証明書ベースのネットワーク認証

証明書ベースのWiFi、LAN、またはVPN認証を実現するためのネットワークアクセスコントローラー（NAC）として、ワンクリック構成を可能にする当社のRADIUS-as-a-Serviceの使用を推奨します。ただし、SCEPmanの証明書は一般的に標準的な802.1x証明書ベースの認証をサポートする全てのNACでも動作します。

この記事では、最も一般的なNACのいくつかの注目すべき特徴について説明します。

RADIUS-as-a-Service

については、 RADIUS-as-a-Serviceのドキュメント を参照して、RADIUS-as-a-ServiceでSCEPmanの証明書を使用する方法をご確認ください。

Cisco ISE

Cisco ISEは通常OCSPリクエストに対してHTTP/1.1ではなくHTTP/1.0のみをサポートします。そのため、SCEPmanの前に追加のアプリケーションプロキシが必要になります。詳細は当社の ISEのトラブルシューティング記事 を参照してください。

Cisco ISE 3.xの少なくとも一部のバージョンでは、RFC上CAからの応答に必須ではなくても、OCSPレスポンダーの拡張キー使用法を含む拡張キー使用法（Extended Key Usage）拡張をOCSP応答を受け入れるために要求します。SCEPmanの1.7までのバージョンはデフォルトでCA証明書に拡張キー使用法を追加しませんでした。バージョン1.8では、 構成設定を介してこの拡張を追加できるようになりました。SCEPman 1.9では、その構成設定のデフォルトがすでに拡張キー使用法を追加します。拡張キー使用法拡張のないCA証明書を既にお持ちで、Cisco ISE 3.xで問題が発生している場合は、拡張キー使用法拡張を含む新しいSCEPmanルートCA証明書を作成する必要があるかもしれません。

Aruba ClearPass

Cisco ISEと同様に、Aruba ClearPassはOCSPリクエストにHTTP/1.0を使用するため、SCEPmanと連携させるには アプリケーションプロキシを追加するなどの追加の構成手順 が必要です。

Microsoft Network Policy Server (NPS)

NPSは証明書をAD内のデバイスまたはユーザーエンティティにマッピングします（AADではありません）。AADとADの間にデバイス同期が標準で存在しないため、通常、Intuneを介してSCEPmanやその他のPKIで配布されたデバイス証明書をNPSで使用することはできません。ユーザー証明書はAADとADの間で同期されたユーザーには機能します。証明書にはNPSが同じUPNを持つADユーザーオブジェクトにマッピングするためのユーザーのUPNが含まれている必要があります。

その他

一般的に、NACにSCEPmanルートCA証明書を信頼されたCAとして追加する必要があります。

場合によっては、SCEPmanのOCSP URLを手動で追加する必要があります。OCSP URLは任意のクライアント証明書のAuthority Information Access（AIA）拡張で見つけることができます。