# Cisco ISE Host Header の制限
Cisco ISE および Aruba ClearPass の両方とも(以下まで、かつそれを含めてのみ **ClearPass 6.9.5**)は、OCSP を照会する際に HTTP 1.1 をサポートしておらず、OCSP リクエストで Host ヘッダーを送信しません。これは、おそらくバックエンドで使用されているように見える OpenSSL の 1.0.2 までのバージョンでは [OCSP リクエストで Host ヘッダーを送信するために追加のパラメーターが必要だった](https://github.com/openssl/openssl/issues/1986)一方、2016 年 8 月にリリースされた OpenSSL 1.1.0 ではそれが自動的に行われるためです。そのため、Azure App Services 上で実行される一般的な SCEPman インスタンスには接続できません。エラーメッセージは次のようになる場合があります:
Cisco は現在、将来の機能拡張を調査中ですが、当面は [Azure Application Gateway](https://azure.microsoft.com/en-us/services/application-gateway/) を使用して、Host ヘッダーを必要としない SCEPman のインスタンスを提供できます。
以下の手順では、SCEPman 用の Azure Application Gateway を作成するために必要なステップを示します:
## 1) 新しい Application Gateway を作成する
## 2) 必要な基本情報を入力する
## 3) 新しい静的パブリック IP アドレスを作成する
## 4) 新しいバックエンド プールを作成し、それを SCEPman App Service に向ける
{% hint style="info" %}
Geo-Redundant シナリオでは、両方の SCEPman アプリ サービスをバックエンド プールに追加する必要があります。
{% endhint %}
## 5) HTTP 用のルーティング ルールを追加する
## 5b) Host ヘッダー(公開 SCEPman FQDN)付きの新しい HTTP 設定を追加する
{% hint style="warning" %}
6 月初め頃、Microsoft は Azure Application Gateway にバグを導入し、「バックエンド ターゲットからホスト名を選択」が選ばれている場合に、Host ヘッダーのないリクエストへ Host ヘッダーを追加できなくなりました。このドキュメントの以前の版では「バックエンド ターゲットからホスト名を選択」を推奨していましたが、これはもはや機能しません。回避策として、下図のように「特定のドメイン名で上書き」を選択し、SCEPman App Service の名前、たとえば *contoso-scepman.azurewebsites.net*.
{% endhint %}
## 6) オプション: HTTPS 用のルーティング ルールを追加する
{% hint style="warning" %}
この手順には HTTPS Web サーバー証明書が必要です。
{% endhint %}
{% hint style="info" %}
TLS を使用しない HTTP の利用はセキュリティ上の脆弱性ではありません。PKI ベースのリソースは、TLS ハンドシェイクでこれらのリソースへのアクセスが必要になる可能性があるため、通常は TLS なしの HTTP で公開されます。TLS を使用すると、TLS ハンドシェイクが PKI リソースへのアクセスを必要とし、PKI リソースへのアクセスが TLS ハンドシェイクを必要とするという、鶏と卵の問題が発生します。そのため、SCEP や OCSP といったプロトコルを含むこれらの PKI リソースでは、必要な箇所で独自の暗号化および/または署名を使用します。
{% endhint %}
## 6b) Host ヘッダー(公開 SCEPman FQDN)付きの新しい HTTPS 設定を追加する
## 7) ルーティング ルールを確認する
## 8) Application Gateway の構成を完了する
## 9) IP の DNS 名を構成する
次に、Gateway に DNS 名を追加します:
1. IP アドレス リソースを開く
2. 任意の名前を DNS 名ラベルとして追加する
オプション: 自分の DNS サーバーに、その DNS 名の CNAME エントリを追加できます。
{% hint style="info" %}
Geo-Redundant シナリオでは、Cisco ISE で OCSP レスポンダーとして、SCEPman のカスタム ドメイン URL(traffic manager を指す)と Application Gateway の URL の両方を引き続き使用できます。
{% endhint %}
{% hint style="info" %}
OCSP レスポンダーの URL は次のようになります: `http:///ocsp`
**注意:** OCSP レスポンダーの URL は HTTPS ではなく HTTP である必要があります。 [こちら](https://docs.scepman.com/ja/sono/troubleshooting/pages/ccdfbd1ddcdff91d6751d481827a4e07f76f5ff0#id-21.-can-https-only-be-enabled)
{% endhint %}
## Intune/JAMF の構成
Intune の構成では、Azure Application Gateway の URL の代わりに App Service の URL を引き続き使用できます。この場合、クライアントは App Service と直接通信します。Cisco ISE では Azure Application Gateway の URL を構成する必要があります。HTTP 1.0 リクエストをサポートするのはこの URL のみだからです。
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/ja/sono/troubleshooting/cisco-ise-host-header-limitation.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.