Appleデバイスに証明書を配付する
iPhone、iPad、Apple Vision Proデバイスに証明書を手動で配付できます。ユーザは証明書を受け取ったら、タップして内容を確認してから、もう一度タップして証明書をデバイスに追加します。固有名証明書がインストールされているときは、この証明書を保護するためのパスワードを要求するメッセージが表示されます。証明書の真正性が確認できない場合、証明書は信頼されていないと表示され、その証明書をデバイスに追加するかどうかをユーザが決めることができます。
Macコンピュータに証明書を手動で配布できます。ユーザは証明書を受け取ったら、ダブルクリックしてキーチェーンアクセスを開き、内容を確認します。証明書が期待に合っていれば、目的のキーチェーンを選択して「追加」ボタンをクリックします。ほとんどのユーザ証明書はログインキーチェーンにインストールする必要があります。固有名証明書がインストールされているときは、この証明書を保護するためのパスワードを要求するメッセージが表示されます。証明書の真正性が確認できない場合、証明書は信頼されていないと表示され、その証明書をMacに追加するかどうかをユーザが決めることができます。
一部の証明書IDをMacコンピュータで自動的に更新できます。
MDMペイロードを使用した証明書導入方法
次の表は、構成プロファイルを使用して証明書を導入するさまざまなペイロードを示しています。これには、Active Directory証明書ペイロード、証明書ペイロード(PKCS #12固有名証明書用)、自動証明書管理環境(ACME)ペイロード、Simple Certificate Enrollment Protocol(SCEP)ペイロードなどが含まれています。
ペイロード | 対応しているオペレーティングシステムおよびチャンネル | 説明 | |||||||||
---|---|---|---|---|---|---|---|---|---|---|---|
Active Directory証明書ペイロード | macOSデバイス macOSユーザ | Active Directory証明書ペイロードを構成することにより、証明書署名要求が、Active Directory証明書サービスサーバの発行元CAにmacOSから直接送信されます。これは、リモートプロシージャコールを使用して行われます。コンピュータのIDは、Active Directory内のMacコンピュータのオブジェクトの資格情報を使用して登録できます。ユーザは、登録プロセスの一環として各自の資格情報を提供し、個々のIDをプロビジョニングできます。管理者は、このペイロードを使用することで、秘密鍵の使用法と、登録用の証明書テンプレートをより詳細に制御できます。SCEPと同様、秘密鍵はデバイスに残ります。 | |||||||||
ACMEペイロード | iOS iPadOS 共有iPadデバイス macOSデバイス macOSユーザ tvOS watchOS 10 visionOS 1.1 | MDMソリューションに登録されているAppleデバイス用のCAから証明書がデバイスに取得されます。この方法を使った場合は、秘密鍵がデバイスにのみ残り、ハードウェアをデバイスにバインドさせることもできます。 | |||||||||
証明書ペイロード(PKCS #12固有名証明書用) | iOS iPadOS 共有iPadデバイス macOSデバイス macOSユーザ tvOS watchOS 10 visionOS 1.1 | ユーザまたはデバイスではなくデバイス外にIDがプロビジョニングされる場合は、IDをPKCS #12ファイル(.p12または.pfx)にパッケージしてパスワードで保護できます。ペイロードにパスワードが含まれている場合は、ユーザにパスワードの入力を求めることなくIDをインストールできます。 | |||||||||
SCEPペイロード | iOS iPadOS 共有iPadデバイス macOSデバイス macOSユーザ tvOS watchOS 10 visionOS 1.1 | 証明書署名要求がデバイスから登録サーバに直接送信されます。この方法を使った場合は、秘密鍵がデバイスにのみ残ります。 |
サービスを特定のIDと関連付けるには、ACME、SCEP、または証明書ペイロードを構成してから、同じ構成プロファイル内で目的のサービスを構成します。例えば、SCEPペイロードでデバイスのIDをプロビジョニングするように構成した場合、それと同じ構成プロファイル内のWi-Fiペイロードを、SCEP登録から生成されたデバイス証明書を認証に使用するWPA2エンタープライズ/EAP-TLS認証方式に構成できます。
サービスをmacOSの特定のIDと関連付けるには、Active Directory証明書、ACME、SCEP、または証明書ペイロードを構成してから、同じ構成プロファイル内で目的のサービスを構成します。例えば、Active Directory証明書ペイロードでデバイスのIDをプロビジョニングするように構成した場合、それと同じ構成プロファイル内のWi-Fiペイロードを、Active Directory証明書登録から生成されたデバイス証明書を認証に使用するWPA2エンタープライズ/EAP-TLS認証方式に構成できます。
構成プロファイルによってインストールされた証明書を更新する
継続的なサービスアクセスを保証するために、MDMソリューションを使用して導入した証明書は、期限が切れる前に更新するようにしてください。これを行うために、MDMソリューションはインストール済み証明書を照会し、有効期限日を調査することで、事前に新しいプロファイルや構成を発行できます。
Active Directory証明書の場合は、証明書IDがデバイスプロファイルの一部として導入されるときのデフォルトの動作は、macOS 13以降では自動更新です。管理者は、この動作を変更するようにシステム環境設定を設定できます。詳しくは、Appleのサポート記事「構成プロファイルで配付された証明書を自動更新する」を参照してください。
メールまたはSafariによる証明書のインストール
証明書は、メールメッセージの添付ファイルとして送信できます。また、セキュリティ保護されたWebサイトに証明書をホストして、そこからユーザに各自のAppleデバイスに証明書をダウンロードしてもらうこともできます。
証明書を削除する/取り消す
MDMソリューションでは、デバイス上のすべての証明書を表示でき、インストールされている任意の証明書を削除できます。
また、証明書のステータスを確認できるようにオンライン証明書状況プロトコル(OCSP)がサポートされています。OCSPに対応した証明書が使用されている場合、iOS、iPadOS、macOS、およびvisionOSはいずれも、証明書が無効になっていないことを定期的に確認します。
構成プロファイルを使用して証明書を取り消す方法については、「証明書失効MDMペイロードの設定」を参照してください。
iOS、iPadOS、visionOS 1.1以降でインストールされている証明書を手動で削除するには、「設定」>「一般」>「デバイス管理」と選択し、プロファイルを選択し、「詳細」をタップしてから、削除する証明書をタップします。アカウントやネットワークへのアクセスに必要な証明書を削除した場合、iPhone、iPad、またはApple Vision Proはそれらのサービスに接続できなくなります。
macOSでインストールされている証明書を手動で削除するには、キーチェーンアクセスアプリを起動し、証明書を検索します。証明書を選択したら、キーチェーンから削除します。アカウントやネットワークへのアクセスに必要な証明書を削除した場合、Macはそれらのサービスに接続できなくなります。