SCEPman Community Edtionと証明書関連の設定/SCEPman_Community_Edtion_and_certificate-related_settings

Slide 1

Slide 1 text

SCEPman Community Edtionと証明書関連の設定初版作成日: 2024/05/15 作成者: MyHomeNWLab

Slide 2

Slide 2 text

SCEPmanについて • SCEPmanは証明書の発行や管理を行うためのソリューションです。 • MDM (Mobile Device Management)と連携してデバイスにクライアント証明書を配布できます。 • AzureやMicrosoft 365の利用者をターゲットにしており、Azure上に SCEPmanをデプロイして利用します。そのため、同じMicrosoft製品で MDMであるIntuneとは相性が良いです。

Slide 3

Slide 3 text

本資料の概要 • SCEPmanのCommunity Editionを用いて証明書を発行し、 Intuneにより端末に配布する手順を整理しました。 • 参考のために認証サーバーであるCisco ISEでEAP-TLSによる認証を行う際の証明書関連の設定方法も入れ込んでおります。 • EAP-TLS自体の検証はCatalyst 9800のWireless LAN Controllerを用いた無線LAN環境で行っております。

Slide 4

Slide 4 text

本資料の対象範囲 • 本資料の対象範囲を整理します。製品設定値対象範囲 SCEPman • SCEPmanのデプロイと各種設定本資料の対象 Intune • 証明書の信頼設定 • 端末への証明書の配布 • EAP-TLSの設定本資料の対象認証サーバー (例: Cisco ISE) • Network Access Device (NAD) スコープ外 (Out of Scope) • Trusted Certificate 本資料の対象 WLC (例: Catalyst 9800) • RADIUS • Authentication Method • WLAN (Layer2, AAA) スコープ外 (Out of Scope)

Slide 5

Slide 5 text

設定要素の図解 WLC (Catalyst 9800) 無線AP (Catalyst 9100) 無線LAN端末認証局 / CA (SCEPman) 認証サーバー (Cisco ISE) CA Root Certificate EAP Authentication Certificate 【設定の概要】 • 証明書の信頼設定信頼: CA Root Certificate 信頼: EAP Authentication Certificate • 端末への証明書の配布 Device Certificate, User Certificate • EAP-TLSの設定【設定の概要】 ※スコープ外 • RADIUS • Authentication Method • WLAN (Layer2, AAA) 【設定の概要】 • Network Access Device (NAD) ※スコープ外 • Trusted Certificate ※スコープ内信頼: CA Root Certificate Device Certificate User Certificate 無線LAN端末へ証明書の発行 RADIUS EAP-TLS 証明書の信頼 (取り込み) 証明書の信頼 (取り込み) 【設定の概要】 • SCEPmanのデプロイと各種設定 Intune

Slide 6

Slide 6 text

作業概要 1. SCEPman Community Edition (CE)のデプロイ 2. (任意) Certificate Masterへのアクセス 3. Intuneの事前設定と各種設定の整理 4. SCEPmanのRoot Certificateのダウンロード 5. SCEPmanのRoot Certificateの配布 6. Device/User Certificateの設定の注意点 7. Device Certificateの配布 8. User Certificateの配布 9. Intuneによる設定の手動更新 10. 端末で証明書配布状況の確認 11. Cisco ISEのEAP用CertificateのExport 12. IntuneによるCisco ISEのEAP用Certificateの配布 13. Intuneによる端末へのEAP-TLS設定の配布 14. SCEPman関連設定の後始末 15. SCEPmanのデプロイし直し 16. 最後の補足

Slide 7

Slide 7 text

各種サービスの管理画面のURL • アクセスしやすいように管理画面のURLを張っておきます。 • Azure Portal • https://portal.azure.com/ • Intune • https://intune.microsoft.com/

Slide 8

Slide 8 text

SCEPman Community Edition (CE)のデプロイ

Slide 9

Slide 9 text

SCEPman Community Editionのデプロイ • Azure PortalのMarketplaceより「SCEPman – Certificates Simplified (Deployment)」をデプロイします。 • 似たようなものがいくつかあるので注意して選択してください。

Slide 10

Slide 10 text

いくつか種類がありますが、「SCEPman – Certificates Simplified (Deployment)」を選択してください。

Slide 11

Slide 11 text

「Create」ボタンを押下します。備考: 筆者の確認時はひとつのプランしか選択できませんでした。

Slide 12

Slide 12 text

Create SCEPman – Certificates Simplified (Deployment) • Basics タブ設定項目設定値備考 Subscription 任意 Resource Group 例: rg-scepman-YYYYMMDD-hhmm 同じ名称で短時間に作成/削除を繰り返すと、 Key Vaultの生成でエラーが出る可能性があります。詳細は後述します。 Region 例: Japan East Organization Name 例: Personal SCEPmanのRoot Certificateにおいて「O=」フィールドの設定値に利用されます。 License Key ※Community Editionでは入力不要です。 Update Channel Production Channel

