AAGNT-182165: Android Agent 8.0 での証明書失効の問題

対象バージョン

Android Agent 8.0

 

ID

AAGNT-182165

 

経緯

Android 向け AirWatch Agent 8.0 のリリース以前は、ユーザーが Android デバイス上の証明書を手動で削除した場合、この証明書の削除を AirWatch コンソールに伝達する手段が存在しませんでした。そのため、その証明書が自動的に失効/再発行されることはありませんでした。この問題に対処するため、Android 向け AirWatch Agent 8.0 では、証明書が削除された/見つからないことを報告し、その証明書を失効させるための、新しいフラグが「プレースホルダ証明書」の形で導入されました。

しかし、Android 向け AirWatch Agent 8.0 のリリース後、デバイス上のキーストアのチェックに問題があり、インストール済み証明書を正しく検出できていないことが判明しました。結果として、上記のプレースホルダ証明書フラグが送信され、その証明書が失効してしまうという問題が生じていました。

この時点では次のバグ修正が施されました。

  • Samsung ELM Service 4.0 でのバグ修正:Samsung Knox に加入していないデバイスでの証明書検出の問題を修正。
  • Android 向け AirWatch Agent 8.0 でのバグ修正:証明書のインストール先が Knox コンテナの中か外かを判定するために「TIMA キーストアを有効にする」フラグを参照するように変更。

しかし、TIMA キーストアを有効にする チェック ボックスがオフの場合、証明書は検出されません。その結果、プレースホルダ証明書フラグが報告され、証明書は失効してしまいます。

さらに、デバイスを再起動した場合、ユーザーがデバイスのロックを解除するまで Android のセキュリティ機構により AirWatch Agent が資格情報ストレージにアクセスできず、証明書を検出できないことも判明しました。結果として、プレースホルダ証明書フラグが報告され、証明書は失効してしまいます。

 

対処方法

「TIMA キーストアを有効にする」チェック ボックスをオンにしていない場合

コンテナ プロファイルの 資格情報 ペイロードで TIMA キーストアを有効にする チェック ボックスをオンにして、プロファイルを公開し直してください。これにより、証明書がデバイスに再発行されます。証明書が失効する前にこの操作を行えば、デバイス ユーザーが証明書ベースのサービス (E メール、VPN など) を利用するうえで問題が生じることはありません。 

 

お客様へのお知らせ

VMware AirWatch では Android 向け AirWatch Agent の次回メジャー バージョンで次の変更を加える予定です。

  • コンテナ証明書が常に正しく検出されるよう、サーバへの証明書の報告時に「TIMA キーストアを有効にする」の設定を参照しません。
  • 正しくないデータが報告されるのを避けるために、再起動後にデバイスがロックされた状態では証明書サンプルを送信しません。証明書サンプルは、ユーザーがデバイスのロックを解除するまで送信されません。

注:Agent 8.0+ へのアップグレードに先立ち、Samsung ELM Service を 4.0+ にアップグレードしておく必要があります。 

 

修正バージョン

解決に向けて現在、弊社製品チームがこの問題に取り組んでいます。

免責事項:これは英文の記事「AAGNT-182165: Agent 8.0 Certificate Revocation Issues」の日本語訳です。記事はベストエフォートで翻訳を進めているため、ローカライズ化コンテンツは最新情報ではない可能性があります。最新情報は英語版の記事で参照してください。

Have more questions? Submit a request

1 Comments

Please sign in to leave a comment.