～AirWatch連携～ MDM機能を使った証明書配布手順・設定例

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 1 / 24

プライベート CA Gléas ホワイトペーパー

～AirWatch 連携～

MDM 機能を使った証明書配布手順・設定例

Ver.1.0 2012 年 11 月

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 2 / 24 JCCH・セキュリティ・ソリューション・システムズ、JS3 およびそれらを含むロゴは日本および他の 国における株式会社JCCH・セキュリティ・ソリューション・システムズの商標または登録商標です。 Gléas は株式会社 JCCH・セキュリティ・ソリューション・システムズの商標です。 その他本文中に記載されている製品名および社名は、それぞれ各社の商標または登録商標です。 Microsoft Corporation のガイドラインに従って画面写真を掲載しています。

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 3 / 24

目次

プライベートCA Gléas ホワイトペーパー ... 1 ～AirWatch 連携～ MDM 機能を使った証明書配布手順・設定例 ... 1 1. はじめに ... 4 1.1. 本書について ... 4 1.2. 本書における環境等 ... 4 1.3. 本書内で使用する用語、割愛事項について ... 4 1.4. 本書における構成 ... 5 2. Gléas の設定 ... 6 2.1. アカウントの登録について ... 6 2.2. SCEP サーバの設定 ... 6 2.3. 静的チャレンジの設定 ... 8 3. AirWatch の設定 ... 9 3.1. APNs の設定 ... 9 3.2. 認証局の設定（静的チャレンジを利用する場合） ... 9 3.3. 証明書テンプレートの設定 ... 11 3.4. プロファイルの作成 ... 12 3.5. ロケーションの設定 ... 14 3.6. ユーザーアカウントの追加 ... 15 4. 証明書の発行と配布等の操作例 ... 18 4.1. デバイスへの証明書配布方法 ... 18 4.1.1. 登録済みのデバイス単体への構成プロファイルインストール手順例 ... 18 4.1.2. 登録済の複数デバイスへの一括インストール手順例 ... 19 4.1.3. デバイス登録時の証明書自動配布手順例 ... 21 4.2. 証明書の利用を無効化する方法 ... 22 4.2.1. デバイス単体からの証明書削除手順例 ... 22 4.2.2. 証明書の失効操作について ... 22 5. 補足事項、問い合わせ ... 23

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 4 / 24

1. はじめに

1.1. 本書について 本書では、弊社製品「プライベートCA Gléas」で発行する電子証明書について、AirWatch の MDM 機能を利用してクライアントデバイス単体、または一括で複数台に配布する方法の手順や設定例につ いて記載しています。 本書に記載の内容は、弊社の検証環境における動作の確認結果に基づいており、あらゆる環境での動 作を保証するものではありません。弊社製品を用いたシステム構築の一例としてご活用いただけます ようお願いいたします。 弊社では試験用のクライアント証明書の提供も行っております。検証等で必要な場合は、最終項のお 問い合わせ先までお気軽にご連絡ください。 1.2. 本書における環境等 本書内容は、以下の環境において動作確認を行っています。

 【認証局】JS3 プライベート CA Gléas （Ver.1.10） ※以降、Gléas と記述します

 【MDM ソリューション】株式会社データコントロール提供の AirWatch SaaS トライアル （Ver..6.1.1.2） ※以降、AirWatch と記述します

 【AirWatch 利用環境】PC：Windows7 Professional SP1

 【AirWatch 利用環境】ブラウザ：Wndows Internet Explorer 9、Google Chrome(22.0.1229.79 m)  【クライアントデバイス】iPad：iOS 5.1.1 ※以降、デバイスと記述します  【クライアントデバイス】iPhone：iOS 6.0 ※以降、デバイスと記述します 1.3. 本書内で使用する用語、割愛事項について 本書内で使用する用語について、下記の通り定義します。  RA 画面：プライベート CA Gléas の RA 管理者操作画面  UA 画面：プライベート CA Gléas のユーザー申込局の画面  管理者：Gléas および AirWatch の管理者  ユーザー：証明書発行対象となるクライアントデバイスを利用するエンドユーザー  []：画面上に表示されるボタンやリンクを指す  押下：クリック、選択状態で Enter キー押下、タップ等の操作を指す

