翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# SCEP 用 Connector の Jamf Pro を設定する
<a name="connector-for-scep-general-purpose"></a>

Jamf Pro モバイルデバイス管理 (MDM) システムでは、 を外部認証機関 (CA) AWS Private CA として使用できます。このガイドでは、汎用コネクタを作成した後に Jamf Pro を設定する方法について説明します。

## SCEP 用 Connector の Jamf Pro を設定する
<a name="connector-for-scep-jamf-pro"></a>

このガイドでは、 Connector for SCEP で使用するように Jamf Pro を設定する方法について説明します。Jamf Pro と Connector for SCEP を正常に設定すると、マネージドデバイスに証明書を発行 AWS Private CA できるようになります。

### Jamf Pro の要件
<a name="connector-for-scep-jamf-pro-requirements"></a>

Jamf Pro の実装は、次の要件を満たしている必要があります。
+ Jamf Pro で**証明書ベースの認証を有効にする**設定を有効にする必要があります。この設定の詳細については、Jamf Pro ドキュメントの Jamf Pro [セキュリティ設定](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/Security_Settings.html)ページを参照してください。

### ステップ 1: (オプション - 推奨) プライベート CA のフィンガープリントを取得する
<a name="connector-for-scep-jamf-pro-ca-fingerprint"></a>

フィンガープリントはプライベート CA の一意の識別子であり、他のシステムやアプリケーションとの信頼を確立するときに CA のアイデンティティを検証するために使用できます。認証機関 (CA) フィンガープリントを組み込むことで、マネージドデバイスは接続先の CA を認証し、予想される CA からのみ証明書をリクエストできます。Jamf Pro で CA フィンガープリントを使用することをお勧めします。

**プライベート CA のフィンガープリントを生成するには**

1.  AWS Private CA コンソールから、または [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html) を使用して、プライベート CA 証明書を取得します。`ca.pem` ファイルとして保存します。

1. [OpenSSL コマンドラインユーティリティ](https://wiki.openssl.org/index.php/Command_Line_Utilities)をインストールします。

1. OpenSSL で、次のコマンドを実行してフィンガープリントを生成します。

   ```
   openssl x509 -in ca.pem -sha256 -fingerprint
   ```

### ステップ 2: Jamf Pro で外部 CA AWS Private CA として を設定する
<a name="connector-for-scep-jamf-pro-configure-pca"></a>

SCEP 用のコネクタを作成したら、 を Jamf Pro の外部認証機関 (CA) AWS Private CA として設定する必要があります。をグローバルの外部 CA AWS Private CA として設定できます。または、Jamf Pro 設定プロファイルを使用して、組織内のデバイスのサブセットに証明書を発行するなど、ユースケースごとに AWS Private CA から異なる証明書を発行することもできます。Jamf Pro 設定プロファイルの実装に関するガイダンスは、このドキュメントの範囲外です。

**Jamf Pro で外部認証機関 (CA) AWS Private CA として を設定するには**

1. Jamf Pro コンソールで、設定 > **グローバル** > **PKI 証明書**に移動して**、PKI 証明書****の設定**ページに移動します。

1. **管理証明書テンプレート**タブを選択します。

1. **外部 CA** を選択します。

1. **[Edit]** (編集) を選択します。

1. (オプション) **設定プロファイルの SCEP プロキシとして Jamf Pro を有効にする**を選択します。Jamf Pro 設定プロファイルを使用して、特定のユースケースに合わせた異なる証明書を発行できます。Jamf Pro で設定プロファイルを使用する方法のガイダンスについては、[Jamf Pro ドキュメントの「Jamf Pro を設定プロファイルの SCEP プロキシとして有効にする](https://learn.jamf.com/en-US/bundle/technical-paper-scep-proxy-current/page/Enabling_as_SCEP_Proxy_for_Configuration_Profiles.html#ariaid-title2)」を参照してください。

1. **コンピュータとモバイルデバイスの登録に SCEP 対応の外部 CA を使用する** を選択します。

1. (オプション) **コンピュータとモバイルデバイスの登録に SCEP プロキシとして Jamf Pro を使用する**を選択します。プロファイルのインストールに障害が発生した場合は、「」を参照してください[プロファイルのインストール失敗のトラブルシューティング](#connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot)。

