Symantec PKI 証明書テンプレートの構成の完了

Symantec PKI 証明書テンプレートの構成を完了する。

手順

  1. Template Configuration] ウィンドウで、[ Already have a RA certificate ]をクリックします。
  2. RA 証明書ファイルのインポート ]フィールドから、シマンテックからダウンロードした RA 証明書の場所を参照する。
    RA 証明書ファイルを選択すると、設定ツールは以下のフィールドに値を入力する。
    • RA 証明書 PEM ファイルのインポート
    • RA 証明書鍵ファイルのインポート
    • RA 証明書鍵パスワード
    テンプレート・コンフィギュレーション・ウィンドウには、以下の情報も表示されます。
    オプション 説明
    タイプ Symantec CA 統合には「SCEP」タイプを使用します。
    サブジェクト名 サブジェクト名を使用して、ユーザーまたはデバイスの特定の属性を証明書要求に渡すように証明書テンプレートを構成し、返された証明書がそれらの値を使用するようにします。

    サブジェクト名のデフォルト・ストリングは /CN=%uname%/emailAddress=%email% です。

    このテンプレートは、以下のいずれかの動的パラメータをサポートする。
    パラメーター名 説明
    %udid% デバイスの UDID。
    %csn% MaaS360® デバイス ID。
    %uname% デバイス所有者のユーザー名。
    %domain% ユーザーのドメイン。
    %email% ユーザーの E メール・アドレス。
    %imei% デバイスの IMEI 番号。
    %model% デバイスのモデル。
    %sim% デバイスの SIM 番号。
    %phnumber% デバイスの電話番号。
    ユーザー可視化モジュール属性
    • %ou% (組織単位)
    • %cn% (共通名)
    • %dc% (ドメイン・コンポーネント)
    • %dn% (識別名)
    テンプレートは以下の静的値もサポートしている。
    • CN (commonName)
    • C (countryName)
    • L (localityName)
    • ST (stateOrProvinceName)
    • O (organizationName)
    • OU (organizationUnitName)
    • G (givenName)
    • S (Surname)
    • I (Initials)
    • UID (uniqueIdentifier)
    • SN (serialNumber)
    • T (title)
    • D (description)

    Cloud Extender ® は、証明書のサブジェクト名のユーザー・カスタム属性変数名もサポートしています。 User Custom Attribute値は、値が定義され、LDAPから読み取られる場合、または IBM® MaaS360 ローカルで設定される場合、証明書要求に渡すことができる。
    サブジェクト代替名タイプ
    このフィールドを使用して、認証のためにユーザーを一意的に識別します。 このフィールドは、サブジェクト代替名に最も一般的に使用されるフィールドの 1 つです。
    注: デフォルトでは、 UPNと Emailはアップグレード前に使用されていた設定値で表示されます。

    属性を追加し、対応する属性の値を設定することができます。

    IBM MaaS360 Portal で作成されるカスタム・ユーザ属性を使用して URI を構成するには、特定のフォーマットに従う必要があります。

    tag:microsoft.com,2022-09-14:sid:%<custom user attribute>% で、URIフォーマットの を、作成した属性名に置き換える。 <user attribute>

    このSAN URIでは microsoft.com2022-09-14 はハードコードされた値で、変更することはできない。 SAN URIのときに提供する必要がある唯一の値は、 <value> フィールドを置き換えるユーザーまたはデバイスのSIDである。

    カスタム・ユーザー属性が Sample という名前の場合、URI は tag:microsoft.com,2022-09-14:sid:%Sample% となります。 %custom user attribute% 構文は、 MaaS360 が実際の属性値に置き換えるプレースホルダーである。
    鍵タイプ 証明書の生成に使用される鍵のタイプ。 デフォルトのキータイプは RSA
    鍵サイズ 生成された証明書に使用される秘密鍵のサイズ。 鍵サイズは NDES 上のテンプレートと一致していなければなりません。 デフォルトのキーサイズは 2048 であるが、 10244096 にも対応している。
    鍵の用途 生成された鍵の使用法。 デフォルトのキーは Digital Signature and Key Encipherment usages
    CA 署名アルゴリズム デフォルトは SHA-256ですが、 Cloud Extender は他のアルゴリズムもサポートしています。 アルゴリズムは NDES 上のテンプレートと一致していなければなりません。
    CA 暗号化アルゴリズム デフォルトは 3-DES ですが、 Cloud Extender は DES と Blowfish もサポートします。
    生成された証明書の保存 ユーザが既に登録済みのデバイスを登録する場合、 Cloud Extenderは新しい証明書をCAに問い合わせる代わりに、証明書を再利用してローカルにキャッシュします。

    このオプションを使用して、証明書を格納するローカル・ストレージ・パスまたは UNC ネットワーク・パスを選択します。
    証明書ストレージ・パス 証明書のパス。

    Cloud Extenderのローカルパスのスタンドアロンインスタンスを使用できますが、High Availabilityモードではネットワーク共有を使用する必要があります。
    更新期間 (日) 証明書の有効期限が切れるまでの、証明書の更新を試行する日数。 デフォルト値は 14 日です。

    例えば、証明書が有効期間が 1 年で、その年の終わりの 14 日前である場合、 Cloud Extender は証明書の更新を試みます。 Cloud Extender は、証明書ごとに 1 週間に 2 回更新を試行します。
    再試行期間 (日数) 認証要求が失敗すると、 Cloud Extender は 15 分ごとに認証要求を再試行します。 この設定は、 Cloud Extender が更新要求に失敗のマークを付ける前に証明書の更新を試行する日数を指定します。

    CA 環境で 8 時間の保守ウィンドウがある場合、CA の保守が終わると、再試行により自動的に証明書が発行されます。 この値は、3 日以上に設定してください。
  3. 「保存」をクリックします。