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 5 / 24 本書においては、以下についての説明を割愛します。  Gléas でのユーザー登録やクライアント証明書発行等の基本操作  各機器におけるネットワーク設定  AirWatch の利用申請方法、及び AirWatch 利用における基本操作 ※これらについては、各製品のマニュアルをご参照いただくか、各製品を取り扱っている販売店にお 問い合わせください。 1.4. 本書における構成 ※本書記載事項は、Gléas、AirWatch、クライアントデバイスによる構成での動作確認結果に基づい ています。 ■ SCEP を利用する場合の構成例  Gléas に、証明書発行対象者のユーザーアカウントを先に登録しておきます。  AirWatch に、ユーザーアカウントと各自が利用するデバイスの情報を登録します。

 管理者は、AirWatch の MDM 機能を利用して、SCEP Payload を含む構成プロファイルを、デ バイス単体または一括で複数台に配布します。  デバイスは、受け取った構成プロファイル内の情報を用い、SCEP を利用して Gléas からクライ アント証明書を取得します。 ③SCEP に よる 証明書の発行 ②SCEP チャレンジ （SCEP イメージ） ④デバイス が証明書を取得 ① 構成プロファイルの配布 ＜SCEP Payload＞ ・SCEP サーバの URL ・チャレンジ URL or チャレンジ フレーズ

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 6 / 24

2. Gléas の設定

2.1. アカウントの登録について  クライアント証明書の配布先(インストール先)となるデバイスを利用するユーザーのアカウン トをGléas の RA に事前に登録します。 ※Gléas に登録するアカウントのアカウント名と、AirWatch に登録するユーザーのユーザー名 が同一となるように登録します。  登録したアカウントでの証明書発行時に利用するテンプレートで、「鍵長」を 2048bit に設定し ます。※通常、デフォルトでそのように設定されます 2.2. SCEP サーバの設定  Gléas の RA 画面にて、SCEP サーバを利用するための設定を行います。 ※設定は、証明書のアップロードのみとなります。  アップロードする SCEP 用の証明書に制限はありません。本書では Gléas の通常手順でクライ アント証明書を発行、及びダウンロードして用意しておき、PKCS#12 形式でアップロードし て利用する事とします。（証明書の発行/ダウンロード方法は Gléas のオンラインヘルプ等をご参 照ください） 1. RA 画面にログインする 2. [認証局] ＞ [デフォルト登録局]と選択する

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 7 / 24 3. 「SCEP の設定」において、[参照]を押下して用意しておいた SCEP 用の証明書を選択する 4. 選択した証明書のパスワードを入力する 5. [保存]を押下し、証明書をアップロードする ※保存後に画面が更新され、SCEP サーバの URL が表示されます。 このURL を 3.2.認証局の設定時に入力します。

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 8 / 24 2.3. 静的チャレンジの設定  SCEP において静的チャレンジを利用する場合の設定となります。  SCEP サーバは設定済である前提とします。 1. RA 画面にログインする 2. [認証局] ＞ [デフォルト登録局]と選択する 3. 「静的チャレンジを利用する」にチェックを入れる 4. 静的チャレンジを入力する ※ここで入力した値を、3.2.認証局の設定時に入力します。 5. 接続を許可するネットワークの IP アドレスを入力する ※”ネットワークアドレス/ネットマスク”といったように入力します。 ※何も入力しなかった場合は、全てのアドレスからのアクセスを許可する設定となります。 6. [保存]を押下する

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 9 / 24

3. AirWatch の設定

※本項ではAirWatch コンソール上での操作・設定について記述します。 AirWatch コンソールの操作に関する本書に記載していない事項や詳細については、利用の申 請・申込み時に提供されるAirWatch の資料やオンラインヘルプ等をご参照ください。 3.1. APNs の設定  AirWatch コンソールにログインし、[メニュー] ＞ [システムの設定] ＞ [デバイス] ＞ [iOS] ＞ [MDM 用の APNs]と順に押下して画面を切り替え、アップロードボタンを操作して APNs で使う証明書をアップロードします。  証明書の発行方法及びアップロード方法詳細については、AirWatch コンソール上のガイドや ヘルプ、アップル社サイト（http://www.apple.com/jp/iphone/business/integration/mdm/）、 及びAirWatch 社提供の資料をご参照ください。 3.2. 認証局の設定（静的チャレンジを利用する場合） 1. AirWatch コンソールにログインし、[メニュー] ＞ [システムの設定] ＞ [デバイス] ＞ [全般] ＞ [認証機関]と順に押下して画面を切り替え、[追加]を押下する

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 10 / 24 2. 認証機関の追加/編集画面を以下の通り設定して、[保存]を押下する  名前：任意（入力は必須）  サブロケーショングループがこの認証機関を使用するよう許可：任意  権限の種類：Generic Scep  SCEP プロバイダー：基本 ※編集不可項目

