～AirWatch連携～ MDM機能を使った証明書配布手順・設定例

~AirWatch 連 携 ~ MDM 機 能 を 使 った 証 明 書 配 布 手 順 設 定 例 Ver.1.0 2012 年 11 月 ~AirWatch 連 携 ~ 1 / 24

JCCH セキュリティ ソリューション システムズ JS3 およびそれらを 含 むロゴは 日 本 および 他 の 国 における 株 式 会 社 JCCH セキュリティ ソリューション システムズの 商 標 または 登 録 商 標 です Gléas は 株 式 会 社 JCCH セキュリティ ソリューション システムズの 商 標 です その 他 本 文 中 に 記 載 されている 製 品 名 および 社 名 は それぞれ 各 社 の 商 標 または 登 録 商 標 です Microsoft Corporation のガイドラインに 従 って 画 面 写 真 を 掲 載 しています Copyright by JCCH Security Solution Systems Co., Ltd., All Rights reserved ~AirWatch 連 携 ~ 2 / 24

目 次... 1 ~AirWatch 連 携 ~ MDM 機 能 を 使 った 証 明 書 配 布 手 順 設 定 例... 1 1. はじめに... 4 1.1. 本 書 について... 4 1.2. 本 書 における 環 境 等... 4 1.3. 本 書 内 で 使 用 する 用 語 割 愛 事 項 について... 4 1.4. 本 書 における 構 成... 5 2. Gléas の 設 定... 6 2.1. アカウントの 登 録 について... 6 2.2. SCEP サーバの 設 定... 6 2.3. 静 的 チャレンジの 設 定... 8 3. AirWatch の 設 定... 9 3.1. APNs の 設 定... 9 3.2. 認 証 局 の 設 定 ( 静 的 チャレンジを 利 用 する 場 合 )... 9 3.3. 証 明 書 テンプレートの 設 定... 11 3.4. プロファイルの 作 成... 12 3.5. ロケーションの 設 定... 14 3.6. ユーザーアカウントの 追 加... 15 4. 証 明 書 の 発 行 と 配 布 等 の 操 作 例... 18 4.1. デバイスへの 証 明 書 配 布 方 法... 18 4.1.1. 登 録 済 みのデバイス 単 体 への 構 成 プロファイルインストール 手 順 例... 18 4.1.2. 登 録 済 の 複 数 デバイスへの 一 括 インストール 手 順 例... 19 4.1.3. デバイス 登 録 時 の 証 明 書 自 動 配 布 手 順 例... 21 4.2. 証 明 書 の 利 用 を 無 効 化 する 方 法... 22 4.2.1. デバイス 単 体 からの 証 明 書 削 除 手 順 例... 22 4.2.2. 証 明 書 の 失 効 操 作 について... 22 5. 補 足 事 項 問 い 合 わせ... 23 ~AirWatch 連 携 ~ 3 / 24

