Upgrade to Pro — share decks privately, control downloads, hide ads and more …

SCEPman Community Edtionと証明書関連の設定/SCEPman_Commu...

SCEPman Community Edtionと証明書関連の設定/SCEPman_Community_Edtion_and_certificate-related_settings

MyHomeNWLab

May 15, 2024
Tweet

More Decks by MyHomeNWLab

Other Decks in Technology

Transcript

  1. SCEPmanについて • SCEPmanは証明書の発行や管理を行うためのソリューションです。 • MDM (Mobile Device Management)と連携してデバイスにクライア ント証明書を配布できます。 •

    AzureやMicrosoft 365の利用者をターゲットにしており、Azure上に SCEPmanをデプロイして利用します。そのため、同じMicrosoft製品で MDMであるIntuneとは相性が良いです。
  2. 本資料の対象範囲 • 本資料の対象範囲を整理します。 製品 設定値 対象範囲 SCEPman • SCEPmanのデプロイと各種設定 本資料の対象

    Intune • 証明書の信頼設定 • 端末への証明書の配布 • EAP-TLSの設定 本資料の対象 認証サーバー (例: Cisco ISE) • Network Access Device (NAD) スコープ外 (Out of Scope) • Trusted Certificate 本資料の対象 WLC (例: Catalyst 9800) • RADIUS • Authentication Method • WLAN (Layer2, AAA) スコープ外 (Out of Scope)
  3. 設定要素の図解 WLC (Catalyst 9800) 無線AP (Catalyst 9100) 無線LAN端末 認証局 /

    CA (SCEPman) 認証サーバー (Cisco ISE) CA Root Certificate EAP Authentication Certificate 【設定の概要】 • 証明書の信頼設定 信頼: CA Root Certificate 信頼: EAP Authentication Certificate • 端末への証明書の配布 Device Certificate, User Certificate • EAP-TLSの設定 【設定の概要】 ※スコープ外 • RADIUS • Authentication Method • WLAN (Layer2, AAA) 【設定の概要】 • Network Access Device (NAD) ※スコープ外 • Trusted Certificate ※スコープ内 信頼: CA Root Certificate Device Certificate User Certificate 無線LAN端末へ証明書の発行 RADIUS EAP-TLS 証明書の信頼 (取り込み) 証明書の信頼 (取り込み) 【設定の概要】 • SCEPmanのデプロイと各種設定 Intune
  4. 作業概要 1. SCEPman Community Edition (CE)のデプロイ 2. (任意) Certificate Masterへのアクセス

    3. Intuneの事前設定と各種設定の整理 4. SCEPmanのRoot Certificateのダウンロード 5. SCEPmanのRoot Certificateの配布 6. Device/User Certificateの設定の注意点 7. Device Certificateの配布 8. User Certificateの配布 9. Intuneによる設定の手動更新 10. 端末で証明書配布状況の確認 11. Cisco ISEのEAP用CertificateのExport 12. IntuneによるCisco ISEのEAP用Certificateの配布 13. Intuneによる端末へのEAP-TLS設定の配布 14. SCEPman関連設定の後始末 15. SCEPmanのデプロイし直し 16. 最後の補足
  5. SCEPman Community Editionのデプロイ • Azure PortalのMarketplaceより 「SCEPman – Certificates Simplified

    (Deployment)」 をデプロイします。 • 似たようなものがいくつかあるので注意して選択してください。
  6. Create SCEPman – Certificates Simplified (Deployment) • Basics タブ 設定項目

    設定値 備考 Subscription 任意 Resource Group 例: rg-scepman-YYYYMMDD-hhmm 同じ名称で短時間に作成/削除を繰り返すと、 Key Vaultの生成でエラーが出る可能性が あります。詳細は後述します。 Region 例: Japan East Organization Name 例: Personal SCEPmanのRoot Certificateにおいて 「O=」フィールドの設定値に利用されます。 License Key ※Community Editionでは入力不要です。 Update Channel Production Channel
  7. 補足: SCEPmanにおけるResource GroupとKey Vault • まず前提情報ですが、Key Vault名はグローバルで一意にする必要があります。 • SCEPmanで利用されるKey Vault名の一部には「Resource

    Group ID」のハッ シュが含まれています。 • そして「Resource Group ID」には下記の要素で構成されています。 • 以上の情報より、組織内で「同じSubscription」を用いて、「同じResource Group Name」で作成と削除を短時間に行うと、前回分のKey Vaultのリソースの 解放が間に合わずに重複していまいエラーが出る可能性があります。 Resource Group ID = {Subscription ID}/resourceGroups/{Resource Group Name} "keyVaultName": "[concat('kv-scepman-',uniquestring(resourceGroup().id))]",
  8. SCEPmanのApp Servicesへの移動 • SCEPmanのWeb UIにアクセスして、PowerShellのCmdletを実行す る必要があります。 • App Serviceには「SCEPman」と「Certificate Master

