資格情報プロバイダー
資格情報プロバイダーは、XenMobile® システムのさまざまな部分で使用する実際の証明書構成です。資格情報プロバイダーは、証明書のソース、パラメーター、およびライフサイクルを定義します。これらの操作は、証明書がデバイス構成の一部であるか、スタンドアロンであるか (つまり、そのままデバイスにプッシュされるか) にかかわらず発生します。
デバイス登録は、証明書のライフサイクルを制約します。つまり、XenMobile は登録前に証明書を発行しませんが、登録の一部として一部の証明書を発行する場合があります。さらに、1つの登録のコンテキスト内で内部 PKI から発行された証明書は、その登録が取り消されると失効します。管理関係が終了すると、有効な証明書は残りません。
1つの資格情報プロバイダー構成を複数の場所で使用することで、1つの構成が同時に任意の数の証明書を管理できます。この統合は、展開リソースと展開にあります。たとえば、資格情報プロバイダー P が構成 C の一部としてデバイス D に展開される場合、P の発行設定によって D に展開される証明書が決定されます。同様に、C が更新されると D の更新設定が適用されます。また、C が削除されたり D が失効したりすると、D の失効設定も適用されます。
これらのルールに従って、XenMobile の資格情報プロバイダー構成は以下を決定します。
- 証明書のソース。
- 証明書を取得する方法: 新しい証明書に署名するか、既存の証明書とキーペアをフェッチ (回復) するか。
- 発行または回復のパラメーター。たとえば、キーサイズ、キーアルゴリズム、証明書拡張などの証明書署名要求 (CSR) パラメーター。
- 証明書がデバイスに配信される方法。
- 失効条件。管理関係が切断されると XenMobile 内のすべての証明書が失効しますが、構成によってはより早い失効を指定する場合があります。たとえば、関連するデバイス構成が削除されたときに証明書を失効させるように構成で指定できます。さらに、特定の条件下では、XenMobile 内の関連する証明書の失効がバックエンドの公開鍵インフラストラクチャ (PKI) に送信される場合があります。つまり、XenMobile での証明書の失効は、PKI での証明書の失効を引き起こす可能性があります。
- 更新設定。特定の資格情報プロバイダーを通じて取得された証明書は、有効期限が近づくと自動的に更新できます。または、その状況とは別に、有効期限が近づいたときに通知を発行できます。
構成オプションの利用可能性は、主に資格情報プロバイダーに選択する PKI エンティティのタイプと発行方法によって異なります。
証明書の発行方法
署名による発行方法として知られる証明書を取得できます。
この方法では、新しい秘密鍵の作成、CSR の作成、および署名のために CSR を認証局 (CA) に提出することが発行に含まれます。XenMobile は、MS 証明書サービスエンティティと裁量 CA エンティティの両方で署名方法をサポートしています。
資格情報プロバイダーは、署名による発行方法を使用します。
証明書の配信
XenMobile では、集中型と分散型の2つの証明書配信モードが利用可能です。分散モードは Simple Certificate Enrollment Protocol (SCEP) を使用し、クライアントがプロトコルをサポートしている状況 (iOS のみ) でのみ利用できます。分散モードは、一部の状況で必須です。
資格情報プロバイダーが分散型 (SCEP 支援) 配信をサポートするには、特別な構成手順が必要です。それは、登録機関 (RA) 証明書の設定です。RA 証明書は必須です。なぜなら、SCEP プロトコルを使用する場合、XenMobile は実際の認証局に対する代理 (登録者) として機能するからです。XenMobile は、そのように機能する権限があることをクライアントに証明する必要があります。その権限は、前述の証明書を XenMobile にアップロードすることで確立されます。
2つの異なる証明書ロールが必要です (ただし、1つの証明書で両方の要件を満たすことができます)。RA 署名と RA 暗号化です。これらのロールの制約は次のとおりです。
- RA 署名証明書には、X.509 キー使用法デジタル署名が必要です。
- RA 暗号化証明書には、X.509 キー使用法キー暗号化が必要です。
資格情報プロバイダーの RA 証明書を構成するには、証明書を XenMobile にアップロードし、資格情報プロバイダーでそれらにリンクします。
