失効

SCEPman を使用した OCSP による Microsoft Intune または Jamf Pro での自動証明書失効。

SCEPman では、証明書を管理および失効させるためのいくつかの方法を提供しています。利用可能なオプションは、

  • 証明書が MDM ソリューション経由で自動登録されたか、または Certificate Master UI / Enrollment REST API,

  • (自動) 登録に使用される MDM システム、および

  • SCEPman の構成に依存します。

以下のセクションでは、さまざまな管理オプションと失効メカニズムの概要、およびそれらがどのような状況で利用可能かを示します。

自動失効

circle-info

次の場合にのみ利用可能です Microsoft Intune および/または Jamf Pro が証明書の登録に MDM ソリューションとして使用されている場合です。あるいは、Microsoft Entra ID (Azure AD) とデバイスおよび/またはユーザー オブジェクトを同期できる任意のサードパーティ MDM でも利用可能です(つまり Static AAD Validation を使用できます)。

circle-check

背景

自動失効は 常に有効 であり、各証明書をユーザーやデバイス ID などのディレクトリ オブジェクトに関連付けることで、便利な証明書ライフサイクル管理を可能にします。このオブジェクト バインディング メカニズムにより、SCEPman は、関連付けられているオブジェクトの特定のライフサイクル特性に基づいて失効状態を推測できます。オブジェクトのライフサイクル状態から証明書の失効状態へのマッピングは、セキュリティとエンドポイント管理の長年の経験に基づくベストプラクティスに一致するように実装されています。

ディレクトリ オブジェクト(ユーザーまたはデバイス)と証明書の関連付けは、Subject Name または Subject Alternative Name プロパティの SCEP プロファイルに適切な変数を導入することで確立されます。MDM 管理クライアントから Certificate Signing Request (CSR) を受信すると、SCEPman は関連付けられたオブジェクトを識別し、その情報を証明書をクライアントに返す前に証明書のシリアル番号にエンコードします。証明書の検証中に SCEPman の OCSP レスポンダーへ送信されるのはこのシリアル番号であり、これにより SCEPman はオブジェクト情報をデコードし、適切なディレクトリを検索して、最終的に失効状態を判断できます。

失効の動作

circle-check
circle-exclamation
関連付けられたオブジェクト
ディレクトリから削除
ディレクトリで無効化
任意

Intune Device {{DeviceId}}

Delete, Wipearrow-up-right*, Retirearrow-up-right*: 恒久的な失効

利用不可

Entra (Azure AD) Device {{AAD_Device_ID}}

Delete: 恒久的な失効

無効化: 可逆的な失効

Entra (Azure AD) User {{UserPrincipalName}}

Delete: 恒久的な失効

無効化: 可逆的な失効

Jamf Computer CN=$JSSID,OU=computers

Delete: 恒久的な失効

利用不可

利用不可

Jamf Device CN=$JSSID,OU=devices

Delete: 恒久的な失効

利用不可

利用不可

Jamf User on Computer CN=$JSSID,OU=users-on-computers

  • 削除(コンピューター): 恒久的な失効

  • 削除(ユーザー): 恒久的な失効

利用不可

利用不可

Jamf User on Device CN=$JSSID,OU=users-on-devices

  • 削除(デバイス): 恒久的な失効

  • 削除(ユーザー): 恒久的な失効

利用不可

利用不可

*: Wipe 中は、「Wipe device, but keep enrollment state and associated user account」が 無効化できますであることを確認してください。失効が即時となるのは、 AppConfig:IntuneValidation:RevokeCertificatesOnWipe が true(既定値)に設定されている場合のみです。

手動失効

circle-exclamation
circle-info

この機能にはバージョン 2.3 以上が必要です。

circle-check

背景

手動失効は、SCEPman によって発行されたすべての証明書に対して利用できます。MDM 経由で自動登録されたもの、Certificate Master で手動発行されたもの、または Enrollment REST API で展開されたものは問いません。手動失効は、自動失効が利用できない場合や、自動失効の経路だけでは特定の要件を満たせない場合に有用です。

手動失効を容易にするため、SCEPman は発行する証明書の特定のメタデータを保存する必要があります。Certificate Master UI と Enrollment REST API 経由で発行された証明書については既定でこれが行われますが、他の証明書タイプでは行われません。したがって、 関連設定 を要件に応じて確認してください。

Certificate Master とその検索・フィルター オプションを活用して手動失効がどのように処理されるかを知るには、読み進めてください。

Certificate Master

SCEPman Certificate Master を使用すると、SCEPman PKI が発行した証明書を検索、確認、管理できます:

証明書の管理chevron-right

自動失効と手動失効

SCEPman は、OCSP 要求が届いたときに証明書が有効かどうかを判定するため、さまざまな失効情報ソースを使用します。さらに、SCEPman の失効ロジックは OR で結合するアプローチに従っています。つまり、いずれかの失効ソースがその証明書を無効と判定した場合、失効済みとして報告されます。自動失効が手動失効より優先される、あるいはその逆の優先順位はありません。

なお、Certificate Master の表に表示されるのは手動失効の状態のみであり、他のソースは表示されません。そのため、たとえば対応するデバイスが Intune で削除された(自動失効)場合など、実際には失効済みと見なされていても、表では有効として表示されることがあります。

さらに読む

  • 上記のいくつかのシナリオにおける(自動)失効のテスト方法と証明書の有効性のトラブルシューティングに関する情報は こちら.

  • Azure および M365 のデバイス ディレクトリに関する一般情報は こちら.

最終更新

役に立ちましたか?