    (略称: CertMaster」の2種類があり、設定上の名称が似通っているため作業 対象を意識します。 Name 役割 app-scepman-cm-<文字列> Certificate Master (略称: CertMaster) app-scepman-<文字列> SCEPman -cm の有無が違いです。
  9. PowerShellでCmdletの実行 • Azure Cloud Shellで「PowerShell」に切り替えて、「app- scepman-<文字列>」のFinalize Setupに記載されているCmdletを 実行します。 Install-Module SCEPman

    -Scope CurrentUser –Force Complete-SCEPmanInstallation -SCEPmanAppServiceName 'app-scepman-####' -SearchAllSubscriptions 6>&1 先ほどデプロイしたSCEPmanのApp Serviceの名称に紐付きます。 接尾辞が付与されており、文字列が環境によって変わります。 検証用途で何度でも作成しなおす場合は、本コマンドを流用できません。 Parameter 説明 SCEPmanAppServiceName The name of the existing SCEPman App Service. Leave empty to get prompted. 「Complete-SCEPmanInstallation.ps1」のコードよりParameterの情報
  10. (任意) Certificate Masterへのアクセス • Certificate Master (略称: CertMaster)の管理画面はアクセス 制御されているため、Enterprise applicationsで許可設定が必要

    です。 • Community EditionではCertMasterで利用できる機能が実質的 にないため、基本的に不要の設定になります。 • しかしながら検証目的であれば、管理画面がどのようになっているかは把 握しておいた方が良いので設定方法を記載します。
  11. Intuneの各種設定の整理 • メニュー: Devices > Policy セクション > Configuration profiles

    からIntuneの各種 設定を行います。 • 下記に設定対象を整理します。まずはSCEPmanに関わる設定です。 • 次にCisco ISEと無線LAN端末に関わる設定です。 用途 設定種別 (Template name) 設定名 Root Certificateの配布 Trusted certificate Trusted_certificate_SCEPman_Root_Cert Device Certificateの配布 SCEP certificate SCEP_certificate_SCEPman_Device_Cert User Certificateの配布 SCEP certificate SCEP_certificate_SCEPman_User_Cert 用途 設定種別 (Template name) 設定名 Cisco ISEのEAP用Certificateの配布 Trusted certificate Trusted_certificate_ISE_EAP_Auth_Cert EAP-TLSの設定配布 Wi-Fi Wi-Fi_EAP-TLS
  12. SCEPmanのRoot Certificateの配布 • Configuration Profileを下記の設定内容で作成します。 • Basics タブでは対象設定に命名します。 設定項目 設定値

    備考 Platform Windows 10 and later Profile type Templates Template name Trusted certificate 似たような手順を何度か繰り返しますが、 Template nameの種別が異なるので意識して指定してください。 設定項目 設定値 備考 Name Trusted_certificate_SCEPman_Root_Cert
  13. SCEPmanのRoot Certificateのアップロード • Configuration settings タブでSCEPmanのRoot Certificateを アップロードします。 設定項目 設定値

    備考 Certificate file ファイル名: scepman-root.cer 拡張子が「.cer」もしくは「.crt」の必要があります。 Destination store Compute certificate store - Root デフォルト値のままです。
  14. Device Certificateの配布 • Configuration Profileを下記の設定内容で作成します。 • Basics タブでは対象設定に命名します。 設定項目 設定値

    備考 Platform Windows 10 and later Profile type Templates Template name SCEP certificate 似たような手順を何度か繰り返しますが、 Template nameの種別が異なるので意識して指定してください。 設定項目 設定値 備考 Name SCEP_certificate_SCEPman_Device_Cert Device Certificateの設定であるのを 分かりやすくします。 Device Certificate固有
  15. Device Certificateの配布の設定情報 (1/3) • Configuration settings タブの設定の設定画面は縦に長いため、複数のス ライドに渡って順に記載します。 • 設定情報は続きます。

    設定項目 設定値 備考 Certificate type Device Subject name format CN={{AAD_Device_ID}} Device を選択時のデフォルト値です。 次のスライドで設定理由を補足します。 Subject alternative name Attribute Value URI IntuneDeviceId://{{DeviceId}} Device CertificateとUser Certificateで 設定内容が異なる箇所です。(本表の設定) Device Certificate固有
  16. 備考: Subject name formatの指定方法 • 「Subject name format」は下記のドキュメントの情報を参考にして「{{DeviceId}}」による指 定を避けました。 •