資格情報プロバイダーは、証明書ロール用に構成された証明書がある場合にのみ、分散配信をサポートすると見なされます。各資格情報プロバイダーを、集中モードを優先するか、分散モードを優先するか、または分散モードを必須とするように構成できます。実際の結果はコンテキストによって異なります。コンテキストが分散モードをサポートしていないが、資格情報プロバイダーがこのモードを要求する場合、展開は失敗します。同様に、コンテキストが分散モードを要求しているが、資格情報プロバイダーが分散モードをサポートしていない場合、展開は失敗します。その他のすべての場合において、優先設定が尊重されます。
次の表は、XenMobile 全体での SCEP 分散を示しています。
| コンテキスト | SCEP サポート | SCEP 必須 |
|---|---|---|
| iOS プロファイルサービス | はい | はい |
| iOS モバイルデバイス管理登録 | はい | いいえ |
| iOS 構成プロファイル | はい | いいえ |
| SHTP 登録 | いいえ | いいえ |
| SHTP 構成 | いいえ | いいえ |
| Windows タブレット登録 | いいえ | いいえ |
| Windows タブレット構成 | いいえ。ただし、Windows 10 および Windows 11 でサポートされている Wi-Fi デバイスポリシーは除きます。 | いいえ |
証明書の失効
失効には3つのタイプがあります。
- 内部失効: 内部失効は、XenMobile によって維持される証明書ステータスに影響します。XenMobile は、提示された証明書を評価するとき、または証明書の OCSP ステータス情報を提供するときに、このステータスを考慮します。資格情報プロバイダー構成は、さまざまな条件下でこのステータスがどのように影響されるかを決定します。たとえば、資格情報プロバイダーは、証明書がデバイスから削除されたときに、証明書を失効済みとしてフラグ付けするように指定できます。
- 外部伝播失効: XenMobile 失効とも呼ばれるこのタイプの失効は、外部 PKI から取得された証明書に適用されます。資格情報プロバイダー構成によって定義された条件下で、XenMobile が証明書を内部的に失効させると、PKI 上で証明書が失効します。
- 外部誘発失効: PKI 失効とも呼ばれるこのタイプの失効も、外部 PKI から取得された証明書にのみ適用されます。XenMobile が特定の証明書ステータスを評価するたびに、XenMobile はそのステータスについて PKI にクエリを実行します。証明書が失効している場合、XenMobile は証明書を内部的に失効させます。このメカニズムは OCSP プロトコルを使用します。
これら3つのタイプは排他的ではなく、むしろ組み合わせて適用されます。外部失効または独立した発見は、内部失効を引き起こす可能性があります。内部失効は、外部失効に影響を与える可能性があります。
証明書の更新
証明書の更新は、既存の証明書の失効と別の証明書の発行の組み合わせです。
XenMobile は、発行が失敗した場合のサービスの中断を避けるため、以前の証明書を失効させる前に新しい証明書を取得しようとします。分散型 (SCEP サポート) 配信の場合、失効は証明書がデバイスに正常にインストールされた後にのみ発生します。それ以外の場合、失効は新しい証明書がデバイスに送信される前に発生します。その失効は、証明書のインストールの成功または失敗とは無関係です。
失効構成では、特定の期間 (日数) を指定する必要があります。デバイスが接続すると、サーバーは証明書の NotAfter 日付が現在の日付から指定された期間を引いた日付よりも後であるかどうかを確認します。証明書がその条件を満たしている場合、XenMobile は証明書の更新を試みます。
資格情報プロバイダーの作成
資格情報プロバイダーの構成は、主に資格情報プロバイダーに選択する発行エンティティと発行方法によって異なります。内部エンティティを使用する資格情報プロバイダーと外部エンティティを使用する資格情報プロバイダーを区別できます。
- XenMobile の内部にある裁量エンティティは、内部エンティティです。裁量エンティティの発行方法は常に署名です。署名とは、各発行操作で、XenMobile がエンティティ用に選択された CA 証明書を使用して新しいキーペアに署名することを意味します。キーペアがデバイスで生成されるかサーバーで生成されるかは、選択した配布方法によって異なります。
- 企業のインフラストラクチャの一部である外部エンティティには、Microsoft CA が含まれます。
-
XenMobile コンソールで、右上隅にある歯車アイコンをクリックし、[設定] > [資格情報プロバイダー] をクリックします。
-
[資格情報プロバイダー] ページで、[追加] をクリックします。
[資格情報プロバイダー: 一般情報] ページが表示されます。
-
[資格情報プロバイダー: 一般情報] ページで、次の操作を行います。