Slide 13

Slide 13 text

補足: SCEPmanにおけるResource GroupとKey Vault • まず前提情報ですが、Key Vault名はグローバルで一意にする必要があります。 • SCEPmanで利用されるKey Vault名の一部には「Resource Group ID」のハッシュが含まれています。 • そして「Resource Group ID」には下記の要素で構成されています。 • 以上の情報より、組織内で「同じSubscription」を用いて、「同じResource Group Name」で作成と削除を短時間に行うと、前回分のKey Vaultのリソースの解放が間に合わずに重複していまいエラーが出る可能性があります。 Resource Group ID = {Subscription ID}/resourceGroups/{Resource Group Name} "keyVaultName": "[concat('kv-scepman-',uniquestring(resourceGroup().id))]",

Slide 14

Slide 14 text

No content

Slide 15

Slide 15 text

TERMSを確認した上で Create ボタンを押下します。電話番号の情報は適宜修正します。入力無しでも通ります。

Slide 16

Slide 16 text

正常にデプロイが完了したか確認します。

Slide 17

Slide 17 text

一例ですが、Key Vault名が重複してデプロイが失敗したケースです。

Slide 18

Slide 18 text

SCEPmanのApp Servicesへの移動 • SCEPmanのWeb UIにアクセスして、PowerShellのCmdletを実行する必要があります。 • App Serviceには「SCEPman」と「Certificate Master (略称: CertMaster」の2種類があり、設定上の名称が似通っているため作業対象を意識します。 Name 役割 app-scepman-cm-<文字列> Certificate Master (略称: CertMaster) app-scepman-<文字列> SCEPman -cm の有無が違いです。

Slide 19

Slide 19 text

Name 役割 app-scepman-cm-<文字列> Certificate Master app-scepman-<文字列> SCEPman SCEPman (-cm が含まれていない方)にアクセスします。

Slide 20

Slide 20 text

URLにアクセスします。 SCEPman (-cm が含まれていない方)であるのを確認します。

Slide 21

Slide 21 text

Azure Cloud Shellを開いてCmdletを実行します。注記: 環境固有情報が入っています。

Slide 22

Slide 22 text

PowerShellでCmdletの実行 • Azure Cloud Shellで「PowerShell」に切り替えて、「app- scepman-<文字列>」のFinalize Setupに記載されているCmdletを実行します。 Install-Module SCEPman -Scope CurrentUser –Force Complete-SCEPmanInstallation -SCEPmanAppServiceName 'app-scepman-####' -SearchAllSubscriptions 6>&1 先ほどデプロイしたSCEPmanのApp Serviceの名称に紐付きます。接尾辞が付与されており、文字列が環境によって変わります。検証用途で何度でも作成しなおす場合は、本コマンドを流用できません。 Parameter 説明 SCEPmanAppServiceName The name of the existing SCEPman App Service. Leave empty to get prompted. 「Complete-SCEPmanInstallation.ps1」のコードよりParameterの情報

Slide 23

Slide 23 text

PowerShell に切り替えます。注意: 環境に固有の情報があります。

Slide 24

Slide 24 text

(任意) Certificate Masterへのアクセス

Slide 25

Slide 25 text

(任意) Certificate Masterへのアクセス • Certificate Master (略称: CertMaster)の管理画面はアクセス制御されているため、Enterprise applicationsで許可設定が必要です。 • Community EditionではCertMasterで利用できる機能が実質的にないため、基本的に不要の設定になります。 • しかしながら検証目的であれば、管理画面がどのようになっているかは把握しておいた方が良いので設定方法を記載します。

Slide 26

Slide 26 text

× ボタンを押下して、検索の絞り込みを解除します。 Microsoft Entra IDのEnterprise applicationsにアクセスします。

Slide 27

Slide 27 text

No content

Slide 28

Slide 28 text

Role には Full Admin を指定します。 CertMasterにアクセスさせたいUserもしくはGroupを指定します。

Slide 29

Slide 29 text

Name 役割 app-scepman-cm-<文字列> Certificate Master app-scepman-<文字列> SCEPman Certificate Master (-cm が含まれている方)にアクセスします。

Slide 30

Slide 30 text

Certificate Master (-cm が含まれている方)であるのを確認します。 URLにアクセスします。

Slide 31

Slide 31 text

Certificate Master の方にアクセスできたのを確認します。

Slide 32

Slide 32 text

Intuneの事前設定と各種設定の整理

Slide 33

Slide 33 text

本例のIntuneの設定について • 本例のIntuneの各種設定は下記のドキュメントをベースにしています。 • Windows - SCEPman • URL: https://docs.scepman.com/certificate- deployment/microsoft-intune/windows-10