 サーバーの URL：前出 2.2 で確認した SCEP サーバの URL を入力する  チャレンジの種類：静的

 静的なチャレンジ：前出 2.3 で設定した静的チャレンジを入力する  タイムアウトを再試行：30

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 11 / 24 3.3. 証明書テンプレートの設定 1. 証明書テンプレートの追加/編集画面を以下の通り設定して、[保存]を押下する  識別名：CN={EnrollmentUser},OU=  認証機関：3.2 で設定した認証局を選択する  テンプレート名：任意(入力は必須)  自動証明書の更新：（空白）  追加の属性：（空白）  秘密キーの長さ：2048 ※Gléas で設定した「鍵長」と同じ値を選択します  既存のキーを使用：チェック無し  秘密キーを発行：チェック無し

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 12 / 24 3.4. プロファイルの作成  プロファイルの資格情報で、3.3 で設定した認証機関を指定します。 1. AirWatch コンソールにログインし、[メニュー] ＞ [プロファイル]と順に押下して画面を切り 替え、[追加]を押下する 2. クライアント証明書を配付するデバイスに応じてプラットフォームを選択する （本書では、iOS を選択します）

プライベートCA Gléas ホワイトペーパー

～AirWatch 連携～ 13 / 24 3. 全般タブの必須項目を入力する

4. [資格情報]を押下して表示を切り替え、[Configur]を押下する

5. 資格情報画面を以下の通り設定して、[保存]を押下する  資格情報ソース：Defined Certificate Authority  認証機関：前出 3.3 で選択した認証局を選択

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 14 / 24 3.5. ロケーションの設定  ロケーションを複数作り、ユーザーがどのロケーションに属するかを分ける事で、ロケーション 単位で一括で構成プロファイルをインストールしたり、ロケーションごとにインストールする構 成プロファイルの内容を変えるなどの応用ができます。 1. AirWatch コンソールにログインし、[メニュー] ＞ [ロケーションとグループ]と順に押下して 画面を切り替える 2. 画面左側のロケーショングループから、新たに作成するロケーションの上位とするロケーショ ンを選択して画面を切り替え、[サブロケーショングループの追加]を押下する

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 15 / 24 3. 画面に従いって各項目を任意の内容で入力し、[保存]を押下する ※ここで設定したユーザーID とパスワードをデバイスの登録時に入力します 3.6. ユーザーアカウントの追加 1. [メニュー] ＞ [ユーザーアカウント]と押下して画面を切り替える

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 16 / 24 2. 画面左上のプルダウンメニューからアカウントを追加したいロケーションを選択した後、画面 左側の[ユーザー]を押下して画面を切り替え、[ユーザーを追加]を押下する 3. 「ユーザー名」を、2.1.で登録したアカウント名と同一の値で入力し、他の必須項目を任意の 値で入力する

プライベートCA Gléas ホワイトペーパー

～AirWatch 連携～ 17 / 24 4. 「メッセージタイプ：メール」にチェックを入れる

5. その他の任意項目をすべて入力して、[保存]を押下する

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 18 / 24

4. 証明書の発行と配布等の操作例

4.1. デバイスへの証明書配布方法  管理者は手動または自動(※ユーザーの操作を契機とする)で、登録済のデバイス単体に対して、 またはロケーショングループに属する登録済デバイスに対して一括で、構成プロファイルのイン ストールを行う事ができます。

その構成プロファイルにSCEP Payload を含める事で、デバイスは SCEP を利用して Gléas が 発行したクライアント証明書を取得する事ができます。

4.1.1. 登録済みのデバイス単体への構成プロファイルインストール手順例

1. [メニュー] ＞ [デバイス]の検索と選択し、画面を切り替える

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 19 / 24 3. 画面左側の[プロファイル]を押下する 4. インストールしたいプロファイルの行の右側の[プロファイルをインストール]を押下する 4.1.2. 登録済の複数デバイスへの一括インストール手順例 1. [メニュー] ＞ [プロファイル]と選択し、画面を切り替える

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 20 / 24 2. インストールしたいプロファイルの行の右側の歯車のボタンを押下する 3. 展開される項目内にある[公開]を押下する 4. 公開先のデバイスの一覧画面に切り替わるので、 [公開]を押下する 結果：そのプロファイルに設定されている「割り当てられたロケーショングループ」に属している ユーザーに紐づけられた、該当するプラットフォームの登録済デバイス全てに対してプロフ ァイルのインストールが実行されます。