- 名前: 新しいプロバイダー構成の一意の名前を入力します。この名前は、後で XenMobile コンソールの他の部分で構成を識別するために使用されます。
- 説明: 資格情報プロバイダーを説明します。このフィールドはオプションですが、説明は資格情報プロバイダーに関する有用な詳細を提供できます。
- 発行エンティティ: 証明書発行エンティティをクリックします。
- 発行方法: 構成されたエンティティから証明書を取得するためにシステムが使用する方法として、[署名] または [フェッチ] をクリックします。クライアント証明書認証の場合は、[署名] を使用します。
-
[テンプレート] リストが利用可能な場合は、資格情報プロバイダーの PKI エンティティの下に追加したテンプレートを選択します。
これらのテンプレートは、[設定] > [PKI エンティティ] で Microsoft 証明書サービスエンティティが追加されたときに利用可能になります。
-
[次へ] をクリックします。
[資格情報プロバイダー: 証明書署名要求] ページが表示されます。
-
[資格情報プロバイダー: 証明書署名要求] ページで、証明書構成に従って以下を構成します。
-
キーアルゴリズム: 新しいキーペアのキーアルゴリズムを選択します。利用可能な値は、RSA、DSA、および ECDSA です。
-
キーサイズ: キーペアのサイズをビット単位で入力します。このフィールドは必須です。
許容される値はキータイプによって異なります。たとえば、DSA キーの最大サイズは 1024 ビットです。基盤となるハードウェアとソフトウェアに依存する偽陰性を避けるため、XenMobile はキーサイズを強制しません。本番環境でアクティブ化する前に、必ずテスト環境で資格情報プロバイダー構成をテストしてください。
-
署名アルゴリズム: 新しい証明書の値をクリックします。値はキーアルゴリズムによって異なります。
-
サブジェクト名: 必須。新しい証明書サブジェクトの識別名 (DN) を入力します。例:
CN=${user.username}, OU=${user.department}, O=${user.companyname},C=${user.c}\endquotationたとえば、クライアント証明書認証の場合は、次の設定を使用します。
- キーアルゴリズム: RSA
- キーサイズ: 2048
- 署名アルゴリズム: SHA256withRSA
-
サブジェクト名:
cn=$user.username
-
[サブジェクトの別名] テーブルにエントリを追加するには、[追加] をクリックします。別名のタイプを選択し、2列目に値を入力します。
クライアント証明書認証の場合は、次を指定します。
- タイプ: ユーザープリンシパル名
-
値:
$user.userprincipalnameサブジェクト名と同様に、値フィールドで XenMobile マクロを使用できます。
-
-
[次へ] をクリックします。
[資格情報プロバイダー: 配布] ページが表示されます。
-
[資格情報プロバイダー: 配布] ページで、次の操作を行います。
- [発行 CA 証明書] リストで、提示された CA 証明書をクリックします。資格情報プロバイダーは裁量 CA エンティティを使用するため、資格情報プロバイダーの CA 証明書は常にエンティティ自体に構成されている CA 証明書です。CA 証明書は、外部エンティティを使用する構成との一貫性のためにここに表示されます。
-
[配布モードの選択] で、キーを生成および配布する次のいずれかの方法をクリックします。
- 集中型を優先: サーバー側キー生成: Citrix はこの集中型オプションを推奨しています。これは XenMobile がサポートするすべてのプラットフォームをサポートし、Citrix Gateway 認証を使用する場合に必須です。秘密鍵はサーバーで生成および保存され、ユーザーデバイスに配布されます。
- 分散型を優先: デバイス側キー生成: 秘密鍵はユーザーデバイスで生成および保存されます。この分散モードは SCEP を使用し、keyUsage keyEncryption を持つ RA 暗号化証明書と KeyUsage digitalSignature を持つ RA 署名証明書を必要とします。同じ証明書を暗号化と署名の両方に使用できます。
- 分散型のみ: デバイス側キー生成: このオプションは、[分散型を優先: デバイス側キー生成] と同じように機能しますが、「優先」ではなく「のみ」であるため、デバイス側キー生成が失敗した場合や利用できない場合はオプションが利用できません。
[分散型を優先: デバイス側キー生成] または [分散型のみ: デバイス側キー生成] を選択した場合は、RA 署名証明書と RA 暗号化証明書をクリックします。同じ証明書を両方に使用できます。これらの証明書に新しいフィールドが表示されます。
-
[次へ] をクリックします。