Slide 34

Slide 34 text

事前設定: Groupの作成 • Intuneで「設定を配布する対象」をGroupとして事前に作成しておきます。

Slide 35

Slide 35 text

Intuneの各種設定の整理 • メニュー: Devices > Policy セクション > Configuration profiles からIntuneの各種設定を行います。 • 下記に設定対象を整理します。まずはSCEPmanに関わる設定です。 • 次にCisco ISEと無線LAN端末に関わる設定です。用途設定種別 (Template name) 設定名 Root Certificateの配布 Trusted certificate Trusted_certificate_SCEPman_Root_Cert Device Certificateの配布 SCEP certificate SCEP_certificate_SCEPman_Device_Cert User Certificateの配布 SCEP certificate SCEP_certificate_SCEPman_User_Cert 用途設定種別 (Template name) 設定名 Cisco ISEのEAP用Certificateの配布 Trusted certificate Trusted_certificate_ISE_EAP_Auth_Cert EAP-TLSの設定配布 Wi-Fi Wi-Fi_EAP-TLS

Slide 36

Slide 36 text

SCEPmanのRoot Certificate のダウンロード

Slide 37

Slide 37 text

SCEPmanのRoot Certificateのダウンロード • IntuneでSCEPmanのRoot Certificateの信頼設定を行う必要があるため、まずは対象の証明書ファイルをダウンロードします。 • 初回のためRoot Certificateの作成ステップが指示されます。

Slide 38

Slide 38 text

Name 役割 app-scepman-cm-<文字列> Certificate Master app-scepman-<文字列> SCEPman SCEPman (-cm が含まれていない方)にアクセスします。

Slide 39

Slide 39 text

URLにアクセスします。 SCEPman (-cm が含まれていない方)であるのを確認します。

Slide 40

Slide 40 text

展開ポップアップここから証明書がダウンロードできます。初回のRoot Certificateの作成ステップが指示されます。

Slide 41

Slide 41 text

SCEPmanのRoot Certificate の配布

Slide 42

Slide 42 text

SCEPmanのRoot Certificateの配布 • Configuration Profileを下記の設定内容で作成します。 • Basics タブでは対象設定に命名します。設定項目設定値備考 Platform Windows 10 and later Profile type Templates Template name Trusted certificate 似たような手順を何度か繰り返しますが、 Template nameの種別が異なるので意識して指定してください。設定項目設定値備考 Name Trusted_certificate_SCEPman_Root_Cert

Slide 43

Slide 43 text

「Trusted certificate」を指定します。 SCEPmanのRoot Certificateの配布

Slide 44

Slide 44 text

Trusted_certificate_SCEPman_Root_Cert SCEPmanのRoot Certificateの配布

Slide 45

Slide 45 text

SCEPmanのRoot Certificateのアップロード • Configuration settings タブでSCEPmanのRoot Certificateをアップロードします。設定項目設定値備考 Certificate file ファイル名: scepman-root.cer 拡張子が「.cer」もしくは「.crt」の必要があります。 Destination store Compute certificate store - Root デフォルト値のままです。

Slide 46

Slide 46 text

SCEPmanのRoot Certificateをアップロードします。 SCEPmanのRoot Certificateの配布

Slide 47

Slide 47 text

設定を割り当てる対象のGroupを指定します。 SCEPmanのRoot Certificateの配布

Slide 48

Slide 48 text

「Applicability Rules」タブは設定不要です。そのまま「Next」ボタンを押下します。 SCEPmanのRoot Certificateの配布

Slide 49

Slide 49 text

設定内容を再確認した上で「Create」ボタンを押下します。 SCEPmanのRoot Certificateの配布

Slide 50

Slide 50 text

Device/User Certificateの設定の注意点

Slide 51

Slide 51 text

Device/User Certificateの設定の注意点 • ここからのDevice CertificateとUser Certificateの設定は、一部を除いて共通しています。ドキュメントでも繰り返しになる手順の説明は省かれており、差異のみ記載されています。 • そのため、意識して設定しないと混乱する可能性があるため注意してください。

Slide 52

Slide 52 text

Device Certificateの配布

Slide 53

Slide 53 text

Device Certificateの配布 • Configuration Profileを下記の設定内容で作成します。 • Basics タブでは対象設定に命名します。設定項目設定値備考 Platform Windows 10 and later Profile type Templates Template name SCEP certificate 似たような手順を何度か繰り返しますが、 Template nameの種別が異なるので意識して指定してください。設定項目設定値備考 Name SCEP_certificate_SCEPman_Device_Cert Device Certificateの設定であるのを分かりやすくします。 Device Certificate固有

