# 証明書
{% hint style="info" %}
これらの設定は、Certificate Master ではなく SCEPman App Service にのみ適用してください。以下を参照してください [SCEPman の設定](/ja/scepman-gou-cheng/application-settings.md).
{% endhint %}
## AppConfig:AddMicrosoftAADExtensions
*Linux: AppConfig\_\_AddMicrosoftAADExtensions*
**値:** *true* (既定値)または *false*
**説明:** 証明書に拡張 1.2.840.113556.5.14(AAD Tenant ID)および 1.2.840.113556.1.5.284.2(AAD Device ID)を含めるべきですか?
## AppConfig:AddSidExtension
*Linux: AppConfig\_\_AddSidExtension*
{% hint style="info" %}
バージョン 2.5 以降に適用
{% endhint %}
**値:** *true* または *false* (既定値)
**説明:** この設定は、証明書に拡張 1.3.6.1.4.1.311.25.2(ユーザーの Security Identifier(SID))を含められるかどうかを決定します。この拡張は、証明書をオンプレ AD のユーザー認証に使用する場合に、 [Certifried 攻撃](/ja/sono/troubleshooting/certifried.md) を軽減するために必要です。
これを false に設定すると、SCEPman はこの拡張を含む証明書を決して発行しません。true に設定すると、SCEPman は次の 2 つの場合にこの拡張を含む証明書を発行することがあります。
まず、Intune 経由でユーザー証明書を登録する際、ユーザーの AAD オブジェクトの属性 *OnPremisesSecurityIdentifier*に SID が含まれている場合です。たとえばクラウド専用ユーザーなどでユーザーの AAD オブジェクトに SID が含まれていない場合、SCEPman はこの拡張を含む証明書を発行しません。これは [static-aad エンドポイント](/ja/scepman-gou-cheng/application-settings/scep-endpoints/staticaad-validation.md).
にも同様に適用されます。次に、他の SCEP エンドポイント経由でユーザー証明書を登録し、CSR にすでにこの拡張が含まれている場合です。例としては Static SCEP エンドポイントや、Certificate Master を介した手動の証明書要求があります。
## AppConfig:ValidityPeriodDays
*Linux: AppConfig\_\_ValidityPeriodDays*
**値:** *整数*
**説明:**\
発行された証明書が有効である最大日数です。既定では、この設定は **730 日**に設定されています。この設定が利用できない場合(SCEPman の古いインストール)でも、有効期間は **200 日**です。SCEPman は、ここで定義された値より長い有効期間の証明書を発行することはありません。ただし、特定の証明書の有効期間を短くする方法はあります。
Intune の各 SCEP プロファイルで、以下の [Microsoft のドキュメント](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-scep-configure#modify-the-validity-period-of-the-certificate-template).
{% hint style="warning" %}
に記載されているように、より短い有効期間を設定できます。iOS/iPadOS および macOS デバイスは、Intune 経由の有効期間の構成を無視します。そのため、iOS/iPadOS および macOS デバイスで 200 日以外の有効期間を使用したい場合は、SCEPman でこの設定を構成する必要があります。詳細については [iOS/iPadOS](/ja/zheng-ming-shu-guan-li/microsoft-intune/ios.md) をお読みください。そこで、より高い値を推奨しています。
{% endhint %}
また、各 SCEP エンドポイントごとに **より短い** 有効期間を構成することもできます。既定では、各エンドポイントに次の値が設定されています。
| エンドポイント | パラメーター | 有効期間(日) |
| ------------------ | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | ------------ |
| Intune | [AppConfig:IntuneValidation:ValidityPeriodDays](/ja/scepman-gou-cheng/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-validityperioddays) | 365 |
| Jamf | <未設定> | 730(グローバル設定) |
| Static | <未設定> | 730(グローバル設定) |
| Certificate Master | <未設定> | 730(グローバル設定) |
下の画像は、SCEPman が証明書の有効期間をどのように制限するかを示しています。まず各エンドポイントごとに制限し、その後全体として制限します。
## AppConfig:ConcurrentSCEPRequestLimit
*Linux: AppConfig\_\_ConcurrentSCEPRequestLimit*
**値:** 正の数 *整数*
**既定値:** 50
**説明:** SCEPman により多くの SCEP 要求が到着すると、各要求の完了により長い時間がかかります。要求頻度が高い場合、たとえば多数のデバイスに SCEP 構成プロファイルを割り当てた直後などは、要求の処理に非常に時間がかかり、タイムアウトすることがあります。クライアントは失敗した要求を再試行するため、要求頻度が重大な過負荷レベルを下回らないことがあります。
この設定により、SCEPman はこの数の SCEP 要求のみを並列で処理します。それ以上の要求がある場合、SCEPman は HTTP 329(Too Many Requests)を返します。Intune ベースのクライアントはこの場合、後で証明書の発行を再試行するため、通常は要求が失われることはありません。これにより、SCEPman は要求を期限内に完了でき、キューを処理する余裕が確保されます。
## AppConfig:ValidityClockSkewMinutes
*Linux: AppConfig\_\_ValidityClockSkewMinutes*
**値:** 正の数 *整数*
**既定値:** 1440
**説明:** SCEPman が証明書を発行すると、その有効期間は発行日時より 24 時間(1440 分)早く開始されます。これは、クライアントの時計が SCEPman より遅く進み、その結果、証明書はまだ有効でないと判断する場合があるためです。一部のプラットフォームでは、たとえ数秒後に有効になっても、無効な証明書をすぐに破棄します。
## AppConfig:UseRequestedKeyUsages
*Linux: AppConfig\_\_UseRequestedKeyUsages*
**値:** *true* (既定値)または *false*
**説明:** 証明書の Key Usage および Extended Key Usage(EKU)拡張は、要求どおりに設定されるべきですか、それとも SCEPman が定義すべきですか?
**True:** 証明書の Key Usage および Extended Key Usage 拡張は、MDM ソリューションによって定義されます。\
**False:** Key Usage は常に *Key Encipherment* + *Digital Signature*です。Extended Key Usage は常に *Client Authentication*.
{% hint style="warning" %}
iOS/iPadOS デバイスはカスタマイズされた Extended Key Usage をサポートしていません(Intune プロファイルで構成されていても、 [#appconfig-userequestedkeyusages](#appconfig-userequestedkeyusages "mention") に設定されていても **True**)。したがって、それらの証明書の Extended Key Usage は常に *Client Authentication* になります。
{% endhint %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/ja/scepman-gou-cheng/application-settings/certificates.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.