MobileIronとSecureW2でSCEP連携させる方法
モバイル端末にSCEPを活用してデバイス証明書を配布できるようにしたのでメモっておきます。
使用している製品はMobileIronとSecureW2。
Jamfとかはそれなりに記事があるんですがMobileIronはあんまりないので、MobileIronだけにスコープしています。
Jamfはまぁこの辺でも見て頂ければー。
概要
大まかな流れは以下の通り。
AWSでコネクタを構築する
SecureW2で認証局などを構築する
MobileIronで連携する
コネクタはオンプレでも構築出来ますが、EC2インスタンスで構築するの簡単すぎるのでこだわりがないならAWSおすすめです。
普通にやろうとしてもうまく行かないでヤンス
実はMobileIron、SCEP自体は特にコネクタなしでも出来そうなんですよね。
PCだけじゃないだろ!お前はもっとできる子だろ!ってIvantiに問い合わせたらコネクタ作ればAndroidも出来ると思うで〜って回答来ました。そうだろう、わかってたし。
AWSでコネクタを構築する
公式ドキュメントはこちら。
ぱっと見で理解できなかったのでよく読んだんですが、要するにAWSだと既にコネクタ用のAMIがあるのでそれを使えばいいらしいです。
マニュアル内ではmobileiron-kocabを使えと書いていたりCloud Connectorを使えと書いていたりと揺れていますが、mobileiron-kocabでOKです。
そもそもCloud ConnectorのAMIはバージニアにしかないですしね。
パブリックイメージとして存在するAMIを使ってインスタンスを起動させます。
インスタンスが起動したらSSH接続して構築ウィザードを実施します。
macOSからならターミナルで十分でした。
EULAが表示されるので閉じたらyesを入力し、適宜内容を入力していきます。
テナント管理者アカウント情報が必要なので事前に押さえておきましょう。
基本的にはマニュアルに書いている通りですし、特に難しい部分もなかったです。
パブリックIPアドレスは必要なかったですが、その代わりSSH接続する時には社内ネットワークに接続するのを忘れずに。
設定ウィザードがCUIですがきっと大丈夫。コワクナイヨ。
SecureW2で認証局とか構築する
MobileIronに接続する認証局やらEnrollmentポリシーなどを作成します。
中間認証局は既存のMDMで使用しているものがあるなら同じでいいんじゃないかなと思います。
会社管理のシステムから配布されていることが分かればシステムごとに認証局を作るまでしなくても良さげですね。
SecureW2の設定については割愛します。
各自お世話になっているベンダーさんに相談しましょう。
MobileIronで連携する
コネクタが出来たのでいよいよSecureW2と連携します。
認証機関を追加する
管理>インフラストラクチャ>証明書管理 で認証機関を追加した気がするんですが、コネクタがあったら自動で生えているかも。
ない場合は手動で追加します。
保存前に接続テストが出来るので、そこでSecureW2側で表示されるデバイス名などをチェックしてください。
デバイス証明書を配布する
配布する準備が整ったので配布するための構成プロファイルを作成します。
シグネチャとかキーサイズはSecureW2の設定と合わせて、主体者別名としてRFC822を追加すればOKです。
使える変数は公式ドキュメントを見るものいいですが、実際に登録している端末の属性を参考にするといいと思います。
シリアル番号などはBYODだと取得できないので、もし視野に入れているなら候補から外したほうがいいですね。
私はMobileIronが持つデバイスIDとデバイス登録するユーザーのメールアドレスを活用しました。
というわけでWindows、macOS、iOS、Android全てにデバイス証明書を配布する準備が整いました。
展開はまた別のタイミングがあるのでそのうちに…ですが、Androidがちょっと手間取っていたのが無事構築出来て一安心です。