Slide 54

Slide 54 text

「SCEP certificate」を指定します。 Device Certificateの配布

Slide 55

Slide 55 text

SCEP_certificate_SCEPman_Device_Cert Device Certificateの配布

Slide 56

Slide 56 text

Device Certificateの配布の設定情報 (1/3) • Configuration settings タブの設定の設定画面は縦に長いため、複数のスライドに渡って順に記載します。 • 設定情報は続きます。設定項目設定値備考 Certificate type Device Subject name format CN={{AAD_Device_ID}} Device を選択時のデフォルト値です。次のスライドで設定理由を補足します。 Subject alternative name Attribute Value URI IntuneDeviceId://{{DeviceId}} Device CertificateとUser Certificateで設定内容が異なる箇所です。(本表の設定) Device Certificate固有

Slide 57

Slide 57 text

備考: Subject name formatの指定方法 • 「Subject name format」は下記のドキュメントの情報を参考にして「{{DeviceId}}」による指定を避けました。 • Use SCEP certificate profiles with Microsoft Intune | Microsoft Learn • URL: https://learn.microsoft.com/en-us/mem/intune/protect/certificates- profile-scep • 原文 • Note • Avoid using {{DeviceId}} for subject name on Windows devices. In certain instances, certificate generated with this subject name causes sync with Intune to fail. • 日本語訳 ※日本語ページより • 注意 • Windows デバイスでサブジェクト名に {{DeviceId}} を使用しないでください。特定のインスタンスでは、このサブジェクト名で生成された証明書によって Intune との同期が失敗します。

Slide 58

Slide 58 text

Device Certificateの配布

Slide 59

Slide 59 text

Device Certificateの配布の設定情報 (2/3) • Configuration settings タブの設定の続きです。 • 設定情報はさらに続きます。設定項目設定値備考 Key storage provider (KSP) Enroll to Trusted Platform Module (TPM) KSP, otherwise fail 文字列が長いので、検索して一致するものを選択するのが確実です。 Key usage Digital signature Key encipherment Key size (bits) 2048 Hash algorithm SHA-2 Root Certificate Trusted_certificate_SCEPman_Root_Cert SCEPmanのRoot Certificateの設定を指定します。後述のUser Certificateも同様の設定を行います。 Device/User Certificateで共通

Slide 60

Slide 60 text

先にRoot Certificateの設定を作っておかないと選択肢に出てきません。 Device Certificateの配布

Slide 61

Slide 61 text

Device Certificateの配布の設定情報 (3/3) • Configuration settings タブの設定の続きです。設定項目設定値 Extended key use Name Object Identifier Value Client Authentication 1.3.6.1.5.5.7.3.2 設定項目設定値 SCEP Server URLs https://app-scepman-####.azurewebsites.net/certsrv/mscep/mscep.dll App ServiceのSCEPmanより「Intune MDM」のURLを張り付けます。環境依存情報になります。 Device/User Certificateで共通

Slide 62

Slide 62 text

対象のURLは次のスライドで図示します。後述のUser Certificateの設定でも同じURLを指定します。 Device Certificateの配布

Slide 63

Slide 63 text

「SCEP Server URLs」の設定に貼り付けます。 Device Certificateの配布

Slide 64

Slide 64 text

設定を割り当てる対象のGroupを指定します。 Device Certificateの配布

Slide 65

Slide 65 text

「Applicability Rules」タブは設定不要です。そのまま「Next」ボタンを押下します。 Device Certificateの配布

Slide 66

Slide 66 text

設定内容を再確認した上で「Create」ボタンを押下します。 Device Certificateの配布

Slide 67

Slide 67 text

User Certificateの配布

Slide 68

Slide 68 text

User Certificateの配布 • Configuration Profileを下記の設定内容で作成します。 • Basics タブでは対象設定に命名します。設定項目設定値備考 Platform Windows 10 and later Profile type Templates Template name SCEP certificate 似たような手順を何度か繰り返しますが、 Template nameの種別が異なるので意識して指定してください。設定項目設定値備考 Name SCEP_certificate_SCEPman_User_Cert User Certificateの設定であるのを分かりやすくします。 User Certificate固有

Slide 69

Slide 69 text

「SCEP certificate」を指定します。 User Certificateの配布

Slide 70

Slide 70 text

SCEP_certificate_SCEPman_User_Cert User Certificateの配布

Slide 71

Slide 71 text

User Certificateの配布の設定情報 (1/3) • Configuration settings タブの設定の設定画面は縦に長いため、複数のスライドに渡って順に記載します。 • 設定情報は続きます。設定項目設定値備考 Certificate type User Subject name format CN={{UserName}},E={{EmailAddress}} User を選択時のデフォルト値です。 Subject alternative name Attribute Value User principal name (UPN) {{UserPrincipalName}} Device CertificateとUser Certificateで設定内容が異なる箇所です。(本表の設定) User Certificate固有