    Use SCEP certificate profiles with Microsoft Intune | Microsoft Learn • URL: https://learn.microsoft.com/en-us/mem/intune/protect/certificates- profile-scep • 原文 • Note • Avoid using {{DeviceId}} for subject name on Windows devices. In certain instances, certificate generated with this subject name causes sync with Intune to fail. • 日本語訳 ※日本語ページより • 注意 • Windows デバイスでサブジェクト名に {{DeviceId}} を使用しないでください。 特定のイ ンスタンスでは、このサブジェクト名で生成された証明書によって Intune との同期が失敗しま す。
  17. Device Certificateの配布の設定情報 (2/3) • Configuration settings タブの設定の続きです。 • 設定情報はさらに続きます。 設定項目

    設定値 備考 Key storage provider (KSP) Enroll to Trusted Platform Module (TPM) KSP, otherwise fail 文字列が長いので、検索して一致するも のを選択するのが確実です。 Key usage Digital signature Key encipherment Key size (bits) 2048 Hash algorithm SHA-2 Root Certificate Trusted_certificate_SCEPman_Root_Cert SCEPmanのRoot Certificateの設定 を指定します。 後述のUser Certificateも同様の設定を行います。 Device/User Certificateで共通
  18. Device Certificateの配布の設定情報 (3/3) • Configuration settings タブの設定の続きです。 設定項目 設定値 Extended

    key use Name Object Identifier Value Client Authentication 1.3.6.1.5.5.7.3.2 設定項目 設定値 SCEP Server URLs https://app-scepman-####.azurewebsites.net/certsrv/mscep/mscep.dll App ServiceのSCEPmanより「Intune MDM」のURLを張り付けます。 環境依存情報になります。 Device/User Certificateで共通
  19. User Certificateの配布 • Configuration Profileを下記の設定内容で作成します。 • Basics タブでは対象設定に命名します。 設定項目 設定値

    備考 Platform Windows 10 and later Profile type Templates Template name SCEP certificate 似たような手順を何度か繰り返しますが、 Template nameの種別が異なるので意識して指定してください。 設定項目 設定値 備考 Name SCEP_certificate_SCEPman_User_Cert User Certificateの設定であるのを分 かりやすくします。 User Certificate固有
  20. User Certificateの配布の設定情報 (1/3) • Configuration settings タブの設定の設定画面は縦に長いため、複数のス ライドに渡って順に記載します。 • 設定情報は続きます。

    設定項目 設定値 備考 Certificate type User Subject name format CN={{UserName}},E={{EmailAddress}} User を選択時のデフォルト値です。 Subject alternative name Attribute Value User principal name (UPN) {{UserPrincipalName}} Device CertificateとUser Certificateで 設定内容が異なる箇所です。(本表の設定) User Certificate固有
  21. User Certificateの配布の設定情報 (2/3) • Configuration settings タブの設定の続きです。 • 設定情報はさらに続きます。 設定項目

    設定値 備考 Key storage provider (KSP) Enroll to Trusted Platform Module (TPM) KSP, otherwise fail 文字列が長いので、検索して一致するも のを選択するのが確実です。 Key usage Digital signature Key encipherment Key size (bits) 2048 Hash algorithm SHA-2 Root Certificate Trusted_certificate_SCEPman_Root_Cert SCEPmanのRoot Certificateの設定 を指定します。 前述のDevice Certificateの設定と同じ内容です。 Device/User Certificateで共通
  22. User Certificateの配布の設定情報 (3/3) • Configuration settings タブの設定の続きです。 設定項目 設定値 Extended

    key use Name Object Identifier Value Client Authentication 1.3.6.1.5.5.7.3.2 設定項目 設定値 SCEP Server URLs https://app-scepman-####.azurewebsites.net/certsrv/mscep/mscep.dll App ServiceのSCEPmanより「Intune MDM」のURLを張り付けます。 環境依存情報になります。 Device/User Certificateで共通
  23. Intuneによる設定の手動更新 • 端末側で設定を手動更新で同期する手順です。 • 下記はWindows 11 Proの「英語環境」の例です。 1. Settings より

    Accounts の Access work or school に移動します。 2. Accountの情報を展開して Managed by Personal の Info ボタンを押下 します。 3. Sync ボタンを押下して同期します。
  24. 証明書の確認に必要な情報の整理 • 端末側で証明書の情報を確認するにあたり、識別するための要素を整 理します。 証明書の分類 設定値 例 SCEPmanのRoot Certificate -

