• 検索結果がありません。

SCEP の設定

ドキュメント内 Sophos Mobile Control 管理者ヘルプ (ページ 42-45)

9 セルフサービス ポータルの設定

10.5 SCEP の設定

証明書を提供するために、SCEP (Simple Certificate Enrollment Protocol) を設定できます。

これによって、デバイスは SCEP を使用して認証局 (CA) から証明証を取得できるようにな ります。

SCEP を使って認証局 (CA) サーバーにアクセスするために必要な設定すべては、このWeb

コンソールで設定できます。

必要な設定は、Android/iOS デバイスの場合は「デバイスのプロファイル」の「SCEP」ペー

ジ、またWindows Mobile デバイスの場合はポリシーの「SCEP」ページで定義できます。

注: SCEP を使用した証明書の提供は、Windows Phone 8.0 を搭載したデバイスでは実行 できません。

10.5.1 前提条件

SCEP (Simple Certificate Enrollment Protocol) を使用するための前提条件は次のとおりで す。

SCEP に対応したWindows CA が環境にある。

チャレンジコードを作成できるユーザーのログイン情報がある。

Sophos Mobile Control サーバーは、次のサイトに http または https で接続できます。

https://SCEP サーバー名/CertSrv/MSCEP_ADMIN

https://SCEP サーバー名/CertSrv/MSCEP

10.5.2 SCEP の設定

1. サイドバーのメニューの「設定」で、「セットアップ」、「システムセットアップ」の 順に展開し、「SCEP」タブを開きます。

2. 次のように設定します。

a) 「SCEP サーバーの URL」フィールドに、次のように入力します。https://SCEP サー バー名/CertSrv/MSCEP

b) 「チャレンジ URL」フィールドに、次のように入力します。https://SCEP サーバー 名/CertSrv/MSCEP_ADMIN

注: Windows 2003 Server を SCEP サーバーとして使用している場合は、次のよう に入力します。https://SCEP サーバー名/CertSrv/MSCEP

c) 「ユーザー」および「パスワード」フィールドに、チャレンジコードを作成できる ユーザーのログイン情報を入力します。

注: 「ユーザー」フィールドに、証明書の登録権限を持つユーザーを入力します。

「ユーザー名@ドメイン」というログイン形式で指定します。

d) 「チャレンジの文字数」フィールドで、デフォルトの文字数を指定します。

e) Sophos Mobile Control が SCEP サーバーに接続する際、HTTP プロキシをバイパス するように設定するには、「HTTP プロキシを使用」オプションを選択解除すること もできます。

オンプレミス版の場合、スーパー管理者は、送信時の HTTP および SSL 接続に Sophos Mobile Control で使用される HTTP プロキシを設定することができます。詳細は

「Sophos Mobile Control スーパー管理者ガイド」(英語) を参照してください。

3. 「保存」をクリックします。

Sophos Mobile Control は、SCEP サーバーへの接続をテストします。

SCEP を使用してプロファイルをインストールするには、SCEP デバイスのプロファイルを 作成する必要があります。

10.5.2.1 iOS SCEP デバイス用のプロファイルの作成

1. iOS プロファイルとポリシーの作成 (p. 86) の説明に従って新しい iOS デバイスのプロ

ファイルを作成して、必要な情報を入力します。

2. 「設定の追加」をクリックします。

「設定可能なオプション」ページが表示されます。

3. 設定可能なオプションの一覧から「SCEP」を選択します。

「SCEP」ページが表示されます。

4. 「URL」フィールドで、デフォルトの値を指定します。デフォルトは

%_SCEPPROXYURL_% です。

5. 「CA 名」フィールド に、認証局 (CA) の名前を入力します。

6. 「サブジェクト」フィールドに、証明書の受信者の名前を入力します。名前または値の 前に「CN=」を付けます。たとえば「CN=%_DEVPROP(UDID)_%」など、使用可能な LDAP 変数を入力できます。

7. 証明書にサブジェクト代替名 (SAN) を関連付ける場合は、「サブジェクト代替名のタイ プ」フィールドで、サブジェクト代替名のタイプを選択してください。

8. サブジェクト代替名のタイプを選択したら、サブジェクト代替名を「値」フィールドに 入力してください。

9. 「チャレンジ 」フィールドは変更しないでください。

10.「鍵のサイズ」フィールドで指定されている値が、SCEP サーバーで設定した値と一致 するようにしてください。

11.随時、他のフィールドも設定し、「適用」をクリックします。

「プロファイルの編集」ページに戻ります。

12.「保存」をクリックします。

これで、Wi-Fi やVPN 用の他の設定を追加する際、認証方法として、この証明書や証明局 (CA) を指定できます。デバイスの証明書は、プロファイルのインストール後に作成されま す。