1. はじめに 1.1. 本 書 について 本 書 では 弊 社 製 品 プライベート CA Gléas で 発 行 する 電 子 証 明 書 について AirWatch の MDM 機 能 を 利 用 してクライアントデバイス 単 体 または 一 括 で 複 数 台 に 配 布 する 方 法 の 手 順 や 設 定 例 につ いて 記 載 しています 本 書 に 記 載 の 内 容 は 弊 社 の 検 証 環 境 における 動 作 の 確 認 結 果 に 基 づいており あらゆる 環 境 での 動 作 を 保 証 するものではありません 弊 社 製 品 を 用 いたシステム 構 築 の 一 例 としてご 活 用 いただけます ようお 願 いいたします 弊 社 では 試 験 用 のクライアント 証 明 書 の 提 供 も 行 っております 検 証 等 で 必 要 な 場 合 は 最 終 項 のお 問 い 合 わせ 先 までお 気 軽 にご 連 絡 ください 1.2. 本 書 における 環 境 等 本 書 内 容 は 以 下 の 環 境 において 動 作 確 認 を 行 っています 認 証 局 JS3 プライベート CA Gléas (Ver.1.10) 以 降 Gléas と 記 述 します MDM ソリューション 株 式 会 社 データコントロール 提 供 の AirWatch SaaS トライアル (Ver..6.1.1.2) 以 降 AirWatch と 記 述 します AirWatch 利 用 環 境 PC:Windows7 Professional SP1 AirWatch 利 用 環 境 ブラウザ:Wndows Internet Explorer 9 Google Chrome(22.0.1229.79 m) クライアントデバイス ipad:ios 5.1.1 以 降 デバイスと 記 述 します クライアントデバイス iphone:ios 6.0 以 降 デバイスと 記 述 します 1.3. 本 書 内 で 使 用 する 用 語 割 愛 事 項 について 本 書 内 で 使 用 する 用 語 について 下 記 の 通 り 定 義 します RA 画 面 :プライベート CA Gléas の RA 管 理 者 操 作 画 面 UA 画 面 :プライベート CA Gléas のユーザー 申 込 局 の 画 面 管 理 者 :Gléas および AirWatch の 管 理 者 ユーザー: 証 明 書 発 行 対 象 となるクライアントデバイスを 利 用 するエンドユーザー []: 画 面 上 に 表 示 されるボタンやリンクを 指 す 押 下 :クリック 選 択 状 態 で Enter キー 押 下 タップ 等 の 操 作 を 指 す ~AirWatch 連 携 ~ 4 / 24

本 書 においては 以 下 についての 説 明 を 割 愛 します Gléas でのユーザー 登 録 やクライアント 証 明 書 発 行 等 の 基 本 操 作 各 機 器 におけるネットワーク 設 定 AirWatch の 利 用 申 請 方 法 及 び AirWatch 利 用 における 基 本 操 作 これらについては 各 製 品 のマニュアルをご 参 照 いただくか 各 製 品 を 取 り 扱 っている 販 売 店 にお 問 い 合 わせください 1.4. 本 書 における 構 成 本 書 記 載 事 項 は Gléas AirWatch クライアントデバイスによる 構 成 での 動 作 確 認 結 果 に 基 づい ています SCEP を 利 用 する 場 合 の 構 成 例 (SCEP イメージ) 1 構 成 プロファイルの 配 布 3SCEP による 証 明 書 の 発 行 <SCEP Payload> SCEP サーバの URL チャレンジ URL or チャレンジ フレーズ 2SCEP チャレンジ 4デバイス が 証 明 書 を 取 得 Gléas に 証 明 書 発 行 対 象 者 のユーザーアカウントを 先 に 登 録 しておきます AirWatch に ユーザーアカウントと 各 自 が 利 用 するデバイスの 情 報 を 登 録 します 管 理 者 は AirWatch の MDM 機 能 を 利 用 して SCEP Payload を 含 む 構 成 プロファイルを デ バイス 単 体 または 一 括 で 複 数 台 に 配 布 します デバイスは 受 け 取 った 構 成 プロファイル 内 の 情 報 を 用 い SCEP を 利 用 して Gléas からクライ アント 証 明 書 を 取 得 します ~AirWatch 連 携 ~ 5 / 24

2. Gléas の 設 定 2.1. アカウントの 登 録 について クライアント 証 明 書 の 配 布 先 (インストール 先 )となるデバイスを 利 用 するユーザーのアカウン トを Gléas の RA に 事 前 に 登 録 します Gléas に 登 録 するアカウントのアカウント 名 と AirWatch に 登 録 するユーザーのユーザー 名 が 同 一 となるように 登 録 します 登 録 したアカウントでの 証 明 書 発 行 時 に 利 用 するテンプレートで 鍵 長 を 2048bit に 設 定 し ます 通 常 デフォルトでそのように 設 定 されます 2.2. SCEP サーバの 設 定 Gléas の RA 画 面 にて SCEP サーバを 利 用 するための 設 定 を 行 います 設 定 は 証 明 書 のアップロードのみとなります アップロードする SCEP 用 の 証 明 書 に 制 限 はありません 本 書 では Gléas の 通 常 手 順 でクライ アント 証 明 書 を 発 行 及 びダウンロードして 用 意 しておき PKCS#12 形 式 でアップロードし て 利 用 する 事 とします ( 証 明 書 の 発 行 /ダウンロード 方 法 は Gléas のオンラインヘルプ 等 をご 参 照 ください) 1. RA 画 面 にログインする 2. [ 認 証 局 ] > [デフォルト 登 録 局 ]と 選 択 する ~AirWatch 連 携 ~ 6 / 24

