Profile Manager SCEP 設定
この ペイロード を使用して、デバイスが SCEP(Simple Certificate Enrollment Protocol)を使用して認証局(CA)から証明書を取得することを許可する設定を指定できます。
参考: SCEP ペイロードは、すべての構成プロファイルに使用できます。詳しくは、プロファイルとペイロードについておよびペイロードのベストプラクティスを参照してください。
設定 | 説明 |
|---|---|
URL | SCEP サーバのアドレスを指定します。 |
名前 | 認証局で解釈される任意の文字列を指定します。インスタンスを区別するためなどに使用できます。 |
サブジェクト | OID および値の配列として表される X.500 名の表現。たとえば、/C=US/O=Apple Inc./CN=foo/1.2.5.3=bar は、次のように変換されます:[ [ [“C”, “US”] ], [ [“O”, “Apple Inc.”] ], ..., [ [ “1.2.5.3”, “bar” ] ] ] |
サブジェクト代替名のタイプ | SCEP サーバの代替名のタイプを指定します。タイプは、「RFC 822 名」、「DNS 名」、および「URI」(Uniform Resource Identifier)です。URL(Uniform Resource Locator)、URN(Uniform Resource Name)、またはその両方を指定できます。 |
NT プリンシパル名 | 証明書要求で使用されるプリンシパル名です。(オプション) |
再試行 | 署名済み証明書のために SCEP サーバへのポーリングを中断するまでの時間。 |
再試行間隔 | ポーリング試行間隔(秒数)。 |
チャレンジ | SCEP サーバが要求またはユーザを識別するために使用する事前共有シークレットです。 |
証明書の有効期限切れ通知のしきい値(OS X のみ) | 証明書の有効期限が切れる何日前から通知を表示し始めるかを指定します。 |
鍵のサイズと使用法 | 鍵のサイズを選択し、その下のチェックボックスで、受け入れ可能な鍵用途を選択します。 |
フィンガープリント | CA が HTTP を使用している場合は、このフィールドに CA の証明書の指紋(フィンガープリント)を入力します。これは、登録時に CA の応答の真正性を確認するためにデバイスで使用されます。SHA1 フィンガープリントまたは MD5 フィンガープリントを入力するか、証明書を選択してその署名を読み込むことができます。 |
をクリックすることで、SCEP 構成を追加できます。
変数
OS X では、SCEP の「サブジェクト」、「サブジェクト代替名」、および「NT プリンシパル名」フィールドに以下の変数を使用できます。これらの変数はインストール時にデバイス上で解決されるので、証明書登録要求を動的にカスタマイズできます。これらの変数と静的テキストを組み合わせて複合サブジェクトを作成することもできます(Mac.%ComputerName% など)。
変数 | 置き換わる情報 |
|---|---|
%AD_ComputerID% | Active Directory コンピュータ ID |
%AD_Domain% | Active Directory ドメイン |
%AD_DomainForestName% | Active Directory フォレスト名 |
%AD_DomainGuid% | Active Directory GUID |
%AD_DomainNameDNS% | Active Directory DNS 名 |
%AD_KerberosID% | Active Directory Kerberos ID |
%ComputerName% | 「システム環境設定」>「共有」で設定されているコンピュータの名前 |
%HardwareUUID% | コンピュータの一意識別子 |
%HostName% | コンピュータの DNS 名(例:mac1.example.com) |
%LocalHostName% | コンピュータのローカルネットワーク名(例:Mac1.local) |
%MACAddress% | コンピュータの Ethernet(en0)MAC アドレス |
%SerialNumber% | コンピュータのシリアル番号 |