Mobilelron
®
Virtual Smartphone Platform
向け
DigiCert
®
統合ガイド
Mobilelron
®
Virtual Smartphone Platform 向け
DigiCert
®
統合ガイド
本書で説明するソフトウェアはライセンス契約のもとで提供され、ご使用の際には契約条項に従っていただく必要があります。 文書作成日 2015 年 11 月 18 日
法的通知
Copyright © 2018 DigiCert, Inc. All rights reserved.
DigiCert および DigiCert のロゴは DigiCert, Inc. の登録商標です。シマンテック(Symantec)、ノートン(Norton)、およびそれぞ れのロゴは、Symantec Corporation のライセンスに基づき使用される商標です。その他の名称もそれぞれの所有者による商標であ る可能性があります。 本書に記載する製品は、使用、コピー、頒布、逆コンパイルおよびリバースエンジニアリングを制限するライセンスに基づいて頒布さ れています。本書のいかなる部分も、その形式や手段にかかわらず、DigiCert, Inc. およびそのライセンサーからの書面による事前の 承諾を得ることなく無断で複製することはできません。 本書は現状有姿で提供されるものであり、明示的または黙示的であるかを問わず、商品性、特定目的に対する適合性、非侵害性に関 する黙示的な保証を含むすべての条件、表明、および保証は、この免責が法的に無効であると見なされない限り、免責されるものとし ます。DigiCert, Inc. は、本書の提供、遂行、使用に関連する付随的または結果的損害に対して一切の責任を負いません。本書の内 容は、事前に通知することなく変更される場合があります。 ライセンス対象ソフトウェアおよび付属文書は、商用コンピュータソフトウェア(FAR 12.212 に定義)と見なされ、Commercial Computer Software - Restricted Rights(FAR Section 52.227-19 に定義)および Rights in Commercial Computer Software or Commercial Computer Software Documentation(DFARS 227.7202 に定義)、その他の後継規制の規定により制限権利の 対象となります。米国政府によるライセンス対象ソフトウェアおよび付属文書の使用、修正、複製リリース、動作、表示、開示は、該当 する使用許諾契約の条項に従ってのみ行われるものとします。本書では、お客様のソフトウェアまたはサービス契約には存在しない機 能について説明している場合があります。本製品で使用できる機能の詳細については、担当者にお問い合わせください。 デジサート・ジャパン合同会社 〒 104-0061 東京都中央区銀座 6 丁目 10 番地 1 号 GINZA SIX 8階
目次
第 1 章
DigiCert PKI
証明書
と
MobileIron
®Virtual Smartphone Platform
を統合する
...4
パートナー情報 ...4
MobileIron VSP の仕組み ...4
統合のワークフロー...5
PKCS7 から PKCS12 への変換 ...6
第 2 章
MobileIron
®VSP
を設定する
...7
MobileIron
®VSP に DigiCert PKI Platform を設定するための
SCEP プロファイルを追加する ...7
ラベルにアプリケーション設定を適用する ...10
ラベルを追加する ...10
設定または構成にラベルを適用する ...10
デバイスにラベルを適用する ...10
デバイスを登録する ...10
VSP 管理ポータルで証明書が正しいことを確かめる ...11
DigiCert PKI Manager で証明書が正しいことを確かめる ...11
モバイルデバイスに接続する ...11
iOS デバイスを MobileIron に接続する ...11
第 1 章
DigiCert PKI 証明書 と MobileIron
®
Virtual
Smartphone Platform を統合する
MobileIron VSP の仕組み
次の図をもとに、MobileIron VSP が DigiCert PKI Platform との相互作用を通じてデバイス用証明書を取得する仕組みに ついて説明します。 企業の職場環境は、それぞれの組織の壁を越えてグローバルな モバイル環境へと移行しました。エンドユーザーの生産性を維 持するためには、モバイルプラットフォームから企業リソースへ のアクセスが必要です。一方で企業は、社内システムにアクセ スするエンドユーザーと、ユーザーが使用するモバイルデバイ ス(会社支給か個人所有かは問いません)を信頼できなければ なりません。