3. SCEP の 設 定 において [ 参 照 ]を 押 下 して 用 意 しておいた SCEP 用 の 証 明 書 を 選 択 する 4. 選 択 した 証 明 書 のパスワードを 入 力 する 5. [ 保 存 ]を 押 下 し 証 明 書 をアップロードする 保 存 後 に 画 面 が 更 新 され SCEP サーバの URL が 表 示 されます この URL を 3.2. 認 証 局 の 設 定 時 に 入 力 します ~AirWatch 連 携 ~ 7 / 24

2.3. 静 的 チャレンジの 設 定 SCEP において 静 的 チャレンジを 利 用 する 場 合 の 設 定 となります SCEP サーバは 設 定 済 である 前 提 とします 1. RA 画 面 にログインする 2. [ 認 証 局 ] > [デフォルト 登 録 局 ]と 選 択 する 3. 静 的 チャレンジを 利 用 する にチェックを 入 れる 4. 静 的 チャレンジを 入 力 する ここで 入 力 した 値 を 3.2. 認 証 局 の 設 定 時 に 入 力 します 5. 接 続 を 許 可 するネットワークの IP アドレスを 入 力 する ネットワークアドレス/ネットマスク といったように 入 力 します 何 も 入 力 しなかった 場 合 は 全 てのアドレスからのアクセスを 許 可 する 設 定 となります 6. [ 保 存 ]を 押 下 する ~AirWatch 連 携 ~ 8 / 24

3. AirWatch の 設 定 本 項 では AirWatch コンソール 上 での 操 作 設 定 について 記 述 します AirWatch コンソールの 操 作 に 関 する 本 書 に 記 載 していない 事 項 や 詳 細 については 利 用 の 申 請 申 込 み 時 に 提 供 される AirWatch の 資 料 やオンラインヘルプ 等 をご 参 照 ください 3.1. APNs の 設 定 AirWatch コンソールにログインし [メニュー] > [システムの 設 定 ] > [デバイス] > [ios] > [MDM 用 の APNs]と 順 に 押 下 して 画 面 を 切 り 替 え アップロードボタンを 操 作 して APNs で 使 う 証 明 書 をアップロードします 証 明 書 の 発 行 方 法 及 びアップロード 方 法 詳 細 については AirWatch コンソール 上 のガイドや ヘルプ アップル 社 サイト(http://www.apple.com/jp/iphone/business/integration/mdm/) 及 び AirWatch 社 提 供 の 資 料 をご 参 照 ください 3.2. 認 証 局 の 設 定 ( 静 的 チャレンジを 利 用 する 場 合 ) 1. AirWatch コンソールにログインし [メニュー] > [システムの 設 定 ] > [デバイス] > [ 全 般 ] > [ 認 証 機 関 ]と 順 に 押 下 して 画 面 を 切 り 替 え [ 追 加 ]を 押 下 する ~AirWatch 連 携 ~ 9 / 24

2. 認 証 機 関 の 追 加 / 編 集 画 面 を 以 下 の 通 り 設 定 して [ 保 存 ]を 押 下 する 名 前 : 任 意 ( 入 力 は 必 須 ) サブロケーショングループがこの 認 証 機 関 を 使 用 するよう 許 可 : 任 意 権 限 の 種 類 :Generic Scep SCEP プロバイダー: 基 本 編 集 不 可 項 目 サーバーの URL: 前 出 2.2 で 確 認 した SCEP サーバの URL を 入 力 する チャレンジの 種 類 : 静 的 静 的 なチャレンジ: 前 出 2.3 で 設 定 した 静 的 チャレンジを 入 力 する タイムアウトを 再 試 行 :30 保 留 中 の 最 大 再 試 行 回 数 :5 ~AirWatch 連 携 ~ 10 / 24

