SSL 署名証明書:有効期間と更新

署名証明書の概要

デジタル署名証明書は、サーバからクライアントに送信される情報が、信頼されたソースによって検証済みであることを示すのに使用されます。証明書を発行する認証局は、該当ビジネス主体と該当ドメインの所有権を検証し、対象のサイトが正規のものであることを確認しています。AirWatch では管理者がプロファイルに署名証明書を適用することができますが、そうすることで、上記と同じ手法により、デバイスに配布されるプロファイルが正規の配布元からのものであることを保証できるようになります。 


有効な SSL 証明書がプロファイルの署名に使用されていれば、エンド ユーザーは MDM プロファイルが信頼されたソースによって検証済みであることを、プロファイルのインストール時に確認できます (左下図)。有効期限切れなどの有効でない証明書が使用されている場合、そのプロファイルは「未検証」と表示されます。これは、クライアント側でプロファイルがサーバから直接送信されたかどうか確定できないことを示しています。証明書が使用されていない場合、そのプロファイルには単に「未署名」と表示されます。 

IosVerified.png   IosNotVerified.png

AirWatch の署名プロファイル 

AirWatch で iOS プロファイルに署名を施すには、有効な SSL 証明書をコンソールにアップロードする必要があります。必要に応じて、組織グループごとに個別の証明書を使用することもできます。証明書をアップロードするには、デバイス > 設定 > Apple > プロファイル と進み、プロファイルに署名 (サーバのSSL証明書が必要) チェック ボックスを選択します。これにより、証明書のアップロードを求めるメッセージが表示されます。証明書をアップロードすると、AirWatch コンソールに証明書のサムプリント (拇印)、有効期間、発行元、発行先などの情報が表示されます。 

 

すべてのプロファイルに適用するために、この操作は通常、最上位の組織グループで行います。

 AppleProfiles.png

 

証明書の設定が完了すれば、MDM プロファイルを含むすべての iOS プロファイルは、デバイスへのプッシュ時に署名と検証が行われます。プロファイルのインストール/アップデートの際、「検証済み」と表示されていれば、そのインストール要求が信頼されたソースから発行されたものであることがわかります。 

有効期間 

通常、SSL 証明書の有効期間は 1 ~ 5 年です。この期間内であれば、すべてのプロファイルはインストール時に「検証済み」と表示されます。また、すでにデバイスにインストール済みのプロファイルも、その署名証明書が使用されていれば引き続き「検証済み」と表示されます。証明書の有効期限が切れると、加入を含むプロファイルの新規インストールのすべてで、そのプロファイルは「未検証」と表示されます。さらに、その時点でデバイスにインストール済みのプロファイルについても「未検証」と表示されます。新規インストールでプロファイルが信頼されたソースから配布されたものであると認識させるには、新しい SSL 証明書または更新された SSL 証明書を AirWatch コンソールにアップロードする必要があります。

 

AirWatch では、管理者コンソールにメッセージを表示して、有効期限が迫っていることをお知らせしています。 

 

 ExpiringCert.png

 

有効期限切れの影響 

証明書の有効期間が切れても、インストール済みのプロファイルの挙動に影響はありません。署名に使用された証明書が期限切れになったプロファイルでも、それ以前と同じように機能します。 

iOS デバイスでは、インストール済みプロファイルは、そのインストール時に使用された署名証明書と関連付けられているため、デバイスの設定画面で確認すると、そのプロファイルは「未検証」と表示されます。しかし、プロファイルがデバイスにインストールされた後は、そのプロファイルを更新してデバイスに配布しない限り、証明書がネットワーク トランザクションに影響を及ぼすことはありません。  

:SSL 署名証明書を更新しても、加入済みデバイス上のプロファイルには、最初のインストール時に使用された証明書が表示されます。そのため、その署名証明書を更新した後も、既存のプロファイルは「未検証」と表示されます。

さらに、AirWatch コンソールの以前のバージョンでは、ある署名証明書を使ってインストールされたプロファイルは、別の署名証明書を使ったプロファイルで更新することができないようになっています。つまり、すでにデバイスにプロファイルがインストールされている場合、コンソールで新しい SSL 証明書を設定すると、そのインストール済みプロファイルに対して変更を加えることはできなくなってしまいます。更新されたプロファイルをインストールしようとしても、署名が一致しないという警告が iOS デバイスに表示され、インストールに失敗します。このような場合には、まず古いプロファイルをデバイスから削除します。これにより、新しい署名証明書を使用した更新プロファイルをインストールできるようになります。

AirWatch のバージョン 6.3 では、データベースに格納されたプロファイル情報を使用して、すべてのプロファイルを正しい署名証明書とともにプッシュできるようにする機能が導入されます。この機能では、過去にアップロードされたすべての証明書がサーバに保存され、デバイスごとに、それぞれのプロファイルに署名するための正しい証明書が AirWatch コンソールによって自動的に決定されるようになります。これにより、署名証明書の更新を反映するとき、新しいプロファイルをプッシュする前に古いプロファイルを削除しなければならない、という制約はなくなります。

更新

貴社の証明書を更新する際は、ご利用の証明書発行機関による説明に従ってください。たとえば、GoDaddy で購入した SSL 証明書であれば、GoDaddy が提供する作業手順に従って、新しい証明書を入手してください。 

 

新しい証明書を入手したら、上図のページ (システム設定 > デバイス > iOS > プロファイル) から AirWatch にアップロードできます。 

  1. 証明書更新 ボタンをクリックします。
  2. 新しい証明書をアップロードします。  

免責事項:これは英文の記事「SSL Signing Certificates: Expiration & Renewal」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

0 Comments

Article is closed for comments.