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 21 / 24 4.1.3. デバイス登録時の証明書自動配布手順例  ユーザー登録時にメールで通知された URL にアクセスしてデバイスの新規登録を行う際に、 インストールさせたい構成プロファイルを先に「公開」の状態にしておいた場合、デバイス登 録完了後に、連続して公開済みの構成プロファイルのインストールが自動で開始されます。 （結果、ユーザーのデバイス登録操作を契機として、証明書を自動的に配布する事が可能です。） 1. 4.1.2 と同じ手順で、SCEP Payload を含むプロファイルを公開済みの状態にする 2. ユーザー登録時に配信されたメールの URL にデバイスからアクセスする 3. AirWatch 上で登録したアカウントの情報を入力して[次へ]を押下し、画面の案内に従って登 録を進める 4. 構成プロファイルのインストール画面に切り替わったら、[インストール]を押下して、案内 に従いインストールを行う（デバイス登録チャレンジのインストールが実行される） 5. 続けて、公開済みになっていた構成プロファイルのインストールも自動的に開始されるので、 完了するまで待つ ※手順4.でのインストールに対して表示される[完了]ボタンを押下していた場合でも、 自動的に開始されます。 ※この結果、Gléas が発行した証明書を含む構成プロファイルがインストールされます。

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 22 / 24 4.2. 証明書の利用を無効化する方法 4.2.1. デバイス単体からの証明書削除手順例  管理者は、AirWatch の機能を利用してリモートで証明書をデバイスから削除する事ができます。 1. [メニュー] ＞ [デバイス]の検索と選択し、画面を切り替える 2. インストールされたプロファイルを削除したいデバイス名を押下する 3. 画面左側のプロファイルを押下する 4. 削除したいプロファイルの行の右側の[プロファイルを削除]（×のアイコン）を押下する 4.2.2. 証明書の失効操作について  証明書の失効や CRL の配布など証明書に関するその他の操作は、Gléas の機能を利用して操作、 一括管理する事ができます。 ※操作方法については、Gléas のオンラインマニュアルをご参照ください。

プライベートCA Gléas ホワイトペーパー

～AirWatch 連携～ 23 / 24

5. 補足事項、問い合わせ先

 JVNVU#971035 に関するプライベートCA Gléas への影響について

1. SCEP の実装の問題に関する詳細

・JVNVU#971035（http://jvn.jp/cert/JVNVU971035/）

・US-CERT Vulnerability Note VU#971035（http://www.kb.cert.org/vuls/id/971035）

 iOS での OTA(over-the-air)証明書発行に利用されている SCEP プロトコルでは、証明書発行 に対する認証としてチャレンジパスワードを利用することができます。しかし、チャレンジパ スワードはオプションですので、製品の実装によってはパスワードによる認証をせずに証明書 が発行できたり、固定のパスワードを利用してすべての証明書発行に同一のパスワードを利用 するものがあります。 そのような製品においては、BYOD 環境下などで不適切なユーザ・デバイスに対して証明書を 発行してしまう可能性がある、という指摘となります。 2. 対象製品 以下の製品で利用しております SCEP プロトコルが対象となります。  プライベートCA 『Gléas （グレアス）』バージョン 1.8以降 3. 製品への影響・対策 JVNVU#971035 では SCEP を利用する場合に対して、以下の回避策を提案しています。  同一のチャレンジパスワードを使いまわししない  証明書発行依頼ができるユーザを制限する  信頼できるユーザやデバイス以外からの証明書発行依頼は手動で処理する ・プライベートCA Gléas では上記のすべての回避策を実装済み、もしくは設定により利用できるた め、この問題の影響を受けません。

・プライベートCA Gléas の SCEP の実装における動的チャレンジにおいては、利用者が LDAP や AD などとの間でパスワード認証をおこなった後で、短い期間(5分程度)のみ有効なランダムなチャ レンジを生成して利用しています。また、iOS の端末情報が得られる環境においては、その情報も チャレンジを生成するうえでの「種」として利用しています。

・また、プライベートCA Gléas はプライベート認証局の製品ですので、多くの場合 Gléas に接続で きるユーザは、社内ネットワークに接続可能なユーザに限定されます。

プライベートCA Gléas ホワイトペーパー ～AirWatch 連携～ 24 / 24

 ご不明な点がございましたら、下記にお問い合わせください。

■Gléasや検証用の証明書に関するお問い合わせ 株式会社JCCH・セキュリティ・ソリューション・システムズ Tel: 03-5615-1020 E-Mail: [email protected] ■AirWatch に関するお問い合わせ 株式会社データコントロール Tel: 03-3633-4833 E-Mail: [email protected] 以上