3.3. 証 明 書 テンプレートの 設 定 1. 証 明 書 テンプレートの 追 加 / 編 集 画 面 を 以 下 の 通 り 設 定 して [ 保 存 ]を 押 下 する 識 別 名 :CN={EnrollmentUser},OU= 認 証 機 関 :3.2 で 設 定 した 認 証 局 を 選 択 する テンプレート 名 : 任 意 ( 入 力 は 必 須 ) 自 動 証 明 書 の 更 新 :( 空 白 ) 追 加 の 属 性 :( 空 白 ) 秘 密 キーの 長 さ:2048 Gléas で 設 定 した 鍵 長 と 同 じ 値 を 選 択 します 既 存 のキーを 使 用 :チェック 無 し 秘 密 キーを 発 行 :チェック 無 し ~AirWatch 連 携 ~ 11 / 24

3.4. プロファイルの 作 成 プロファイルの 資 格 情 報 で 3.3 で 設 定 した 認 証 機 関 を 指 定 します 1. AirWatch コンソールにログインし [メニュー] > [プロファイル]と 順 に 押 下 して 画 面 を 切 り 替 え [ 追 加 ]を 押 下 する 2. クライアント 証 明 書 を 配 付 するデバイスに 応 じてプラットフォームを 選 択 する ( 本 書 では ios を 選 択 します) ~AirWatch 連 携 ~ 12 / 24

3. 全 般 タブの 必 須 項 目 を 入 力 する 4. [ 資 格 情 報 ]を 押 下 して 表 示 を 切 り 替 え [Configur]を 押 下 する 5. 資 格 情 報 画 面 を 以 下 の 通 り 設 定 して [ 保 存 ]を 押 下 する 資 格 情 報 ソース:Defined Certificate Authority 認 証 機 関 : 前 出 3.3 で 選 択 した 認 証 局 を 選 択 証 明 書 テンプレート: 前 出 3.3 で 作 成 したテンプレートを 選 択 ~AirWatch 連 携 ~ 13 / 24

3.5. ロケーションの 設 定 ロケーションを 複 数 作 り ユーザーがどのロケーションに 属 するかを 分 ける 事 で ロケーション 単 位 で 一 括 で 構 成 プロファイルをインストールしたり ロケーションごとにインストールする 構 成 プロファイルの 内 容 を 変 えるなどの 応 用 ができます 1. AirWatch コンソールにログインし [メニュー] > [ロケーションとグループ]と 順 に 押 下 して 画 面 を 切 り 替 える 2. 画 面 左 側 のロケーショングループから 新 たに 作 成 するロケーションの 上 位 とするロケーショ ンを 選 択 して 画 面 を 切 り 替 え [サブロケーショングループの 追 加 ]を 押 下 する ~AirWatch 連 携 ~ 14 / 24

3. 画 面 に 従 いって 各 項 目 を 任 意 の 内 容 で 入 力 し [ 保 存 ]を 押 下 する ここで 設 定 したユーザーID とパスワードをデバイスの 登 録 時 に 入 力 します 3.6. ユーザーアカウントの 追 加 1. [メニュー] > [ユーザーアカウント]と 押 下 して 画 面 を 切 り 替 える ~AirWatch 連 携 ~ 15 / 24

2. 画 面 左 上 のプルダウンメニューからアカウントを 追 加 したいロケーションを 選 択 した 後 画 面 左 側 の[ユーザー]を 押 下 して 画 面 を 切 り 替 え [ユーザーを 追 加 ]を 押 下 する 3. ユーザー 名 を 2.1.で 登 録 したアカウント 名 と 同 一 の 値 で 入 力 し 他 の 必 須 項 目 を 任 意 の 値 で 入 力 する ~AirWatch 連 携 ~ 16 / 24

4. メッセージタイプ:メール にチェックを 入 れる 5. その 他 の 任 意 項 目 をすべて 入 力 して [ 保 存 ]を 押 下 する 登 録 したメールアドレス 宛 てに デバイス 登 録 用 URL が 記 載 されたメールが 送 信 されます ~AirWatch 連 携 ~ 17 / 24

