証明書の統合モジュール

証明書統合モジュールにより、ユーザーは、既存の認証局 (CA) を使用し、登録済みのデバイスに対してデバイス証明書およびユーザー証明書を自動プロビジョンできます。証明書は電子メール、無線LAN、VPN、 MaaS360® メール認証に使用されます。

Cloud Extender ® は CA と対話し、以下の方法を使用して、発行された証明書を登録済みデバイスにプッシュダウンします。

IBM® MaaS360 Portal から、ID 証明書を必要とするすべての登録済みデバイスの証明書要求を受信する。
証明書要求プロセスの一部として、認証局 (CA) または登録局 (RA) に対して認証します。
証明書要求の一部として、デバイスまたはユーザーの詳細と、対応する属性の詳細を渡して、ID 証明書を要求します。
リクエスト・デバイスの公開鍵を使用して受信した証明書を暗号化し、暗号化されたペイロードをIBM MaaS360 Portalにプッシュします。
証明書の自動更新機能によって、現在の証明書の有効期限が切れる前にデバイスが新しい証明書を受け取れるようにします。

注： Windowsタブレットの場合、 Cloud Extenderは証明書をパスワードで保護し、要求デバイスの公開鍵を使用してパスワードを暗号化し、暗号化されたペイロードを IBM MaaS360 Portalにプッシュします。 MaaS360 プラットフォームが（ポリシーの一部として）パスワードで保護された証明書を受け取ると、 MaaS360 は Windows MDM API を使用して、暗号化されたペイロードをタブレットにプッシュする。

サポートされる CA のバージョン

Cloud Extender は、以下の認証局と統合されます。

2003、2008 R2、または 2012 R2
にインストールされた Microsoft CA NDES 2008 + が必要 (NDES サーバーの英語バージョンのみをサポート)
Symantec Managed PKI
Entrust IdentityGuard および Entrust Admin Services
Verizon MCS PKI

Cloud Extender は、CA サーバーに関する情報と、デバイス証明書を認証および要求するための管理資格情報を含む証明書テンプレートを使用して構成する必要があります。 MaaS360 に登録されているすべての種類のデバイス（ iOS, Android、Windows Phone、 Mac OS X ）は、証明書の配信をサポートしています。

システム要件

インストールを開始する前に、環境が以下の最小要件を満たしていることを確認します。

Microsoft Windows 2016 以降 ( Cloud Extender インストールの場合)
.NET 3.5 以降
Microsoft: 2008 以上のサーバーにセットアップされたネットワーク・デバイス登録サービス (NDES) (NDES サーバーの英語バージョンのみをサポート)
Symantec: Symantec PKI ホスト・ソリューションに対する管理アクセス権限
Entrust: Entrust IdentityGuard Server v10.1 または v10.2、あるいは Entrust Admin Services v8.2 SP1 または v8.3 に対する管理アクセス権限
Verizon MCS: Verizon MCS コンソールに対する管理アクセス権限
高可用性 (HA) 要件:
- 証明書キャッシュのための高可用性 Cloud Extender からの Windows ファイル共有アクセス
- Microsoft および Symantec PKI の場合のみ必須

スケーリング

証明書統合の Cloud Extender は、アクティブ/アクティブ高可用性 (HA) モードで実行できます。 HA モードで稼働している他のすべてのノードに、1 つの Cloud Extender から同じ証明書テンプレートをインポートする必要があります。システムに登録されている 10,000 台のデバイスごとに、追加の HA Cloud Extender をセットアップします。

例: 10,000 台のデバイスが証明書を必要とする場合、HA モードで 2 つの Cloud Extender をインストールします。 10,000 台のデバイスを追加する場合は、証明書用の別のCloud Extender をインストールしてください。証明書を必要とする登録済みデバイスが 50,000 台ある場合は、スケーリングと HA のために 6 つの Cloud Extender をインストールします。 IBM MaaS360 ポータルは、アクティブなクラウド・エクステンダーと接続されたクラウド・エクステンダーの間で証明書要求をラウンドロビンします。

表 1. 認証局統合モジュールのスケーリング要件
アイテム	要件
デバイスが 10,000 台未満	CPU: 2 コアメモリー: 4 GB
デバイスが 10,000 台より多い	スケーリング: 高可用性 (HA) を備えた Cloud Extender の複数インスタンスへのインストールをサポートします。ユーザー可視化サービスまたはユーザー認証サービスを有効にして、専用の Cloud Extender にインストールするか、 Cloud Extender で有効にします。ご使用の環境の正確なスケーリングについては、 Cloud Extender スケーリングの資料 ( セットアップ > サービス > エンタープライズ統合) を参照してください。

デバイス証明書かユーザー証明書か

デバイスの観点からは、すべての証明書がユーザー証明書として扱われます。 Cloud Extender は、 Cloud Extenderで定義されている証明書テンプレートに基づいて、装置証明書またはユーザー証明書を装置に発行します。

注: 複数の Cloud Extender を使用する環境の場合、すべての証明書テンプレートは、PKI 証明書を使用するすべての Cloud Extender 上になければなりません。

以下の表に、デバイス証明書とユーザー証明書の違いをリストします。

証明書	説明
デバイス	Cloud Extender は、要件に基づいて証明書を生成し、その証明書をデバイスにプッシュします。 Cloud Extender は、証明書テンプレートを使用して、サブジェクト名/代替名の一部としてユーザー属性を渡します。これにより、証明書がユーザーにリンクされ、装置証明書として使用されます。デバイスは、すべての証明書をユーザー証明書として扱います。 Microsoft、Symantec、Entrust、および Verizon MCS をサポートする、最も一般的に使用される証明書テンプレート・タイプ。通常、認証用に使用されます。
ユーザー	ユーザーに対する証明書が Active Directory に存在している必要があります。証明書の秘密鍵を抽出するために鍵リカバリーをセットアップするための追加要件があります。 Cloud Extender が証明書を検索できるのは、証明書が存在する場合のみです。 Cloud Extender は、欠落している証明書を生成できません。 Microsoft CA によってのみサポートされます。通常、S/MIME 証明書で署名証明書および暗号化証明書を送信するために使用されます。関連情報の複数のSMIME証明書のサポート Active Directory 認証に使用するユーザー証明書の場合、デバイス証明書テンプレートを選択し、証明書生成のために CA に渡すユーザー属性を指定します。

証明書

説明

デバイス

Cloud Extender は、要件に基づいて証明書を生成し、その証明書をデバイスにプッシュします。
Cloud Extender は、証明書テンプレートを使用して、サブジェクト名/代替名の一部としてユーザー属性を渡します。これにより、証明書がユーザーにリンクされ、装置証明書として使用されます。
デバイスは、すべての証明書をユーザー証明書として扱います。
Microsoft、Symantec、Entrust、および Verizon MCS をサポートする、最も一般的に使用される証明書テンプレート・タイプ。
通常、認証用に使用されます。

ユーザー

ユーザーに対する証明書が Active Directory に存在している必要があります。
証明書の秘密鍵を抽出するために鍵リカバリーをセットアップするための追加要件があります。
Cloud Extender が証明書を検索できるのは、証明書が存在する場合のみです。 Cloud Extender は、欠落している証明書を生成できません。
Microsoft CA によってのみサポートされます。
通常、S/MIME 証明書で署名証明書および暗号化証明書を送信するために使用されます。関連情報の複数のSMIME証明書のサポート Active Directory
認証に使用するユーザー証明書の場合、デバイス証明書テンプレートを選択し、証明書生成のために CA に渡すユーザー属性を指定します。