    CN = SCEPman-Root-CA-V1 O = YourCorp Device Certificate • 設定値によって変わります。 • 本例: CN={{AAD_Device_ID}} ➢ CN = <Microsoft Entra Device ID> • 別選択肢: CN={{DeviceId}} ➢ CN = <Intune Device ID> 次のスライドで該当IDの確認方法を掲 載します。 User Certificate CN={{UserName}},E={{EmailAddress}} CN = alice E = alice@lab.test
  25. ID ←→ 設定項目 Intune Device ID ←→ {{DeviceId}} Microsoft Entra

    Device ID ←→ {{AAD_Device_ID}} 証明書の確認に必要な情報の整理
  26. User Certificateの確認 ID ←→ 設定項目 Intune Device ID ←→ {{DeviceId}}

    Microsoft Entra Device ID ←→ {{AAD_Device_ID}} 本例では「CN={{UserName}},E={{EmailAddress}}」を指定しているため、 「CN = alice」「E = alice@lab.test」のような値が入ります。
  27. Cisco ISEのEAP用Certificate • Cisco ISEがEAP Authenticationで利用する証明書があり、EAP-TLSを利用 する場合は接続端末にその証明書の信頼設定を行う必要があります。 • EAP-TLSで用いられる証明書は大きく分けて2つの観点があります。 1.

    「接続端末」の真正性を証明するもの。 • 「接続端末」が「認証サーバー (Cisco ISE)」に提示する証明書 2. 「認証サーバー (Cisco ISE)」の真正性を証明するもの。 • 「認証サーバー (Cisco ISE)」が「接続端末」に提示する証明書 本セクションはこの「2」を扱います。
  28. EAP用証明書のExportの手順 • Cisco ISEのWeb UIからメニューの「Administration > System > Certificates」に移動して「Certificate Management」セクションの

    「System Certificates」を開きます。 • 「Used By」に「EAP Authentication」がある証明書を選択して「Export」 ボタンを押下し、「Export Certificate Only」で出力します。 • 証明書ファイルの拡張子を「.cer」もしくは「.crt」にリネームします。デフォルト の「.pem」のままだとIntuneの設定画面で取り込む際にエラーが出るためです。
  29. Wi-Fiの設定情報 (1/2) • Configuration settings タブの設定の設定画面は縦に長いため、複数のス ライドに渡って順に記載します。 • 設定情報は続きます。 設定項目

    設定値 備考 Wi-Fi Type Enterprise Wi-Fi name (SSID) 例: Your_SSID 環境に応じた値を設定します。 Connection name 例: Your_SSID 環境に応じた値を設定します。 Authentication Method 下記から用途に応じて指定します。 • User • Machine • User or machine 筆者はUserを選んでいます。
  30. Wi-Fiの設定情報 (2/2) • Configuration settings タブの設定の続きです。 設定項目 設定値 備考 EAP-Type

    EAP-TLS Certificate server names 例: ise01.lab.test Cisco ISEのHostname (FQDN)を指定します。 Root certificates for server validation Trusted_certificate_ISE_EAP_Auth_Cert 事前に設定したCisco ISEのEAP用Certificateを指定 します。 Client Authentication SCEP certificate Client certificate for client authentication (Identity certificate) SCEP_certificate_SCEPman_User_Cert もしくは SCEP_certificate_SCEPman_Device_Cert 用途に応じてDevice/User Certificateのどちらか を選びます。 筆者はUser Certificateを指定しています。
  31. SCEPmanのデプロイし直し作業の概要 • Intune • SCEPmanのRoot Certificate • SCEPmanのRoot Certificateファイルのアップロード •

    Device Certificate • SCEP URL Server URLの書き換え • User Certificate • SCEP URL Server URLの書き換え • Cisco ISE • Trusted Certificate • 新規EAP Authentication Certificateの追加 • 既存EAP Authentication Certificateの削除
  32. Cisco ISEのTrusted Certificateの再設定 • Cisco ISEにはSECPmanのRoot Certificateの信頼設定を行ってい るため、再デプロイに伴って古い証明書から新しい証明書に入れ替える必 要があります。 •

    古い証明書の認証設定が使われてる可能性もあるので、先に新しい証 明書を入れてから古い証明書を削除します。 • 同じ名称で証明書を取り込もうとすると、名称重複になるため年月日 (YYYYMMDD)などを接尾辞に付与してください。