# 詳細 ## SCEP とは何ですか? 通常、証明書を(モバイル)デバイスに展開する必要がある場合、 [Simple Certificate Enrollment Protocol](https://www.rfc-editor.org/rfc/rfc8894.html) (SCEP)が第一の選択肢です。しかし、SCEP とは何でしょうか? SCEP は [インターネットドラフト](https://en.wikipedia.org/wiki/Internet_Draft) 標準プロトコルです。インターネットドラフトには技術仕様と技術情報が含まれます。インターネットドラフトはしばしば [Request for Comments](https://en.wikipedia.org/wiki/Request_for_Comments). SCEP はもともと Cisco によって開発されました。SCEP の中核的な使命は、ユーザーの操作を一切必要とせずにネットワークデバイスへ証明書を展開することです。SCEP を利用することで、ネットワークデバイスは自ら証明書を要求できます。 ## SCEPman とは何ですか? SCEP を「従来の方法」で使用する場合、いくつかのオンプレミス コンポーネントが必要です。Microsoft Intune および [その他のモバイル デバイス管理(MDM)](https://docs.scepman.com/ja/use-cases#mdm-solutions) ソリューション [は、サードパーティの認証局(CA](https://learn.microsoft.com/en-us/mem/intune/protect/certificate-authority-add-scep-overview))が SCEP を使用して証明書を発行および検証することを可能にします。 オンプレミス コンポーネントをなくすために、私たちは SCEPman を開発しました。 {% hint style="warning" %} SCEPman は、 **認証および通信の暗号化を目的とした**証明書を発行します。つまり、ネットワーク認証、WiFi、VPN、RADIUS、および類似サービスで使用されるユーザー証明書やデバイス証明書を展開できます。 **あなたは** トランザクション用に SCEPman を使用できます **電子署名** すなわち、Microsoft Outlook での S/MIME 署名に使用できます。メッセージ署名に証明書を使用する予定がある場合は、Intune プロファイル構成に対応する拡張キー使用法を追加する必要があります。SCEPman の証明書は、組織内でのみ信頼されることに注意してください。SCEPman は一般に信頼される証明書を発行しません。 **しないでください** SCEPman を使用 **メール暗号化のために** すなわち、Microsoft Outlook での S/MIME メール暗号化には(キー管理のための別個の技術なしでは)使用しないでください。 **SCEP プロトコルの性質には、秘密鍵マテリアルをバックアップまたはアーカイブする仕組みが含まれていません。** メール暗号化に SCEP を使用すると、後でメッセージを復号するための鍵を失う可能性があります。 {% endhint %} ### SCEPman のワークフロー これは、MDM ソリューションとして Intune を使用する場合の SCEPman ワークフローの概要です(他の MDM ソリューションでもフローは同様です)。最初の図は証明書の発行を示し、2 番目の図は証明書の検証を示しています。 証明書発行のプロセス: ![](https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-7cb95c3dd3eb55459521c578fe749dbc9a464d12%2FOverview1.png?alt=media) 証明書ベース認証中の証明書検証のプロセス: ![](https://114237723-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-b28ed2d4261ddb510cd7bd697a559b483f88adca%2FOverview2.png?alt=media) ### SCEPman の機能 SCEPman は、次の機能を備えた Azure Web App です。 * Intune の [SCEP API](https://learn.microsoft.com/en-us/mem/intune/protect/certificate-authority-add-scep-overview) 、特にこれと互換性のある SCEP インターフェイス。 * SCEPman は、 **Azure Key Vault**. * に保存された CA ルートキーによって署名された証明書を提供します。SCEPman には、 **OCSP レスポンダー** (以下を参照)が含まれており、 [証明書の有効性 / 自動失効](https://docs.scepman.com/ja/zheng-ming-shu-guan-li/manage-certificates#automatic-revocation) をリアルタイムで * 提供します。多くのシナリオで Legacy PKI を完全に置き換えます。 SCEPman は初回インストール時に CA ルート証明書を作成します。ただし、何らかの理由で別の CA キーマテリアルを使用する必要がある場合、この CA キーと証明書を Azure Key Vault 内で独自のものに置き換えることが可能です。たとえば、既存の内部 Root CA によって署名された Sub CA 証明書を使用したい場合です。 #### Certificate Master Certificate Master を使用すると、 [Enterprise Edition](https://docs.scepman.com/ja/editions#edition-comparison) のお客様は、SCEP / MDM を介した自動登録が不可能なシナリオで、証明書を(手動で)発行できます。一般的な例としては、 [TLS サーバー証明書](https://docs.scepman.com/ja/zheng-ming-shu-guan-li/certificate-master/tls-server-certificate-pkcs-12) や、 [スマートカード / YubiKeys](https://docs.scepman.com/ja/zheng-ming-shu-guan-li/certificate-master/user-certificate)用のユーザー証明書の発行があります。さらに、Certificate Master を使用すると、管理者は [管理](https://docs.scepman.com/ja/zheng-ming-shu-guan-li/manage-certificates) できます。Intune、Jamf、その他の MDM を介した SCEP による自動登録、EST、 [Enrollment REST API](https://docs.scepman.com/ja/zheng-ming-shu-guan-li/api-certificates) 、または Certificate Master UI 自体を介して手動で発行されたかどうかにかかわらず、SCEPman によって発行されたあらゆる証明書を管理できます。 {% content-ref url="zheng-ming-shu-guan-li/certificate-master" %} [certificate-master](https://docs.scepman.com/ja/zheng-ming-shu-guan-li/certificate-master) {% endcontent-ref %} ### SCEPman OCSP(Online Certificate Status Protocol) この [Online Certificate Status Protocol (OCSP)](https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol) は、証明書の状態を判定するために使用されるインターネット プロトコルです。 通常、OCSP クライアントは OCSP レスポンダーにステータス要求を送信します。OCSP レスポンダーは、失効状態またはその他の仕組みに基づいて証明書の有効性を検証します。SCEPman もサポートしている証明書失効リスト(CRL)と比較すると、OCSP 応答は常に最新であり、応答は数秒以内に利用可能です。CRL には、手動で更新する必要があるデータベースに基づいており、多量のデータになる可能性があるという欠点があります。これらの失効メカニズムの詳細な比較については、[ 当社ブログの記事でお読みください。](https://www.glueckkanja.com/blog/products/2023/05/certificate-revocation-en/)