1. Connector for SCEP **SCEP URL** をコネクタの詳細から Jamf Pro の **URL** フィールドにコピーして貼り付けます。コネクタの詳細を表示するには、Connectors [for SCEP リストからコネクタ](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)を選択します。または、[GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) を呼び出して URL を取得し、レスポンスから`Endpoint`値をコピーすることもできます。

1. (オプション) Name ****フィールドにインスタンスの名前を入力します。たとえば、 という名前を付けることができます**AWS Private CA**。

1. チャレンジタイプの**静的** を選択します。

1. コネクタからチャレンジパスワードをコピーし、**チャレンジ**フィールドに貼り付けます。コネクタは、複数のチャレンジパスワードを持つことができます。コネクタのチャレンジパスワードを表示するには、 AWS コンソールでコネクタの詳細ページに移動し、**パスワードの表示**ボタンを選択します。または、[GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html) を呼び出してコネクタのチャレンジパスワード (複数可) を取得し、レスポンスから`Password`値をコピーすることもできます。チャレンジパスワードの使用の詳細については、「」を参照してください[Connector for SCEP の考慮事項と制限を理解する考慮事項と制限事項](c4scep-considerations-limitations.md)。

1. チャレンジパスワードを**チャレンジの検証**フィールドに貼り付けます。

1. **キーサイズ**を選択します。キーサイズは 2048 以上をお勧めします。

1. (オプション) **デジタル署名として使用する**を選択します。これを認証目的で選択して、Wi-Fi や VPN などのリソースへの安全なアクセスをデバイスに付与します。

1. (オプション) **キー暗号化に使用する**を選択します。

1. (オプション - 推奨) **フィンガープリント**フィールドに 16 進文字列を入力します。マネージドデバイスが CA を検証できるように CA フィンガープリントを追加し、CA からの証明書のみをリクエストすることをお勧めします。プライベート CA のフィンガープリントを生成する方法については、「」を参照してください[ステップ 1: (オプション - 推奨) プライベート CA のフィンガープリントを取得する](#connector-for-scep-jamf-pro-ca-fingerprint)。

1. **[保存]** を選択します。

### ステップ 3: 設定プロファイル署名証明書を設定する
<a name="connector-for-scep-jamf-pro-signing-cert"></a>

Connector for SCEP で Jamf Pro を使用するには、コネクタに関連付けられているプライベート CA の署名証明書と CA 証明書を指定する必要があります。これを行うには、両方の証明書を含むプロファイル署名証明書キーストアを Jamf Pro にアップロードします。

証明書キーストアを作成して Jamf Pro にアップロードする手順は次のとおりです。
+ 内部プロセスを使用して証明書署名リクエスト (CSR) を生成します。
+ コネクタに関連付けられたプライベート CA によって署名された CSR を取得します。
+ プロファイル署名と CA 証明書の両方を含むプロファイル署名証明書キーストアを作成します。
+ 証明書キーストアを Jamf Pro にアップロードします。

これらのステップに従うことで、デバイスがプライベート CA によって署名された設定プロファイルを検証および認証し、Jamf Pro で Connector for SCEP を使用できるようになります。

1. 次の例では OpenSSL と を使用していますが AWS Certificate Manager、任意の方法を使用して証明書署名リクエストを生成できます。

------
#### [ AWS Certificate Manager console ]

**ACM コンソールを使用してプロファイル署名証明書を作成するには**

   1. ACM を使用して[プライベート PKI 証明書をリクエスト]()します。以下を含めます。
      + **タイプ** - MDM システムの SCEP 認証機関として機能するのと同じプライベート CA タイプを使用します。
      + **認証機関の詳細**セクションで、**認証機関**メニューを選択し、Jamf Pro の CA として機能するプライベート CA を選択します。
      + **ドメイン名** - 証明書に埋め込むドメイン名を指定します。などの完全修飾ドメイン名 (FQDN)`www.example.com`、または `example.com` ( を除く) などのベアドメイン名または apex ドメイン名を使用できます`www.`。

   1. ACM を使用して、前のステップで作成した[プライベート証明書をエクスポートします](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。証明書、証明書チェーン、および暗号化されたキーの**ファイルをエクスポート**を選択します。次のステップで必要になるため、**パスフレーズ**は手元に置いてください。

   1. ターミナルで、エクスポートされたファイルを含むフォルダで次のコマンドを実行して、前のステップで作成したパスフレーズでエンコードされた`output.p12`ファイルに PKCS\$112 バンドルを書き込みます。