Slide 72

Slide 72 text

User Certificateの配布

Slide 73

Slide 73 text

User Certificateの配布の設定情報 (2/3) • Configuration settings タブの設定の続きです。 • 設定情報はさらに続きます。設定項目設定値備考 Key storage provider (KSP) Enroll to Trusted Platform Module (TPM) KSP, otherwise fail 文字列が長いので、検索して一致するものを選択するのが確実です。 Key usage Digital signature Key encipherment Key size (bits) 2048 Hash algorithm SHA-2 Root Certificate Trusted_certificate_SCEPman_Root_Cert SCEPmanのRoot Certificateの設定を指定します。前述のDevice Certificateの設定と同じ内容です。 Device/User Certificateで共通

Slide 74

Slide 74 text

User Certificateの配布

Slide 75

Slide 75 text

User Certificateの配布の設定情報 (3/3) • Configuration settings タブの設定の続きです。設定項目設定値 Extended key use Name Object Identifier Value Client Authentication 1.3.6.1.5.5.7.3.2 設定項目設定値 SCEP Server URLs https://app-scepman-####.azurewebsites.net/certsrv/mscep/mscep.dll App ServiceのSCEPmanより「Intune MDM」のURLを張り付けます。環境依存情報になります。 Device/User Certificateで共通

Slide 76

Slide 76 text

対象のURLは次のスライドで図示します。前述のDevice Certificateと同じURLを指定します。 User Certificateの配布

Slide 77

Slide 77 text

「SCEP Server URLs」の設定に貼り付けます。 User Certificateの配布

Slide 78

Slide 78 text

設定を割り当てる対象のGroupを指定します。 User Certificateの配布

Slide 79

Slide 79 text

「Applicability Rules」タブは設定不要です。そのまま「Next」ボタンを押下します。 User Certificateの配布

Slide 80

Slide 80 text

設定内容を再確認した上で「Create」ボタンを押下します。 User Certificateの配布

Slide 81

Slide 81 text

Intuneによる設定の手動更新

Slide 82

Slide 82 text

Intuneによる設定の手動更新 • 端末側で設定を手動更新で同期する手順です。 • 下記はWindows 11 Proの「英語環境」の例です。 1. Settings より Accounts の Access work or school に移動します。 2. Accountの情報を展開して Managed by Personal の Info ボタンを押下します。 3. Sync ボタンを押下して同期します。

Slide 83

Slide 83 text

No content

Slide 84

Slide 84 text

展開して「Info」ボタンを押下します。

Slide 85

Slide 85 text

「Sync」ボタンを押下すると同期が始まります。

Slide 86

Slide 86 text

端末で証明書配布状況の確認

Slide 87

Slide 87 text

端末で証明書配布状況の確認 • 「mmc.exe」 (Microsoft Management Console)を実行します。 • Snap-insで「Certificates」を選択して、「My user account」と「Computer account」の「Local computer」を追加します。

Slide 88

Slide 88 text

証明書の確認に必要な情報の整理 • 端末側で証明書の情報を確認するにあたり、識別するための要素を整理します。証明書の分類設定値例 SCEPmanのRoot Certificate - CN = SCEPman-Root-CA-V1 O = YourCorp Device Certificate • 設定値によって変わります。 • 本例: CN={{AAD_Device_ID}} ➢ CN = • 別選択肢: CN={{DeviceId}} ➢ CN = 次のスライドで該当IDの確認方法を掲載します。 User Certificate CN={{UserName}},E={{EmailAddress}} CN = alice E = [email protected]

Slide 89

Slide 89 text

ID ←→ 設定項目 Intune Device ID ←→ {{DeviceId}} Microsoft Entra Device ID ←→ {{AAD_Device_ID}} 証明書の確認に必要な情報の整理

Slide 90

Slide 90 text

MMCのSnap-inの追加「mmc.exe」を起動してSnap-inでCertificatesを追加します。

Slide 91

Slide 91 text

MMCのSnap-inの追加 • 「Certificates」の「Add」ボタンによる追加は下記の2つ分あります。 1. 「My user Account」 2. 「Computer account (Local computer)」

Slide 92

Slide 92 text

MMCのSnap-inの追加先ずは「My user Account」を追加します。この後で「Computer account (Local computer)」を追加します。

