証明書ライブラリアイテムを使用すると、証明書と証明書 ID をアップロードして Apple デバイスに展開できます。このライブラリアイテムは、有効な証明書信頼チェーンを必要とするサービスや、証明書ベースの認証をサポートするアプリケーションを構成する場合に使用できます。
証明書プロファイルの作成
左側のナビゲーションバーで [ライブラリ]に移動します。
右上隅から [新規追加] を選択します。
「証明書」ライブラリアイテムを選択し、「追加と設定」をクリックします。
ライブラリアイテムにわかりやすいタイトルを付けます。
証明書ライブラリアイテムを Blueprintに割り当てます。
証明書
デプロイする証明書の種類を選択します。
PKCS #1 形式の証明書ファイルのファイル拡張子は、.cer、.crt、または .der です。それらには、対応する秘密キーのない証明書が含まれています。
PKCS #12 形式の証明書ファイルのファイル拡張子は .p12 または .pfx です。証明書に対応する秘密鍵が含まれています。PKCS #12 の証明書ライブラリアイテムを構成するには、以下の「PKCS #12 形式の証明書」セクションを参照してください。
AD CS 証明書 は、Microsoft Active Directory 証明書サービス PKI 環境から生成されます。AD CSの証明書ライブラリアイテムを構成するには、以下の「AD CS 証明書」セクションを参照してください。
PKCS #12 形式の証明書
PKCS #12 形式の証明書タイプを選択した場合は、以下のステップを使用して、環境のニーズに応じて構成を完了します。
証明書名
証明書には、「システム環境設定」に表示される設定プロファイル上の名前を付けます。
証明書のパスワード
このオプションは、 PKCS #12 形式の証明書タイプを選択すると表示されます。証明書 ID の暗号化解除に使用するパスワードを入力します。
証明書証明書または証明書 ID
ファイルをアップロードする場合にクリックします。また、証明書ボックスにドラッグすることもできます。
アプリに秘密キーへのアクセスを許可する
このオプションは、 PKCS #12 形式の証明書 または AD CS 証明書 の種類を選択すると表示されます。これを選択すると、Mac 上のすべてのアプリが自動的に証明書 ID を使用できるようになります。これは、証明書ベースの認証をサポートするアプリやサービスで ID を使用する場合に便利です。このオプションの選択を解除すると、管理者権限を持つユーザが証明書IDの使用を許可するためにキーチェーンアプリケーションを使用する必要があります。
秘密鍵データがキーチェーンから抽出されないようにする
このオプションは、 PKCS #12 形式の証明書 または AD CS 証明書 の種類を選択すると表示されます。これにより、証明書 ID の秘密鍵が macOS キーチェーンから抽出されるのを防ぎ、ID がデプロイ先の Mac でのみ使用されるようにします。
「保存」をクリックします。
AD CS 証明書
AD CS 証明書の種類を選択した場合は、次の手順を使用して、環境のニーズに応じて構成を完了します。
Kandjiを使用して AD CS 証明書をデプロイするには、 まず AD CS統合をセットアップして構成する必要があります。
証明書名を入力します。これは、「システム環境設定」内の構成プロファイルに表示されます。
証明書の件名を入力します。証明書のサブジェクトは、通常、認証局内でデバイスを識別するために使用されます。これは、Kandjiグローバル変数 $SERIAL_NUMBER など、任意のものにすることができます。$SERIAL_NUMBER グローバル変数を使用すると、デバイスのシリアル番号がプロファイルに挿入されてからデバイスに送信されます。
必要に応じて、環境で必要な場合は、リクエストで送信する追加のサブジェクト代替名 (SAN) を指定できます 。
テンプレート名を入力します。これは、AD CS 証明書の生成に使用される AD CS コンピューター証明書テンプレートの名前です。
ドロップダウンメニューから AD CSサーバー を選択します。AD CS サーバーは、 AD CS 統合のセットアップ中に追加されます。
証明書の [キー サイズ] を選択します。
必要に応じて、[アプリが秘密鍵にアクセスすることを許可] を選択します。これは、証明書ベースの認証をサポートするアプリに役立ちます。
必要に応じて、[秘密鍵データがキーチェーンから抽出されるのを防ぐ]を選択します。
「保存」をクリックします。