4. 証 明 書 の 発 行 と 配 布 等 の 操 作 例 4.1. デバイスへの 証 明 書 配 布 方 法 管 理 者 は 手 動 または 自 動 ( ユーザーの 操 作 を 契 機 とする)で 登 録 済 のデバイス 単 体 に 対 して またはロケーショングループに 属 する 登 録 済 デバイスに 対 して 一 括 で 構 成 プロファイルのイン ストールを 行 う 事 ができます その 構 成 プロファイルに SCEP Payload を 含 める 事 で デバイスは SCEP を 利 用 して Gléas が 発 行 したクライアント 証 明 書 を 取 得 する 事 ができます 4.1.1. 登 録 済 みのデバイス 単 体 への 構 成 プロファイルインストール 手 順 例 1. [メニュー] > [デバイス]の 検 索 と 選 択 し 画 面 を 切 り 替 える 2. プロファイルをインストールしたいデバイスの 行 の[フレンドリ 名 ]を 押 下 する ~AirWatch 連 携 ~ 18 / 24

3. 画 面 左 側 の[プロファイル]を 押 下 する 4. インストールしたいプロファイルの 行 の 右 側 の[プロファイルをインストール]を 押 下 する 4.1.2. 登 録 済 の 複 数 デバイスへの 一 括 インストール 手 順 例 1. [メニュー] > [プロファイル]と 選 択 し 画 面 を 切 り 替 える ~AirWatch 連 携 ~ 19 / 24

2. インストールしたいプロファイルの 行 の 右 側 の 歯 車 のボタンを 押 下 する 3. 展 開 される 項 目 内 にある[ 公 開 ]を 押 下 する 4. 公 開 先 のデバイスの 一 覧 画 面 に 切 り 替 わるので [ 公 開 ]を 押 下 する 結 果 :そのプロファイルに 設 定 されている 割 り 当 てられたロケーショングループ に 属 している ユーザーに 紐 づけられた 該 当 するプラットフォームの 登 録 済 デバイス 全 てに 対 してプロフ ァイルのインストールが 実 行 されます ~AirWatch 連 携 ~ 20 / 24

4.1.3. デバイス 登 録 時 の 証 明 書 自 動 配 布 手 順 例 ユーザー 登 録 時 にメールで 通 知 された URL にアクセスしてデバイスの 新 規 登 録 を 行 う 際 に インストールさせたい 構 成 プロファイルを 先 に 公 開 の 状 態 にしておいた 場 合 デバイス 登 録 完 了 後 に 連 続 して 公 開 済 みの 構 成 プロファイルのインストールが 自 動 で 開 始 されます ( 結 果 ユーザーのデバイス 登 録 操 作 を 契 機 として 証 明 書 を 自 動 的 に 配 布 する 事 が 可 能 です ) 1. 4.1.2 と 同 じ 手 順 で SCEP Payload を 含 むプロファイルを 公 開 済 みの 状 態 にする 2. ユーザー 登 録 時 に 配 信 されたメールの URL にデバイスからアクセスする 3. AirWatch 上 で 登 録 したアカウントの 情 報 を 入 力 して[ 次 へ]を 押 下 し 画 面 の 案 内 に 従 って 登 録 を 進 める 4. 構 成 プロファイルのインストール 画 面 に 切 り 替 わったら [インストール]を 押 下 して 案 内 に 従 いインストールを 行 う(デバイス 登 録 チャレンジのインストールが 実 行 される) 5. 続 けて 公 開 済 みになっていた 構 成 プロファイルのインストールも 自 動 的 に 開 始 されるので 完 了 するまで 待 つ 手 順 4.でのインストールに 対 して 表 示 される[ 完 了 ]ボタンを 押 下 していた 場 合 でも 自 動 的 に 開 始 されます この 結 果 Gléas が 発 行 した 証 明 書 を 含 む 構 成 プロファイルがインストールされます ~AirWatch 連 携 ~ 21 / 24

