Upgrade to Pro — share decks privately, control downloads, hide ads and more …

「ナンモワカラン」から「チョットワカル」へ!Private CA Connector for SCEPについて話します

Shun Tokuyama
June 18, 2024
Technology
0
220

「ナンモワカラン」から「チョットワカル」へ!Private CA Connector for SCEPについて話します

■参考URL
・CURRY HOUSE Babbulkund Instagramアカウント (P.2)
https://www.instagram.com/babbulkund/
・CURRY HOUSE Babbulkund Twitterアカウント (P.2)
https://twitter.com/babbulkund
・[速報] AWS Private CAでConnector for SCEPが利用できるようになりました(Preview)#AWSreInforce (P.5)
https://dev.classmethod.jp/articles/private-ca-connector-for-scep/
・How Connector for SCEP works(P.15-16)
https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-scep-how-it-works.html

Shun Tokuyama

June 18, 2024
Tweet

More Decks by Shun Tokuyama

See All by Shun Tokuyama
Dockleを使ってベストプラクティスに沿ったDockerfileを作ろう
tokushun
1
7.3k

Other Decks in Technology

See All in Technology
Cloud Nativeを支える要素技術・プロダクト・プラクティスの歩み / infrastudy-returns-01-amsy810
masayaaoyama
0
300
みんなで盛り上げ築くリレーション、日経の新卒エンジニア研修 #chiyoda_tech
nishiuma
1
130
10社以上のCTO/技術顧問を経験してみえた 技術組織に起こる課題と対策
otani_yuji
0
630
半年かけてPHP5.6からPHP7.4までバージョンアップした苦労と工夫 PHPカンファレンス福岡2024
kechiiin
1
140
私の推しサービス:Elastic Kubernetes Service(EKS)
daitak
1
180
AWS サポート直伝! AWS SAW を使ってトラブルシューティングを効率化しよう
furuton
0
110
iPaaS入門&自社サービスで利用してみた
ippei2480
0
140
AWS人材を育てる3つのステップ / Three Steps to Developing AWS Talent
cmhiranofumio
0
210
リモートワーク時代の守護神 PHP開発者のためのセキュリティ強化術
pyama86
1
660
エンジニアとして成長するための持続可能なアウトプット戦略 / Sustainable Output Strategy
iselegant
3
610
PostmanのAIアシスタント Postbot / Postman's AI Assistant Postbot
yokawasa
1
140
開発組織全員が自ら学んで成長していく組織づくり
nextbeatdev
6
3.5k

Featured

See All Featured
[RailsConf 2023] Rails as a piece of cake
palkan
31
4.2k
A Philosophy of Restraint
colly
198
16k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
34
9k
Templates, Plugins, & Blocks: Oh My! Creating the theme that thinks of everything
marktimemedia
22
1.8k
Rebuilding a faster, lazier Slack
samanthasiow
75
8.4k
Visualization
eitanlees
137
14k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
20
1.7k
Designing Experiences People Love
moore
136
23k
Code Reviewing Like a Champion
maltzj
516
39k
How to train your dragon (web standard)
notwaldorf
78
5.4k
Designing for humans not robots
tammielis
247
25k
Intergalactic Javascript Robots from Outer Space
tanoku
266
26k

Transcript

  1. 「ナンモワカラン」から「チョットワカル」へ! Private CA Connector for SCEPについて話します AWS 事業本部 コンサルティング部 トクヤマシュン

    1

  2. 2 トクヤマシュン • 所属:AWS事業本部コンサルティング部 • 役割:AWSソリューションアーキテクト • 好きなAWSサービス:AWS Fargate •

    副業 ◦ 兵庫県明石市でカレー屋をやっています ▪ CURRY HOUSE Babbulkund (カレーハウス バブルクンド) ▪ 土曜日のみ営業 ▪ @babbulkund   @babbulkund 自己紹介

  3. 3 アジェンダ 1. テーマ紹介 2. 要素技術について理解する 3. AWS Private CA

    Connector for SCEPについて理解する 4. マネジメントコンソールでの作成操作を確認する 5. おわりに

  4. 4 アジェンダ 1.テーマ紹介

  5. 5 本日のテーマ https://dev.classmethod.jp/articles/private-ca-connector-for-scep/

  6. 6 AWS Private CA Connector for SCEPとは? • SCEPを AWS

    Private CA で利用するためのコネクター ◦ これまでSCEPではAWS Private CAは使えなかった ▪ すでにAWS Private CAを利用していた場合でも、別途SCEP用のCAを 構築・運用する必要があった ▪ 今回のアップデートで管理対象のCAをAWS Private CAに集約して運 用負荷の軽減が可能に • Jamf ProやMicrosoft Intuneといった代表的な SCEP 対応 MDM(Mobile Device Management)ソリューションで利用可能 • 2024年6月現在プレビュー ◦ US-EAST-1でのみ利用可能