DigiCert PKI Platform の電子証明書は、ユーザー名とパスワー ドの入力やハードウェアトークンの追加導入を必要とせずに、 この信頼を実現できます。DigiCert PKI Platform はスケーラ ブルに、数台から数千台ものデバイスに対応します。また、クラ ウドソリューションなので、短期間で導入し、容易に管理するこ とができます。その上、先進のセキュリティがついているため、 内製の PKI ソリューションとは比較になりません。DigiCert PKI Platform が発行する証明書はユーザーの認証に使用でき、社 内リソース(VPN、Web サイトなど)との通信をセキュリティ保 護することができます。
本書は、MDM ベンダーとして MobileIron を選択されたお 客様を対象としています。MobileIron Virtual Smartphone Platform (VSP)に DigiCert PKI Platform を設定し、Simple Certificate Enrollment Protocol (SCEP)を使用してモバイル デバイスへのエンドエンティティ証明書を発行する方法につい て説明します。
パートナー情報
本書で説明する手順は、以下のプラットフォームでテストされて います。 パートナー名 MobileIron® 製品名 MobileIron® VSP MobileIron® VSP バージョン 5.7 以上 デバイス(証明書の申請および インストール対象) iOS 7、Android 4.2 表 1-1 パートナー情報DigiCert PKI 証明書 と MobileIron® Virtual Smartphone Platform を統合する DigiCert PKI Platform 8.9 アカウントを セットアップ MobileIron VSP で DigiCert PKI SCEP プロファイルを設定 証明書プロファイルを
作成
図 1-2 DigiCert PKI Platform の統合ワークフロー
1. モバイルデバイスは、デバイスにインストールされた MobileIron エージェントを使用して、MobileIron VSP へ の登録を開始します。 2. MobileIron VSP は、ユーザーとモバイルデバイスを認証 し、デバイス上の MobileIron エージェントと通信してデバ イス情報を収集します。
3. MobileIron VSP は、DigiCert PKI Platform に証明書の 申請を要求します。
4. DigiCert PKI Platform は、デバイスの申請を受け入れ、 MobileIron VSP に送信します。
5. MobileIron VSP は、モバイルデバイスに証明書を送信し ます。
統合のワークフロー
次の図をもとに、DigiCert PKI アカウントのセットアップと、 DigiCert PKI 証明書と MobileIron VSP の統合に必要な一般 手順について説明します。
作業 1: DigiCert PKI Platform 8.9 アカウントをセットアップ する デジサートの営業担当者に連絡して、DigiCert PKI アカウント をセットアップします。担当者から、お客様のアカウントおよび 証明書プロファイルの定義に必要な情報が提供されます。 以下の文書に必要な情報をすべて入力し、返送してください。 必要に応じて、デジサートの担当者がフォームの取得と入力を お手伝いします。 • 基本契約書 • CA ネーミングドキュメント • カスタマープロビジョニングフォーム(CPF) • 注文書、クレジットカード、またはリファレンス番号 最初の DigiCert PKI 管理者 ID を取得する必要があります。 これが、組織の DigiCert PKI アカウントにアクセスするため のクレデンシャルとなります。DigiCert PKI 管理者 ID の取得 は、デジサートの担当者がお手伝いします。お客様が DigiCert PKI 管理者 ID を使用して DigiCert PKI Manager にログイ ンし、DigiCert PKI アカウントを設定し、RA 証明書を取得し ます。DigiCert PKI の設定について、詳しくは DigiCert PKI Manager およびオンラインヘルプを参照してください。 作業 2: 証明書プロファイルを作成する
DigiCert PKI Platform は、証明書プロファイルを使用して発 行された証明書を定義します。MDM プロファイルによって発 行された証明書により、モバイルデバイス管理(MDM)ベン ダーは、暗号化されたプロファイルをユーザーのモバイルデバ イスに送信する前に、モバイルデバイスに対してデバイス証明 書を発行できます。
DigiCert PKI Platform の MDM 証明書プロファイルを作成 するには、次の手順に従ってください。
