802.1X 認証での ID 証明書の使用

ID証明書とは何ですか?

802.1X 認証では、ID 証明書がセキュリティを確保する上で重要な役割を果たします。これらは、EAP-TLS(Extensible Authentication Protocol-Transport Layer Security)方式で特に重要です。EAP-TLS は、デジタル証明書を使用して、クライアント(サプリカント)とサーバー(認証サーバー)の両方を認証します。この相互認証により、安全な接続を確立する前に、両当事者が互いの ID を信頼することが保証されます。

ID 証明書は、Wi-Fiライブラリアイテムイーサネットライブラリアイテムの両方で使用できます。

ID 証明書の設定

特定の種類の認証では、デバイスの ID を確認するために ID 証明書を指定する必要があるか、指定できます。これらの証明書は、さまざまなソースから取得できます。ネットワーク認証の場合は、ID 証明書の拡張キー使用法 (EKU) にクライアント認証の権限が含まれていることを確認してください。ネットワーク管理者と協力して、証明書サービスとテンプレートがネットワークに対して適切に構成されていることを確認してください。

AD CS を使用した ID の取得

ID 証明書は、Microsoft Active Directory 証明書サービス (AD CS) を使用して取得できます。

Kandjiを使用して AD CS 証明書をデプロイするには、最初に AD CS 統合を設定する必要があります。

  1. クライアント デバイスで AD CS から ID 証明書を取得する場合は、[ID 証明書] で [ AD CS 証明書 ] を選択します。

  2. [ AD CS 証明書の構成] をクリックします。ドロワーが開き、AD CS オプションを構成できます。 

  3. [証明書 名] を入力します。これは、「システム環境設定」に表示される構成プロファイルに表示されます。

  4. 証明書のサブジェクト名を入力します。証明書のサブジェクトは、通常、認証局内でデバイスを識別するために使用されます。これは、グローバル変数 $SERIAL_NUMBER など、任意のものにすることができます。デバイスのシリアル番号は、グローバル変数 $ SERIAL_NUMBER を使用してデバイスに送信される前にプロファイルに挿入されます。

  5. 必要に応じて、環境で必要な場合は、要求で送信する 追加のサブジェクト代替名 (SAN) を指定できます 。 

  6. テンプレート名を入力します。これは、AD CS 証明書の生成に使用される AD CS コンピューター証明書テンプレートの名前です。

  7. ドロップダウンメニューから AD CSサーバー を選択します。AD CS サーバーは、 AD CS 統合のセットアップ中に追加されます。

  8. 証明書の [キー サイズ ] を選択します。

  9. 証明書 ID の秘密キーへのアクセスと使用をすべてのアプリに自動的に許可する場合は、[ 秘密キーへのアクセスをアプリに許可 する] を選択します。

  10. [ 秘密鍵データがキーチェーン から抽出されないようにする] を選択して、証明書とキーがデバイス上のキーチェーンからエクスポートされないようにします。

  11. 「完了」をクリックします。 

SCEP を使用した ID の取得

Simple Certificate Enrollment Protocol(SCEP)を使用して、ID証明書を取得できます。 

  1. クライアント デバイスが SCEP サービスから ID 証明書を取得する場合は、ID 証明書として SCEP を選択します。

  2. [ SCEP 証明書の設定] をクリックします。ドロワーが開き、SCEP オプションを設定できます。  

  3. [URL] に SCEP サーバーの URL を入力します。

  4. 必要に応じて、SCEP サーバーによって要求される名前を指定してください。 (通常は SCEP サービスが証明書を要求している CA の名前)

  5. 必要に応じて、SCEP サーバーが期待するチャレンジ として事前共有キーを入力してください。

  6. 必要に応じて、証明書機関の証明書の期待されるフィンガープリント を入力してください。 

  7. 必要に応じて、証明書 ID の [サブジェクト(件名)] として表示する名前を指定します。静的な値またはグローバル変数 (CN=$EMAIL など) を使用できます。

  8. 証明書 ID に SAN を指定する場合は 、[Specify Subject Alternative Names (SAN)] を選択します。

    1. 提供したいSANごとに、「SANタイプの追加」をクリックします。

    2. 追加する SAN の種類 ( DNS 名RFC 822 名Uniform Resource Identifier、または NT プリンシパル名) を選択します。

    3. 各 SAN タイプに追加する関連値を入力します。静的な値を使用することも、グローバル変数を使用することもできます。

  9. [キーサイズ] を選択します。ネットワーク管理者と協力して、互換性のあるキーサイズを選択してください — キーが長いほどセキュリティが強化されます。

  10. [キーの使用法] で、キーを [署名]、[暗号化]、[署名と暗号化の両方]、または [なし] のいずれに使用できるようにするかを選択します。ネットワーク管理者と協力して、必要な権限を判断してください。

  11. 最初の試行が失敗した場合にデバイスで証明書の取得を自動的に再試行する場合は、[ 再試行] を選択し、再試行の回数を入力します (既定値は 3 です)。

  12. 再試行間に遅延を設ける場合は、[再試行遅延] を選択し、再試行間の秒数を指定します。デフォルトは、再試行間の遅延が 10 秒です。

  13. 証明書 ID の秘密キーを macOS キーチェーンからエクスポートできないようにするには、[キーの抽出を許可しない] を選択します。

  14. 証明書 ID の秘密キーへのアクセスと使用をすべてのアプリに自動的に許可する場合は、[ すべてのアプリへのアクセスを許可する ] を選択します。

  15. [証明書の有効期限通知] を選択し、証明書の有効期限が切れるまでの日数を指定して、ユーザーへの通知を開始します。デフォルトでは、有効期限の 14 日前にユーザーに通知されます。

  16. [ プロファイルの自動再配布 ] を選択すると、証明書の有効期限が切れる前に指定した日数で証明書が自動的に更新されます。デフォルトでは、有効期限の 30 日前に証明書が自動的に更新されます。

  17. 「完了」をクリックします。

PKCS #12 ファイルのインポート

PKCS #12 形式のファイルをアップロードすることで、設定されたすべてのデバイスに対して 1 つの ID 証明書を提供できます。つまり、すべてのデバイスが同じ証明書を使用するため、ネットワーク管理者がログインによって個々のデバイスを識別するのが難しくなります。ただし、証明書が侵害された場合、ネットワークへのアクセスに使用できることも意味します。この証明書を取り消すと、設定済みのすべてのデバイスがネットワークにアクセスできなくなります。

  1. PKCS #12 形式で証明書を提供する場合は、ID 証明書として PKCS #12 を選択します。

  2. 「 PKCS #12を構成」をクリックして、「PKCS #12を構成」ドロワーを開きます。  

  3. 証明書の PKCS #12 でエンコードされた証明書をアップロードします。

  4. 「パスワード」フィールドに、PKCS #12 ファイルのパスワードを入力します。

  5. アプリが証明書の秘密キーにアクセスできるようにする場合は、[ アプリに秘密キーへのアクセスを許可する] を選択します。

  6. ユーザーがキーチェーンを使用してプライベートキーをエクスポートできないようにする場合は、[プライベート データがキーチェーンに抽出されないようにする] を選択します。

  7. 「完了」をクリックします。