[資格情報プロバイダー: XenMobile 失効] ページが表示されます。このページでは、XenMobile がこのプロバイダー構成を通じて発行された証明書を内部的に失効済みとしてフラグ付けする条件を構成します。
-
[資格情報プロバイダー: XenMobile 失効] ページで、次の操作を行います。
- [発行済み証明書の失効] で、証明書を失効させるタイミングを示すオプションのいずれかを選択します。
-
証明書が失効したときに XenMobile に通知を送信させるには、[通知の送信] の値を [オン] に設定し、通知テンプレートを選択します。
- XenMobile から証明書が失効したときに PKI 上で証明書を失効させるには、[PKI 上で証明書を失効] を [オン] に設定し、[エンティティリスト] でテンプレートをクリックします。エンティティリストには、失効機能を持つすべての利用可能なエンティティが表示されます。XenMobile から証明書が失効すると、エンティティリストから選択された PKI に失効呼び出しが送信されます。
-
[次へ] をクリックします。
**[資格情報プロバイダー: PKI 失効]** ページが表示されます。このページでは、証明書が失効した場合に PKI で実行するアクションを特定します。通知メッセージを作成するオプションもあります。
-
[資格情報プロバイダー: PKI 失効] ページで、PKI から証明書を失効させる場合は、次の操作を行います。
- [外部失効チェックを有効にする] の設定を [オン] に変更します。失効 PKI に関連する追加フィールドが表示されます。
-
[OCSP レスポンダー CA 証明書] リストで、証明書のサブジェクトの識別名 (DN) をクリックします。
DN フィールドの値には XenMobile マクロを使用できます。例:
CN=${user.username}, OU=${user.department}, O=${user.companyname}, C=${user.c}\endquotation -
[証明書が失効した場合] リストで、証明書が失効したときに PKI エンティティで実行する次のいずれかのアクションをクリックします。
- 何もしない。
- 証明書を更新する。
- デバイスを失効させてワイプする。
-
証明書が失効したときに XenMobile に通知を送信させるには、[通知の送信] の値を [オン] に設定します。
2つの通知オプションから選択できます。
- 通知テンプレートの選択: 事前に作成された通知メッセージを選択し、それをカスタマイズできます。これらのテンプレートは、通知テンプレートリストにあります。
- 通知詳細の入力: 独自の通知メッセージを作成します。受信者のメールアドレスとメッセージを提供するだけでなく、通知の送信頻度を設定できます。
-
[次へ] をクリックします。
[資格情報プロバイダー: 更新] ページが表示されます。このページでは、XenMobile で次の操作を行うように構成できます。
- 証明書を更新します。オプションで更新時に通知を送信したり、すでに期限切れの証明書を操作から除外したりできます。
- 有効期限が近づいている証明書に対して通知を発行します (更新前の通知)。
-
[資格情報プロバイダー: 更新] ページで、証明書の有効期限が切れたときに更新する場合は、次の操作を行います。
[証明書の有効期限が切れたときに更新] を [オン] に設定します。追加フィールドが表示されます。
- [証明書の有効期限が近づいたときに更新] フィールドで、有効期限の何日前に証明書を更新するかを入力します。
- オプションで、[すでに期限切れの証明書は更新しない] を選択します。この場合、「すでに期限切れ」とは、
NotAfter日付が過去のものであり、失効したわけではないことを意味します。XenMobile は、内部的に失効した証明書を更新しません。
証明書が更新されたときに XenMobile に通知を送信させるには、[通知の送信] を [オン] に設定します。証明書の有効期限が近づいたときに XenMobile に通知を送信させるには、[証明書の有効期限が近づいたときに通知] を [オン] に設定します。 どちらの選択肢でも、2つの通知オプションから選択できます。
- 通知テンプレートの選択: 事前に作成された通知メッセージを選択し、それをカスタマイズできます。これらのテンプレートは、通知テンプレートリストにあります。
- 通知詳細の入力: 独自の通知メッセージを作成します。受信者のメールアドレス、メッセージ、および通知の送信頻度を提供します。
[証明書の有効期限が近づいたときに通知] フィールドで、証明書の有効期限の何日前に通知を送信するかを入力します。
-
[保存] をクリックします。
資格情報プロバイダーが資格情報プロバイダーテーブルに表示されます。