1. 管理者証明書を使用して、DigiCert PKI Platform の DigiCert PKI Manager にログオンします。PKI Client の PIN を入力するように要求されます。
2. DigiCert PKI Manager の一番下のナビゲーションバー
で、[証明書プロファイルの管理]をクリックするか、[タスク]
DigiCert PKI 証明書 と MobileIron® Virtual Smartphone Platform を統合する 図 1-4 MDM(Web サービスクライアント)証明書オプション 図 1-3 証明書プロファイルの管理 3. 表示される[証明書プロファイルの管理]ページの一番上 で、[証明書プロファイルの追加]をクリックします。 [プロファイルを作成]ページが表示されます。 4. これらの証明書をテストモードまたは本番モードのどちら で作成するかを選択し、[続行]をクリックします。[プロファ イルを作成]ページが表示されます。 5. 証明書テンプレートとして[MDM(Web サービスクライ アント)]を選択し、[続行]をクリックします。[証明書オプ ションのカスタマイズ]ページが表示されます。 6. [証明書オプションのカスタマイズ]で、証明書フレンドリ名 の欄に証明書プロファイル名を入力します。 7. [一次証明書オプション]が適切に選択されています。 [詳細オプション]をクリックして証明書オプションを表示 し、必要に応じて追加属性を定義します。 8. [保存]をクリックします。 確認ページで、シート ID に使用される属性を確認できます。 これは、サードパーティ設定または申請プロセスでユーザー認 証に使用される必須属性で、通常はユーザーの電子メールアド レスです。 さらにプロファイルをカスタマイズして、カスタムスクリプトを 追加したり、ページ上の言語または電子メール通知をカスタマ イズしたりできます。
PKCS7 から PKCS12 への変換
以下に、証明書署名リクエスト(CSR)を生成する手順を示します。 openssl req -out myCert.csr -new -newkey rsa:2048 -nodes -keyout myCert.keyPKCS7 証明書を PKCS12 に変換するには、以下の手順を実行 します。
openssl pkcs7 -print_certs -in RA.p7b -out myCert.pem
openssl pkcs7 -in RA.p7b -out myCert.p7b.der -inform PEM -outform DER
openssl pkcs12 -export -out myCert.p12 -inkey myCert.key -in myCert.pem -passout pass:password
MobileIron
®
VSP を設定する
この章では、MobileIron VSP に DigiCert PKI Platform を設定する
方法について説明します。
MobileIron
®VSP
に DigiCert PKI
Platform を設定するための SCEP プロ
ファイルを追加する
MobileIron VSP の管理ポータル内で SCEP プロファイルを追 加して、MobileIron VSP に DigiCert PKI サービスを設定する 必要があります。
1. MobileIron VSP の管理ポータルで、ログインクレデン シャルを入力して[Sign In(サインイン)]をクリックします。
2. ユーザーを新規に作成するには、以下の手順を実行します。
a. [USERS & DEVICES(ユーザーおよびデバイス)]を 選択し、[USERS(ユーザー)]をクリックします。[Users Details(ユーザーの詳細)]ページが表示されます。 b. [Add Local User(ローカルユーザーの追加)]を
クリックします。 図 2-1 ユーザーの追加 d. [保存]をクリックします。 e. ユーザーのデバイスが登録され、登録情報の詳細は、 提供された電子メールアドレスに送信されます。 図 2-2 デバイス登録手順 c. 追加するユーザーを識別するために、ユーザー ID、姓、 名、パスワード、電子メールアドレスを入力します。
第 2 章
MobileIron® VSP の設定
3. 構成を新規に追加するには、以下の手順を実行します。
a. [POLICIES & CONFIGS(ポリシーおよび構成)]を選択し、[Configurations(構成)]をクリックします。 [Configurations(構成)]ページが表示されます。
b. サブメニューで[Add New(新規追加)]をクリックし、[SCEP]を選択します。[New SCEP settings(新規 SCEP 設定)]ページが表示されます。
c. 表 2-1 に記載したフィールドの値を入力して、SCEP プロファイルを追加します。