Slide 93

Slide 93 text

MMCのSnap-inの追加

Slide 94

Slide 94 text

MMCのSnap-inの追加「Computer account (Local computer)」を追加します。備考: 先ほどは「My user Account」の方を追加しました。

Slide 95

Slide 95 text

MMCのSnap-inの追加「Local computer」を選択します。

Slide 96

Slide 96 text

MMCのSnap-inの追加 2つのCertificatesが追加されているのを確認します。

Slide 97

Slide 97 text

MMCのSnap-inの追加 Certificatesの情報が見えるようになりました。

Slide 98

Slide 98 text

SCEPmanのRoot Certificateの確認 SCEPmanのRoot Certificateを確認します。

Slide 99

Slide 99 text

SCEPmanのRoot Certificateの確認「O」にはデプロイ時に指定したOrganization Nameの設定値が入ります。

Slide 100

Slide 100 text

Device Certificateの確認「Issued By」が「SCEPman-Root-CA-V1」のものを確認します。

Slide 101

Slide 101 text

Device Certificateの確認本設定手順では「CN={{AAD_Device_ID}}」を指定しているため、「CN」には「Microsoft Entra Device ID」の値が入ります。 ID ←→ 設定項目 Intune Device ID ←→ {{DeviceId}} Microsoft Entra Device ID ←→ {{AAD_Device_ID}}

Slide 102

Slide 102 text

User Certificateの確認「Issued By」が「SCEPman-Root-CA-V1」のものを確認します。

Slide 103

Slide 103 text

User Certificateの確認本例では「CN={{UserName}},E={{EmailAddress}}」を指定しているため、「CN = alice」, 「E = [email protected]」のような値が入ります。

Slide 104

Slide 104 text

User Certificateの確認 ID ←→ 設定項目 Intune Device ID ←→ {{DeviceId}} Microsoft Entra Device ID ←→ {{AAD_Device_ID}} 本例では「CN={{UserName}},E={{EmailAddress}}」を指定しているため、「CN = alice」「E = [email protected]」のような値が入ります。

Slide 105

Slide 105 text

Cisco ISEのEAP用Certificate のExport

Slide 106

Slide 106 text

Cisco ISEのEAP用Certificate • Cisco ISEがEAP Authenticationで利用する証明書があり、EAP-TLSを利用する場合は接続端末にその証明書の信頼設定を行う必要があります。 • EAP-TLSで用いられる証明書は大きく分けて2つの観点があります。 1. 「接続端末」の真正性を証明するもの。 • 「接続端末」が「認証サーバー (Cisco ISE)」に提示する証明書 2. 「認証サーバー (Cisco ISE)」の真正性を証明するもの。 • 「認証サーバー (Cisco ISE)」が「接続端末」に提示する証明書本セクションはこの「2」を扱います。

Slide 107

Slide 107 text

EAP用証明書のExportの手順 • Cisco ISEのWeb UIからメニューの「Administration > System > Certificates」に移動して「Certificate Management」セクションの「System Certificates」を開きます。 • 「Used By」に「EAP Authentication」がある証明書を選択して「Export」ボタンを押下し、「Export Certificate Only」で出力します。 • 証明書ファイルの拡張子を「.cer」もしくは「.crt」にリネームします。デフォルトの「.pem」のままだとIntuneの設定画面で取り込む際にエラーが出るためです。

Slide 108

Slide 108 text

No content

Slide 109

Slide 109 text

「EAP Authentication」の証明書を選択して「Exportボタンを押下します。」

Slide 110

Slide 110 text

「Export Certificate Only」を選択して証明書を「Export」します。

Slide 111

Slide 111 text

拡張子を「.cer」もしくは「.crt」にリネームします。デフォルトの「.pem」の拡張子のままで Intuneの設定画面からアップロードしようとするとエラーが出ます。