4.2. 証 明 書 の 利 用 を 無 効 化 する 方 法 4.2.1. デバイス 単 体 からの 証 明 書 削 除 手 順 例 管 理 者 は AirWatch の 機 能 を 利 用 してリモートで 証 明 書 をデバイスから 削 除 する 事 ができます 1. [メニュー] > [デバイス]の 検 索 と 選 択 し 画 面 を 切 り 替 える 2. インストールされたプロファイルを 削 除 したいデバイス 名 を 押 下 する 3. 画 面 左 側 のプロファイルを 押 下 する 4. 削 除 したいプロファイルの 行 の 右 側 の[プロファイルを 削 除 ]( のアイコン)を 押 下 する 4.2.2. 証 明 書 の 失 効 操 作 について 証 明 書 の 失 効 や CRL の 配 布 など 証 明 書 に 関 するその 他 の 操 作 は Gléas の 機 能 を 利 用 して 操 作 一 括 管 理 する 事 ができます 操 作 方 法 については Gléas のオンラインマニュアルをご 参 照 ください ~AirWatch 連 携 ~ 22 / 24

5. 補 足 事 項 問 い 合 わせ 先 JVNVU#971035 に 関 するプライベートCA Gléas への 影 響 について 1. SCEP の 実 装 の 問 題 に 関 する 詳 細 JVNVU#971035(http://jvn.jp/cert/JVNVU971035/) US-CERT Vulnerability Note VU#971035(http://www.kb.cert.org/vuls/id/971035) ios での OTA(over-the-air) 証 明 書 発 行 に 利 用 されている SCEP プロトコルでは 証 明 書 発 行 に 対 する 認 証 としてチャレンジパスワードを 利 用 することができます しかし チャレンジパ スワードはオプションですので 製 品 の 実 装 によってはパスワードによる 認 証 をせずに 証 明 書 が 発 行 できたり 固 定 のパスワードを 利 用 してすべての 証 明 書 発 行 に 同 一 のパスワードを 利 用 するものがあります そのような 製 品 においては BYOD 環 境 下 などで 不 適 切 なユーザ デバイスに 対 して 証 明 書 を 発 行 してしまう 可 能 性 がある という 指 摘 となります 2. 対 象 製 品 以 下 の 製 品 で 利 用 しております SCEP プロトコルが 対 象 となります プライベートCA Gléas (グレアス) バージョン 1.8 以 降 3. 製 品 への 影 響 対 策 JVNVU#971035 では SCEP を 利 用 する 場 合 に 対 して 以 下 の 回 避 策 を 提 案 しています 同 一 のチャレンジパスワードを 使 いまわししない 証 明 書 発 行 依 頼 ができるユーザを 制 限 する 信 頼 できるユーザやデバイス 以 外 からの 証 明 書 発 行 依 頼 は 手 動 で 処 理 する プライベートCA Gléas では 上 記 のすべての 回 避 策 を 実 装 済 み もしくは 設 定 により 利 用 できるた め この 問 題 の 影 響 を 受 けません プライベートCA Gléas の SCEP の 実 装 における 動 的 チャレンジにおいては 利 用 者 が LDAP や AD などとの 間 でパスワード 認 証 をおこなった 後 で 短 い 期 間 (5 分 程 度 )のみ 有 効 なランダムなチャ レンジを 生 成 して 利 用 しています また ios の 端 末 情 報 が 得 られる 環 境 においては その 情 報 も チャレンジを 生 成 するうえでの 種 として 利 用 しています また プライベートCA Gléas はプライベート 認 証 局 の 製 品 ですので 多 くの 場 合 Gléas に 接 続 で きるユーザは 社 内 ネットワークに 接 続 可 能 なユーザに 限 定 されます ~AirWatch 連 携 ~ 23 / 24

ご 不 明 な 点 がございましたら 下 記 にお 問 い 合 わせください Gléasや 検 証 用 の 証 明 書 に 関 するお 問 い 合 わせ 株 式 会 社 JCCH セキュリティ ソリューション システムズ Tel: 03-5615-1020 E-Mail: support@jcch-sss.com AirWatch に 関 するお 問 い 合 わせ 株 式 会 社 データコントロール Tel: 03-3633-4833 E-Mail: aw-support@datacontrol.co.jp 以 上 ~AirWatch 連 携 ~ 24 / 24