図 2-3 新規 SCEP 設定ページ
表 2-1 SCEP 設定の管理
フィールド 値
Name (名前) 名前を入力します(DigiCert PKI Platform など)。
Description(説明) 説明を入力します。
Enable Proxy (プロキシの有効化)
[Enable Proxy](プロキシの有効化)を選択し、次に組織のビジネス要件に適したオプションを
選択します。
• [Cache locally generated keys on the VSP(生成された鍵を VSP にキャッシングする)] - 各デバイスに送信された秘密鍵を VSP に保存するかどうかを指定します。デバイスのプロ ビジョニング後にキャッシュ要件が除外された場合、影響を受けるすべてのデバイスに対して
MobileIron® VSP の設定
フィールド 値
Server(サーバー) DigiCert Web Services PKI Platform のサーバーアドレスを入力します(デジサートから受信し たアドレス)。
デフォルトでは、pki-ws.symauth.com に設定されています。
注記: 入力するのは、デジサート CA サーバーのホスト名だけです。サーバー名の前に https:// を付けたり、サーバー名の後にパス情報を追加したりしないでください。
Certificate(証明書) [Upload Certificate(証明書の更新)]をクリックし、デジサートから受け取った RA 証明書を選 択します。これは通常 .p12 ファイルになります。PKCS7 から PKCS12 への変換について詳しく は、6 ページの「PKCS7 から PKCS12 への変換」を参照してください。
プロンプトが表示されたら、証明書のパスワードを入力します。 Mobile Profiles
(モバイルプロファイル)
この設定で使用するプロファイルとして、MDM (Web Services Client)プロファイルを選択します。 プロファイルのオブジェクト ID (OID)のみがリストに表示されます。OID は一連の数字で構成さ れているので、プロファイルを選択する前に、DigiCert Web Services PKI Manager で正しい OID を確認することをお勧めします。
Required Fields (必須フィールド)
証明書の必須フィールドとオプションフィールドは、MDM (Web サービスクライアント)プロファ イルが DigiCert PKI Manager でどのように設定されているかに基づいて表示されます。 SCEP 設定の SeatID 値が、DigiCert PKI Manager で作成した SeatID の値に対応している 必要があります。 Optional Fields (オプションフィールド) オプションフィールドはデジサートが必要とするフィールドではありませんが、該当する場合は使 用されます。したがって、各オプションフィールドに適切な変数を指定する必要があります。たとえ ば、組織のタブレットに電話番号がない場合、電話番号はオプションフィールドになります。ただ し、DigiCert Web Services サーバーが PKI サーバーの証明書を要求するために、この情報を 使用する場合があります。
Issue Test Certificate (テスト証明書の発行)
テスト証明書を発行して SCEP 設定を検証する場合はこのオプションを選択します。
一部の認証局では、証明書ごとに課金が発生します。追加の課金を防止するには、初回のテスト 後にこのチェックボックスのチェックを外してください。
4. [保存]をクリックします。
新規 SCEP 設定が作成され、[App Settings(アプリケーション設定)]ページのリストに表示されます。識別できる名前で作成された SCEP プロファイル(DigiCert Web Services PKI Platform など)には、Exchange、Wi-Fi、または VPN プロファイルなど、証明書 の認証が必要なネットワーク設定でアクセスできます。
MobileIron® VSP の設定
ラベルにアプリケーション設定を
適用する
SCEP 設定を作成した後で、グループに関連付けられた電話に タグ付けするためのラベルを適用する必要があります。ラベルを追加する
アプリケーション設定にラベルを適用するには、以下の手順を 実行します。1. MobileIron VSP 管理ポータルで、[USERS & DEVICES
(ユーザーおよびデバイス)]を選択し、[Labels(ラベル)]. をクリックします。 2. [Add New(新規追加)]をクリックしてラベルを作成します。 3. ラベルの名前と説明を入力します。 4. [保存]をクリックします。
設定または構成にラベルを適用する