Slide 112

Slide 112 text

IntuneによるCisco ISEのEAP 用Certificateの配布

Slide 113

Slide 113 text

「Trusted certificate」を指定します。 Cisco ISEのEAP用Certificateの配布

Slide 114

Slide 114 text

Trusted_certificate_ISE_EAP_Auth_Cert Cisco ISEのEAP用Certificateの配布

Slide 115

Slide 115 text

拡張子を「.cer」もしくは「.crt」でアップロードします。 Cisco ISEのEAP用Certificateの配布

Slide 116

Slide 116 text

設定を割り当てる対象のGroupを指定します。 Cisco ISEのEAP用Certificateの配布

Slide 117

Slide 117 text

「Applicability Rules」タブは設定不要です。そのまま「Next」ボタンを押下します。 Cisco ISEのEAP用Certificateの配布

Slide 118

Slide 118 text

設定内容を再確認した上で「Create」ボタンを押下します。 Cisco ISEのEAP用Certificateの配布

Slide 119

Slide 119 text

Intuneによる端末へのEAP-TLS 設定の配布

Slide 120

Slide 120 text

端末へのEAP-TLS設定の配布 • 先のCisco ISEのEAP用Certificate設定を参照して信頼設定するため、EAP-TLS設定の配布はその後に実行する必要があります。 • 端末がネットワークに繋がっていないと本設定を配布できないため、有線もしくは別のSSIDで一度繋げるなどして設定を配布してください。 • 2024年01月時点で「Platform: Windows 10 and later」の「Template: Wi-Fi」でWPA3-Enterpriseの設定は用意されていなかったです。本設定を行うとWPA2-Enterpriseでの接続設定が入ります。Wi-Fi 6Eでの6GHz帯の接続にはWPA3が必要になるため注意が必要です。

Slide 121

Slide 121 text

端末へのEAP-TLS設定の配布 • Configuration Profileを下記の設定内容で作成します。 • Basics タブでは対象設定に命名します。設定項目設定値備考 Platform Windows 10 and later Profile type Templates Template name Wi-Fi 設定項目設定値備考 Name Wi-Fi_EAP-TLS

Slide 122

Slide 122 text

「Wi-Fi」を指定します。端末へのEAP-TLS設定の配布

Slide 123

Slide 123 text

Wi-Fi_EAP-TLS 端末へのEAP-TLS設定の配布

Slide 124

Slide 124 text

Wi-Fiの設定情報 (1/2) • Configuration settings タブの設定の設定画面は縦に長いため、複数のスライドに渡って順に記載します。 • 設定情報は続きます。設定項目設定値備考 Wi-Fi Type Enterprise Wi-Fi name (SSID) 例: Your_SSID 環境に応じた値を設定します。 Connection name 例: Your_SSID 環境に応じた値を設定します。 Authentication Method 下記から用途に応じて指定します。 • User • Machine • User or machine 筆者はUserを選んでいます。

Slide 125

Slide 125 text

↓↓ 画面の下側に続きます。 ↓↓ 端末へのEAP-TLS設定の配布

Slide 126

Slide 126 text

Wi-Fiの設定情報 (2/2) • Configuration settings タブの設定の続きです。設定項目設定値備考 EAP-Type EAP-TLS Certificate server names 例: ise01.lab.test Cisco ISEのHostname (FQDN)を指定します。 Root certificates for server validation Trusted_certificate_ISE_EAP_Auth_Cert 事前に設定したCisco ISEのEAP用Certificateを指定します。 Client Authentication SCEP certificate Client certificate for client authentication (Identity certificate) SCEP_certificate_SCEPman_User_Cert もしくは SCEP_certificate_SCEPman_Device_Cert 用途に応じてDevice/User Certificateのどちらかを選びます。筆者はUser Certificateを指定しています。

Slide 127

Slide 127 text

Subjectの値と一致させます。 ↓ Cisco ISEのEAP用Certificate ↓ ※前のスライドからの続きです。設計に合わせてDevice/User Certificateのどちらかを選びます。端末へのEAP-TLS設定の配布

Slide 128

Slide 128 text

端末へのEAP-TLS設定の配布設定を割り当てる対象のGroupを指定します。

Slide 129

Slide 129 text

端末へのEAP-TLS設定の配布「Applicability Rules」タブは設定不要です。そのまま「Next」ボタンを押下します。

Slide 130

Slide 130 text

端末へのEAP-TLS設定の配布設定内容を再確認した上で「Create」ボタンを押下します。

Slide 131

Slide 131 text

SCEPman関連設定の後始末

Slide 132

Slide 132 text

SCEPman関連設定の後始末 • SCEPman関連の設定はAzureのResource Groupだけではなく、 App registrationsとEnterprise applicationsにも設定があるため該当箇所を整理します。

Slide 133

Slide 133 text

対象のResource Groupを削除します。 Resource Groupの削除

Slide 134

Slide 134 text

Microsoft Entra IDからApp registrationを開きます。 App registrationsからSCEPman関連設定の削除

Slide 135

Slide 135 text

App registrationはOverviewにDeleteボタンがあります。 ※設定を開いた直後の画面です。 App registrationsからSCEPman関連設定の削除

Slide 136

Slide 136 text

× ボタンを押下して、検索の絞り込みを解除します。 • 「SCEPman-api」と「SCEPman-CertMaster」を削除します。 • 「app-scepman-」から始まるものはResource Groupに紐付くので個別に削除は不要です。 Microsoft Entra IDからEnteprise applicationsを開きます。 Enterprise applicationsからSCEPman関連設定の削除