      ```
      openssl pkcs12 -export \
        -in "Exported Certificate.txt" \
        -certfile "Certificate Chain.txt" \
        -inkey "Exported Certificate Private Key.txt" \
        -name example \
        -out output.p12 \
        -passin pass:your-passphrase \
        -passout pass:your-passphrase
      ```

------
#### [ AWS Certificate Manager CLI ]

**ACM CLI を使用してプロファイル署名証明書を作成するには**
   + 次のコマンドは、ACM で証明書を作成し、ファイルを PKCS\$112 バンドルとしてエクスポートする方法を示しています。

     ```
     PCA=<Enter your Private CA ARN>
     
     CERTIFICATE=$(aws acm request-certificate \
         --certificate-authority-arn $PCA \
         --domain-name <any valid domain name, such as test.name> \
         | jq -r '.CertificateArn')
     
     while [[ $(aws acm describe-certificate \
       --certificate-arn $CERTIFICATE \
       | jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
       
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.Certificate' > Certificate.pem
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
       
     openssl pkcs12 -export \
       -in "Certificate.pem" \
       -certfile "CertificateChain.pem" \
       -inkey "PrivateKey.pem" \
       -name example \
       -out output.p12 \
       -passin pass:passphrase \
       -passout pass:passphrase
     ```

------
#### [ OpenSSL CLI ]

**OpenSSL CLI を使用してプロファイル署名証明書を作成するには**

   1. OpenSSL を使用して、次のコマンドを実行してプライベートキーを生成します。

      ```
      openssl genrsa -out local.key 2048
      ```

   1. 証明書署名リクエスト (CSR) を生成します。

      ```
      openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation
      ```

   1. を使用して AWS CLI、前のステップで生成した CSR を使用して署名証明書を発行します。次のコマンドを実行し、レスポンスに証明書 ARN を書き留めます。

      ```
      aws acm-pca issue-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS
      ```

   1. 次のコマンドを実行して、署名証明書を取得します。前のステップの証明書 ARN を指定します。

      ```
      aws acm-pca get-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --certificate-arn <ARN OF NEW CERTIFICATE> | jq -r '.Certificate' >local.crt
      ```

   1. 次のコマンドを実行して CA 証明書を取得します。

      ```
      aws acm-pca get-certificate-authority-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> | jq -r '.Certificate' > ca.crt
      ```

   1. OpenSSL を使用して、署名証明書キーストアを p12 形式で出力します。ステップ 4 と 5 で生成した CRT ファイルを使用します。

      ```
      openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12
      ```

   1. プロンプトが表示されたら、エクスポートパスワードを入力します。このパスワードは、Jamf Pro に提供するキーストアパスワードです。

------

1. Jamf Pro で、**管理証明書テンプレート**に移動し、**外部 CA** ペインに移動します。

1. **外部 CA** ペインの下部で、**変更署名と CA 証明書**を選択します。

1. 画面の指示に従って、外部 CA の署名証明書と CA 証明書をアップロードします。

### ステップ 4: (オプション) ユーザー主導の登録中に証明書をインストールする
<a name="connector-for-scep-jamf-pro-user-initiated-enrollment"></a>

クライアントデバイスとプライベート CA 間の信頼を確立するには、デバイスが Jamf Pro によって発行された証明書を信頼していることを確認する必要があります。Jamf Pro の[ユーザー主導登録設定](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/User-Initiated_Enrollment_Settings.html#:~:text=In%20Jamf%20Pro%2C%20click%20Settings,to%20be%20used%20during%20enrollment.)を使用して、登録プロセス中に証明書をリクエストするときに、 AWS Private CAの CA 証明書をクライアントデバイスに自動インストールできます。

### プロファイルのインストール失敗のトラブルシューティング
<a name="connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot"></a>

**コンピュータおよびモバイルデバイスの登録に SCEP Proxy として Jamf Pro を使用する**を有効にした後にプロファイルのインストールに失敗する場合は、デバイスログを参照して、以下を試してください。


| デバイスログのエラーメッセージ | 緩和策 | 
| --- |--- |
| `Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:15001>` | 登録中にこのエラーメッセージが表示された場合は、登録を再試行してください。登録が成功するまでに数回の試行が必要になる場合があります。 | 
| `Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:14006>` | チャレンジパスワードの設定が間違っている可能性があります。Jamf Pro のチャレンジパスワードがコネクタのチャレンジパスワードと一致していることを確認します。 |