作成したラベルを設定または構成に適用するには、以下の手順 を実行します。1. MobileIron VSP 管理ポータルで、[POLICIES &
CONFIGS(ポリシーおよび構成)]を選択し、作成した ラベルを選択します。
2. [More Actions(その他の処理)]>[Apply to Label
(ラベルに適用)]をクリックします。 3. この構成に関連付けるラベルの名前を選択します (Android、iOS、Employee-Owned、Company-Owned など)。 4. [Apply(適用)]をクリックします。ラベルが構成に適用 されたことを示すメッセージが表示されます。 2. この構成に関連付けるデバイスを選択します。 3. [Actions(操作)]をクリックします。サブメニューから [Apply to Label(ラベルに適用)]をクリックします。 4. このデバイスに関連付けるラベルの名前を選択します。 5. [Apply(適用)]をクリックします。ラベルがデバイスに 適用されたことを示すメッセージが表示されます。
デバイスを登録する
MobileIron VSP 管理ポータルにデバイスを登録するには、 以下の手順を実行します。1. [USERS & DEVICES(ユーザーおよびデバイス)]を選択 し、[Devices(デバイス)]をクリックします。 2. [追加]をクリックします。サブメニューから[Single Device (単一デバイス)]または[Multiple Devices(複数デバイス)] を選択します。 a. 単一デバイスを申請するには、デバイス情報を入力し ます。 図 2-4 単一デバイスの追加
MobileIron® VSP の設定 図 2-5 複数デバイスの追加 図 2-6 MobileIron VSP 管理ポータルで証明書が正しいことを確かめる 図 2-7 クレデンシャル画面 3. [登録]をクリックします。モバイルまたは電子メールに登録 手順が送信されます。 4. テキストメッセージまたは電子メールに記載された指示に 従って、デバイス登録を完了します。 デバイス登録が正しく完了すると、デバイスに対して証明書が 発行されます。
VSP 管理ポータルで
証明書が正しいことを確かめる
MobileIron VSP 管理ポータルで証明書が正しいことを確かめ るには、以下の手順を実行します。1. [LOGS & EVENTS(ログおよびイベント)]を選択し、 [Certificate Logs(証明書ログ)]をクリックします。
登録されたデバイスがすべて表示されます。
2. 証明書情報を表示するデバイスを選択し、[View(表示)] をクリックします。
DigiCert PKI Manager で
証明書が正しいことを確かめる
DegiCert PKI Manager で証明書が正しいことを確かめるに は、以下の手順を実行します。
1. DegiCert PKI Manager で、[証明書の管理]をクリックす るか、一番下のナビゲーションバーの[Tasks(タスク)]メ ニューから[証明書の管理]を選択します。[証明書の管理] ページに、発行された証明書のステータスが表示されます。 2. 詳細を表示する証明書を選択します。
モバイルデバイスに接続する
iOS
デバイスを MobileIron に接続する
以下は、エンドユーザーがデバイスを MobileIron VSP に接続 して企業リソースへセキュアにアクセスできるシナリオです。1. App StoreSM から Mobile@Work アプリケーションを
ダウンロードします。 2. [MobileIron]をタップします。 3. ユーザー名を入力し、[Next(次へ)]をタップします。 4. 電子メールに記載されていたサーバーの情報を入力し、 [Next(次へ)]をタップします。 5. パスワードを入力し、[登録]をタップします。
MobileIron® VSP の設定 6. 確認ページが表示されます。 図 2-8 iOS の確認画面 図 2-9 Android の構成 図 2-10 パスワードの抽出
Android
デバイスを MobileIron に
接続する
1. Google PlayTM から Mobile@Work アプリケーションを
ダウンロードします。 2. [MobileIron]をタップします。 3. 電子メールに記載されていたサーバーの情報を入力し、 [Next(次へ)]をタップします。 4. ユーザー名を入力し、[Next(次へ)]をタップします。 5. パスワードを入力し、[登録]をタップします。 6. [CONFIGURE(構成)]をタップして証明書を設定します。 [Certificate Setup(証明書の設定)]ページが表示され ます。 7. [Next(次へ)].をクリックします。パスワードフィールドを 長押しし、[Paste(貼り付け)]をタップして証明書を抽出し ます。 8. [OK]をクリックします。