  7. 7 わ ...ァ ...ァ... 「ナンモワカラン」

  8. 8 気を取り直して 「チョットワカル」を目指す

  9. 9 2.要素技術について理解する アジェンダ

  10. 10 SCEPとは? • Simple Certificate Enrollment Protocol の略 • デジタル証明書管理を自動化するためのプロトコル

    ◦ RFC 8894で標準化 • ネットワークデバイスやモバイルデバイスで使われること が多い ◦ モバイルデバイスではMDM(Mobile Device Management)と組 み合わせて使われる

  11. 11 MDMと組み合わせたときのSCEPの動作の流れ SCEPを用いると証明書を自動配布できるため、管理が楽になる!

  12. 12 AWS Private CAとは? • AWS上に独自の認証機関 (CA) を構築するサービス ◦ AWSマネージドでPKIの運用管理が可能

    ◦ インターネット上ではなく、Privateな組織内でのみ信頼される ◦ ルート CA、下位 CAといった階層を作成可能 • 2 つの動作モード ◦ GENERAL PURPOSE ▪ 任意の有効期間を持つ証明書を発行可能。$400/月(※) ▪ AWS Private CA Connector for SCEPは汎用モードのみ対応 ◦ SHORT LIVED CERTIFICATE ▪ 最大 7 日間有効な証明書のみを発行可能。$50/月(※) • リージョナルリソース ◦ 複数リージョンでの使用には各リージョンで作成が必要 ※: 1 か月に満たない月は日割り精算

  13. 13 3.AWS Private CA Connector for SCEPについて理解する アジェンダ

  14. 14 AWS Private CA Connector for SCEP は2パターンある • 2パターンある

    ◦ General Purpose ▪ 汎用的なSCEPに対応 • Jamf Proなど、Microsoft Intune以外のMDMはこちらを選択 ▪ Challenge PasswordはAWS上で管理 ◦ For Microsoft Intune ▪ Microsoft Intuneに特化 ▪ Challenge PasswordはMicrosoft Intune上で管理 それぞれフローを確認します

  15. 15 General Purpose のフロー 出典:https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-scep-how-it-works.html AWSマネージドなSCEPサーバとして動作 SECPでの証明書管理にAWS Private CAを利用

  16. 16 For Microsoft Intune のフロー 出典:https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-scep-how-it-works.html ③と④が追加になった Challenge Passwordを Microsoft

    Intune側で認証

  17. 17 アジェンダ 4.マネジメントコンソールでの作成操作を確認する

  18. 18 ここからは 次のRe:Inforceでのセッション発表をもとに マネジメントコンソールでの作成操作を確認します。 (見にくくてスミマセン。。。) DAP201-NEW | [NEW LAUNCH] Secure

    and increase mobile workforce productivity with AWS for MDM

  19. 19 AWS Private CA の構築

  20. 20 AWS Private CA作成

  21. 21 AWS Private CA作成完了

  22. 22 ルートCA証明書のインストール

  23. 23 AWS Private CA アクティブ化完了

  24. 24 AWS Private CA Connector for SCEPの構築 (General Purpose)

  25. 25 AWS Private CA Connector for SCEP作成

  26. 26 AWS Private CA Connector for SCEP作成

  27. 27 AWS Private CA Connector for SCEP作成

  28. 28 AWS Private CA Connector for SCEP作成完了

  29. 29 以上で作成は完了

  30. 30 アジェンダ 5.おわりに

  31. 31 AWS Private CA Connector for SCEPとは?(再掲) • SCEPを AWS

    Private CA で利用するためのコネクター ◦ これまでSCEPではAWS Private CAは使えなかった ▪ すでにAWS Private CAを利用していた場合でも、別途SCEP用のCAを 構築・運用する必要があった ▪ 今回のアップデートで管理対象のCAをAWS Private CAに集約して運 用負荷の軽減が可能に • Jamf ProやMicrosoft Intuneといった代表的な SCEP 対応 MDM(Mobile Device Management)ソリューションで利用可能 • 2024年6月現在プレビュー ◦ US-EAST-1でのみ利用可能

  32. 32 みなさん 「チョットワカル」になれましたか?

  33. 33