Slide 137

Slide 137 text

Enterprise Applicationは Properties の中に Delete ボタンがあります。 Propertiesの画面の中にあります。 ※設定を開いた直後のOverview画面にはないため注意してください。 Enterprise applicationsからSCEPman関連設定の削除

Slide 138

Slide 138 text

SCEPmanのデプロイし直し

Slide 139

Slide 139 text

SCEPmanのデプロイし直し作業の概要 • Intune • SCEPmanのRoot Certificate • SCEPmanのRoot Certificateファイルのアップロード • Device Certificate • SCEP URL Server URLの書き換え • User Certificate • SCEP URL Server URLの書き換え • Cisco ISE • Trusted Certificate • 新規EAP Authentication Certificateの追加 • 既存EAP Authentication Certificateの削除

Slide 140

Slide 140 text

SCEPmanのRoot Certificateの配布 SCEPmanのRoot Certificateの設定を開きます。本例では「Trusted_certificate_SCEPman_Root_Cert」です。

Slide 141

Slide 141 text

Configuration settings の Edit ボタンを押下します。 SCEPmanのRoot Certificateの配布

Slide 142

Slide 142 text

新しいSCEPmanのRoot Certificateをアップロードします。当該証明書自体はApp ServiceのSCEPmanからダウンロードしてきます。 (次スライドで図示します。) SCEPmanのRoot Certificateの配布

Slide 143

Slide 143 text

App ServiceのSCEPmanからGet CA Certificateで Root Certificateを入手して先の設定個所にアップロードします。 SCEPmanのRoot Certificateの配布

Slide 144

Slide 144 text

設定の変更内容を確認した上でSaveします。 SCEPmanのRoot Certificateの配布

Slide 145

Slide 145 text

Device Certificateの再設定 Device Certificateの設定を開きます。本例では「SCEP_certificate_SCEPman_Device_Cert」です。

Slide 146

Slide 146 text

Configuration settings の Edit ボタンを押下します。 Device Certificateの再設定

Slide 147

Slide 147 text

Device Certificateの再設定 SCEP Server URLsを新しいURLに書き換えます。当該URLはApp ServiceのSCEPmanから確認できます。 (次スライドで図示します。)

Slide 148

Slide 148 text

Device Certificateの再設定先の設定個所を新しいIntune MDMのURLに書き換えます。 Device/User Certificateで同じURLです。

Slide 149

Slide 149 text

Device Certificateの再設定設定の変更内容を確認した上でSaveします。

Slide 150

Slide 150 text

Device Certificateの再設定 User Certificateの設定を開きます。本例では「SCEP_certificate_SCEPman_User_Cert」です。

Slide 151

Slide 151 text

User Certificateの再設定 Configuration settings の Edit ボタンを押下します。

Slide 152

Slide 152 text

User Certificateの再設定 SCEP Server URLsを新しいURLに書き換えます。当該URLはApp ServiceのSCEPmanから確認できます。 (次スライドで図示します。)

Slide 153

Slide 153 text

User Certificateの再設定先の設定個所を新しいIntune MDMのURLに書き換えます。 Device/User Certificateで同じURLです。

Slide 154

Slide 154 text

User Certificateの再設定設定の変更内容を確認した上でSaveします。

Slide 155

Slide 155 text

Cisco ISEのTrusted Certificateの再設定 • Cisco ISEにはSECPmanのRoot Certificateの信頼設定を行っているため、再デプロイに伴って古い証明書から新しい証明書に入れ替える必要があります。 • 古い証明書の認証設定が使われてる可能性もあるので、先に新しい証明書を入れてから古い証明書を削除します。 • 同じ名称で証明書を取り込もうとすると、名称重複になるため年月日 (YYYYMMDD)などを接尾辞に付与してください。

Slide 156

Slide 156 text

Cisco ISEのTrusted Certificateの再設定

Slide 157

Slide 157 text

Cisco ISEのTrusted Certificateの再設定

Slide 158

Slide 158 text

EAP Authentication Certificate YYYYMMDD 既存のEAP用Certificateと重複しないように命名します。 Cisco ISEのTrusted Certificateの再設定

Slide 159

Slide 159 text

Cisco ISEのTrusted Certificateの再設定既存のEAP用Certificateが不要であれば削除します。

Slide 160

Slide 160 text

Cisco ISEのTrusted Certificateの再設定対象に誤りがないのを確認してからOKを押下します。

Slide 161

Slide 161 text

最後の補足

Slide 162

Slide 162 text

最後の補足 • 実際にEAP-TLSなどで証明書を用いた認証を利用する際は、ネットワーク機器 (例: WLCのCatalyst 9800)や認証サーバー (例: Cisco ISE)にもRADIUSの設定などが追加で必要になります。

Slide 163

Slide 163 text

End Of File 本スライドが資料の最後です。