10.5.2.2 Android SCEP デバイス用のプロファイルの作成

SCEP 設定に CA 証明書を追加する場合は、現在のデバイスのプロファイルのルート証明書

の設定を作成し、証明書ファイルをアップロードする必要があります。

1. Android プロファイルとポリシーの作成 (p. 57) の説明に従って新しい Android デバイス のプロファイルを作成して、必要な情報を入力します。

2. 「設定の追加」をクリックします。

「設定可能なオプション」ページが表示されます。

3. 設定可能なオプションの一覧から「SCEP」を選択します。

「SCEP」ページが表示されます。

4. 「URL」フィールドで、デフォルトの値を指定します。デフォルトは

%_SCEPPROXYURL_% です。

5. 「エイリアス名」フィールドに、選択ダイアログに表示される証明書の名前を入力しま す。

これは、証明書を特定できる、覚えやすい名前にしてください。たとえば、「CN=」を 除いた、以下の「サブジェクト」フィールドと同じ名前を使用できます。

6. 「サブジェクト」フィールドに、証明書の受信者の名前を入力します。名前または値の 前に「CN=」を付けます。たとえば「CN=%_DEVPROP(シリアル番号)_%」など、使用 可能な LDAP 変数を入力できます。

7. 証明書にサブジェクト代替名 (SAN) を関連付ける場合は、「サブジェクト代替名のタイ プ」フィールドで、サブジェクト代替名のタイプを選択してください。

8. サブジェクト代替名のタイプを選択したら、サブジェクト代替名を「値」フィールドに 入力してください。

9. 「チャレンジ 」フィールドは変更しないでください。

10.現在のデバイスのプロファイルのルート証明書の設定で、CA 証明書をアップロードし た場合は、「ルート証明書」フィールドでそれを選択できます。

11.「鍵のサイズ」フィールドで指定されている値が、SCEP サーバーで設定した値と一致 するようにしてください。

12.随時、他のフィールドも設定し、「適用」をクリックします。

「プロファイルの編集」ページに戻ります。

13.「保存」をクリックします。

これで、Wi-Fi やVPN 用の他の設定を追加する際、認証方法として、この証明書や証明局 (CA) を指定できます。デバイスの証明書は、プロファイルのインストール後に作成されま す。

10.5.2.3 Windows Mobile SCEP デバイス用のポリシーの作成

SCEP 設定に CA 証明書を追加する場合は、現在のデバイスのポリシーのルート証明書の設 定を作成し、証明書ファイルをアップロードする必要があります。

1. Windows Mobile/Windows Desktop ポリシーの作成 (p. 123) の説明に従って新しいWindows

Mobile ポリシーを作成して、必要な情報を入力します。

2. 「設定の追加」をクリックします。

「設定可能なオプション」ページが表示されます。

3. 設定可能なオプションの一覧から「SCEP」を選択します。

「SCEP」ページが表示されます。

4. 「説明」フィールドにプロファイルの説明を入力します。

5. 「URL」フィールドで、デフォルトの値を指定します。デフォルトは

%_SCEPPROXYURL_% です。

6. 「サブジェクト」フィールドに、証明書の受信者の名前を入力します。名前または値の 前に「CN=」を付けます。たとえば「CN=%_DEVPROP(UDID)_%」など、使用可能な LDAP 変数を入力できます。

7. 証明書にサブジェクト代替名 (SAN) を関連付ける場合は、「サブジェクト代替名のタイ プ」の横にある「追加」をクリックし、サブジェクト代替名のタイプを選択して、値を 入力します。

さらにサブジェクト代替名のタイプを追加するには、この手順を繰り返します。

8. 「チャレンジ 」フィールドは変更しないでください。

9. 現在のデバイスのポリシーのルート証明書の設定で、CA 証明書をアップロードした場 合は、「ルート証明書」フィールドでそれを選択できます。

10.「鍵のサイズ」フィールドで指定されている値が、SCEP サーバーで設定した値と一致 するようにしてください。

11.「デジタル署名として使用」または「鍵の暗号化に使用」チェックボックスを使用して、

リクエストする証明書の目的を指定できます。

少なくとも 1つのオプションを選択する必要があります。

12.「ハッシュアルゴリズム」で、SCEP サーバーで対応しているハッシュアルゴリズムを 選択します (複数選択可)。

13.「適用」をクリックします。

14.「ポリシーの編集設定」ページで「保存」をクリックします。

これで、Wi-Fi など、他の設定を追加する際、認証方法として、この証明書や証明局 (CA) を指定できます。デバイスの証明書は、ポリシーの割り当て後に作成されます。

ドキュメント内 Sophos Mobile Control 管理者ヘルプ (ページ 42-45)
今ダウンロードする "Sophos Mobile Control ..."

Outline

関連したドキュメント