circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

詳細

hashtag
SCEPとは何ですか?

通常、(モバイル)デバイスに証明書を展開する必要がある場合、 Simple Certificate Enrollment Protocolarrow-up-right (SCEP)が第一の選択肢です。しかしSCEPとは何でしょうか?SCEPは Internet draft(インターネットドラフト)arrow-up-right 標準プロトコルです。インターネットドラフトは技術仕様や技術情報を含みます。インターネットドラフトはしばしば Request for Comments(RFC)arrow-up-right.

SCEPはもともとCiscoによって開発されました。SCEPの主な目的は、ユーザーの操作なしにネットワーク機器へ証明書を展開することです。SCEPの助けを借りることで、ネットワーク機器は自ら証明書を要求できます。

hashtag
SCEPmanとは何ですか?

従来の方法でSCEPを使用する場合、オンプレミスのコンポーネントが多数必要です。Microsoft Intuneや その他のモバイルデバイス管理(MDM) ソリューションは、 サードパーティの認証局(CAarrow-up-right)がSCEPを使って証明書を発行および検証することを許可します。

オンプレミスのコンポーネントを排除するために、私たちはSCEPmanを開発しました。

circle-exclamation

SCEPmanは、 認証およびトランスポート暗号化を目的とした証明書を発行します。つまり、ネットワーク認証、WiFi、VPN、RADIUSおよび類似のサービスで使用されるユーザーおよびデバイス証明書を展開できます。

あなたは SCEPmanをトランザクショナルな 電子署名 、例えばMicrosoft OutlookでのS/MIME署名に使用することができます。メッセージ署名に証明書を使用する予定がある場合は、Intuneのプロファイル設定で対応する拡張キー使用法(EKU)を追加する必要があります。SCEPmanの証明書は組織内でのみ信頼されることを念頭に置いてください。SCEPmanは公開に信頼される証明書を発行しません。

使用しないでください SCEPmanを メール暗号化に 、つまり(別途のキー管理技術を用いない)Microsoft OutlookでのS/MIMEメール暗号化に使用しないでください。SCEPプロトコルの性質上、秘密鍵素材をバックアップまたはアーカイブする仕組みが含まれていません。 SCEPプロトコルの性質は、秘密鍵素材をバックアップまたはアーカイブするメカニズムを含みません。 SCEPをメール暗号化に使用すると、後でメッセージを復号するための鍵を失う可能性があります。

hashtag
SCEPmanのワークフロー

ここではIntuneをMDMソリューションとして使用する場合のSCEPmanワークフローの概要を示します(他のMDMソリューションでもフローは類似しています)。最初の図は証明書発行を示し、2番目の図は証明書検証を示します。

証明書発行のプロセス:

証明書ベース認証時の証明書検証のプロセス:

hashtag
SCEPmanの機能

SCEPmanは以下の機能を持つAzure Webアプリです:

  • Intuneと互換性のあるSCEPインターフェース SCEP APIarrow-up-right を特に提供します。

  • SCEPmanは、CAルートキーが保存された鍵で署名された証明書を提供します: Azure Key Vault.

  • SCEPmanには、 OCSPレスポンダー (下記参照)が含まれており、 証明書の有効性/自動失効 をリアルタイムで提供します。

  • 多くのシナリオでレガシーPKIの完全な置き換えとなります。

SCEPmanは初期インストール時にCAルート証明書を作成します。しかし、何らかの理由で別のCA鍵素材を使用したい場合は、Azure Key Vault内の独自のCA鍵および証明書と置き換えることが可能です。例えば、既存の社内ルートCAによって署名されたサブCA証明書を使用したい場合などです。

hashtag
Certificate Master(証明書マスター)

Certificate Masterは、 Enterprise Edition の顧客が、SCEP/MDM経由の自動登録が不可能なシナリオで(手動で)証明書を発行できるようにします。一般的な例は、 TLSサーバー証明書 や、 スマートカード/YubiKey用のユーザー証明書の発行です。さらに、Certificate Masterにより管理者は SCEPmanによって発行されたあらゆる証明書を管理できます。 それらがIntune、Jamfおよび他のMDMを介したSCEPによる自動登録、EST、 Enrollment REST API またはCertificate MasterのUIを通じた手動発行によるかどうかにかかわらず。

Certificate Masterchevron-right

hashtag
SCEPman OCSP(オンライン証明書状態プロトコル)

その Online Certificate Status Protocol(OCSP)arrow-up-right は、証明書の状態を判定するために使用されるインターネットプロトコルです。

通常、OCSPクライアントはOCSPレスポンダーにステータス要求を送信します。OCSPレスポンダーは失効状態や他のメカニズムに基づき証明書の有効性を検証します。証明書失効リスト(CRL)と比較すると(SCEPmanもCRLをサポートします)、OCSPレスポンスは常に最新であり、応答は数秒以内に得られます。CRLは手動で更新される必要があるデータベースに基づいており、多くのデータを含む可能性があるという欠点があります。これらの失効メカニズムの詳細な比較をお読みください 当社の企業ブログの記事で。arrow-up-right

最終更新

役に立ちましたか?