作イメージと設定の流れを紹介しています。
より詳細な設定手順につきましては、こちらをご確認ください。

※本記事は2024年2月に弊社で検証を行った内容を元に作成しているため、連携先サービスの画面イメージは最新のものと異なる場合があります。
※本記事は、連携先サービスが提供する機能について動作を保証するものではありません。また連携先サービスに関するお問い合わせにはお答えできませんので、ご了承ください。


動作イメージ










※本記事ではJamf ProをSCEPプロキシとして設定しています。そのため、OneGateとのSCEP関連の通信はすべてJamf Proが行い、利用者デバイスはOneGateと直接通信を行いません。
※デバイス登録は、利用者による操作を必要とする「ユーザーによる登録」で行いました。


事前に準備するもの

OneGateテナント(OneGateテナントのお申し込みまたはトライアルはこちら
Jamf Proテナント
管理対象Apple ID(iPhoneをMDM登録する際に利用します。)


OneGateでの設定(管理者操作)

MDM連携設定

証明書管理 > 外部連携設定 より、MDM連携設定を有効化しJamf Proでの設定に必要な情報を控えます。

OneGate管理画面






各種証明書のダウンロード

CA証明書と、連携用のクライアント証明書をそれぞれダウンロードします。
どちらもJamf Proでの設定時に使用します。


Jamf Proでの設定(管理者操作)

OneGateを外部CAとして登録

設定 > グローバル > PKI証明書 > 管理用証明書テンプレート より、Jamf Proの外部CAとしてOneGateを登録します。
登録時に、あらかじめOneGateでダウンロードしておいたCA証明書と連携用のクライアント証明書を使用します。
外部CAとして登録することで、プロファイル作成時にSCEPサーバーとして選択できるようになります。

デバイス登録用のユーザーアカウント作成

設定 > システム > ユーザーアカウントおよびグループ より、デバイス登録時のJamf Proログインに使用するユーザーアカウントを作成します。

ユーザーによるデバイス登録を有効化

設定 > グローバル >  ユーザーによる登録 より、デバイス上での利用者操作でJamf Proにデバイス登録ができるように設定します。

構成プロファイル作成

コンピューター(MacBook)/モバイルデバイス(iPhone/iPad)への証明書配布に必要な構成プロファイルを、それぞれ作成します。


デバイス上での設定(ユーザー操作)

MacBookへの証明書配布

MacBook上のSafariからデバイス登録用URLにアクセスし、デバイス登録を行います。
登録完了後、設定からプロファイルがインストールされていることを確認します。
(今回は「macOS CA証明書配布用」でCA証明書配布、「macOS SCEPプロファイル」でデフォルトキーチェーンへのクライアント証明書配布を行っています。)

インストールされたプロファイル













キーチェーンアクセスから、インストールされたCA証明書とクライアント証明書を確認します。

CA証明書











クライアント証明書












iPhoneへの証明書配布

iPhone上のSafariからデバイス登録用URLにアクセスし、管理対象Apple IDを使用してデバイス登録を行います。
登録完了後、設定からプロファイルがインストールされていることを確認します。

インストールされたプロファイル

















上記の動画にて、以下の一連の操作をご確認いただけます。

  1. 作成した構成プロファイルを確認(まだデバイスには未適用)
  2. iPhone上でのユーザー操作によりデバイス登録
  3. プロファイルがインストールされ、同時に証明書配布も完了
  4. Jamf ProとOneGateの管理画面から配布された証明書を確認
  5. 配布されたクライアント証明書でOneGateに証明書認証


以上で、Jamf ProとOneGateを連携して実現する証明書の自動配布は完了です。

本記事は弊社FAQで公開しているOneGate参考資料のダイジェスト版になります。
各設定の詳細につきましては、こちらをご確認ください。


弊社のネットワーク認証アプライアンスであるNetAttest EPSでの、Jamf Proと連携した証明書の自動配布をご紹介した記事はこちらです。併せてご覧ください。

記事を書いた人

ソリトンシステムズ・テクニカルチーム