「ナンモワカラン」から「チョットワカル」へ！Private CA Connector for SCEPについて話します

by Shun Tokuyama

Slide 1

Slide 1 text

「ナンモワカラン」から「チョットワカル」へ！ Private CA Connector for SCEPについて話します AWS 事業本部コンサルティング部トクヤマシュン 1

Slide 2

Slide 2 text

2 トクヤマシュン ● 所属：AWS事業本部コンサルティング部 ● 役割：AWSソリューションアーキテクト ● 好きなAWSサービス：AWS Fargate ● 副業 ○ 兵庫県明石市でカレー屋をやっています ■ CURRY HOUSE Babbulkund (カレーハウスバブルクンド） ■ 土曜日のみ営業 ■ @babbulkund 　 @babbulkund 自己紹介

Slide 3

Slide 3 text

3 アジェンダ 1. テーマ紹介 2. 要素技術について理解する 3. AWS Private CA Connector for SCEPについて理解する 4. マネジメントコンソールでの作成操作を確認する 5. おわりに

Slide 4

Slide 4 text

4 アジェンダ 1.テーマ紹介

Slide 5

Slide 5 text

5 本日のテーマ https://dev.classmethod.jp/articles/private-ca-connector-for-scep/

Slide 6

Slide 6 text

6 AWS Private CA Connector for SCEPとは？ ● SCEPを AWS Private CA で利用するためのコネクター ○ これまでSCEPではAWS Private CAは使えなかった ■ すでにAWS Private CAを利用していた場合でも、別途SCEP用のCAを構築・運用する必要があった ■ 今回のアップデートで管理対象のCAをAWS Private CAに集約して運用負荷の軽減が可能に ● Jamf ProやMicrosoft Intuneといった代表的な SCEP 対応 MDM(Mobile Device Management)ソリューションで利用可能 ● 2024年6月現在プレビュー ○ US-EAST-1でのみ利用可能

Slide 7

Slide 7 text

7 わ ...ァ ...ァ... 「ナンモワカラン」

Slide 8

Slide 8 text

8 気を取り直して「チョットワカル」を目指す

Slide 9

Slide 9 text

9 2.要素技術について理解するアジェンダ

Slide 10

Slide 10 text

10 SCEPとは？ ● Simple Certificate Enrollment Protocol の略 ● デジタル証明書管理を自動化するためのプロトコル ○ RFC 8894で標準化 ● ネットワークデバイスやモバイルデバイスで使われることが多い ○ モバイルデバイスではMDM(Mobile Device Management)と組み合わせて使われる

Slide 11

Slide 11 text

11 MDMと組み合わせたときのSCEPの動作の流れ SCEPを用いると証明書を自動配布できるため、管理が楽になる！

Slide 12

Slide 12 text

12 AWS Private CAとは？ ● AWS上に独自の認証機関 (CA) を構築するサービス ○ AWSマネージドでPKIの運用管理が可能 ○ インターネット上ではなく、Privateな組織内でのみ信頼される ○ ルート CA、下位 CAといった階層を作成可能 ● 2 つの動作モード ○ GENERAL PURPOSE ■ 任意の有効期間を持つ証明書を発行可能。$400/月（※） ■ AWS Private CA Connector for SCEPは汎用モードのみ対応 ○ SHORT LIVED CERTIFICATE ■ 最大 7 日間有効な証明書のみを発行可能。$50/月（※) ● リージョナルリソース ○ 複数リージョンでの使用には各リージョンで作成が必要 ※: 1 か月に満たない月は日割り精算

Slide 13

Slide 13 text

13 3.AWS Private CA Connector for SCEPについて理解するアジェンダ

Slide 14

Slide 14 text

14 AWS Private CA Connector for SCEP は2パターンある ● 2パターンある ○ General Purpose ■ 汎用的なSCEPに対応 ● Jamf Proなど、Microsoft Intune以外のMDMはこちらを選択 ■ Challenge PasswordはAWS上で管理 ○ For Microsoft Intune ■ Microsoft Intuneに特化 ■ Challenge PasswordはMicrosoft Intune上で管理それぞれフローを確認します

Slide 15

Slide 15 text

15 General Purpose のフロー出典：https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-scep-how-it-works.html AWSマネージドなSCEPサーバとして動作 SECPでの証明書管理にAWS Private CAを利用

Slide 16

Slide 16 text

16 For Microsoft Intune のフロー出典：https://docs.aws.amazon.com/privateca/latest/userguide/connector-for-scep-how-it-works.html ③と④が追加になった Challenge Passwordを Microsoft Intune側で認証

Slide 17

Slide 17 text

17 アジェンダ 4.マネジメントコンソールでの作成操作を確認する

Slide 18

Slide 18 text

18 ここからは次のRe:Inforceでのセッション発表をもとにマネジメントコンソールでの作成操作を確認します。（見にくくてスミマセン。。。） DAP201-NEW | [NEW LAUNCH] Secure and increase mobile workforce productivity with AWS for MDM

Slide 19

Slide 19 text

19 AWS Private CA の構築

Slide 20

Slide 20 text

20 AWS Private CA作成

Slide 21

Slide 21 text

21 AWS Private CA作成完了

Slide 22

Slide 22 text

22 ルートCA証明書のインストール

Slide 23

Slide 23 text

23 AWS Private CA アクティブ化完了

Slide 24

Slide 24 text

24 AWS Private CA Connector for SCEPの構築（General Purpose）

Slide 25

Slide 25 text

25 AWS Private CA Connector for SCEP作成

Slide 26

Slide 26 text

26 AWS Private CA Connector for SCEP作成

Slide 27

Slide 27 text

27 AWS Private CA Connector for SCEP作成

Slide 28

Slide 28 text

28 AWS Private CA Connector for SCEP作成完了

Slide 29

Slide 29 text

29 以上で作成は完了

Slide 30

Slide 30 text

30 アジェンダ 5.おわりに

Slide 31

Slide 31 text

31 AWS Private CA Connector for SCEPとは？（再掲） ● SCEPを AWS Private CA で利用するためのコネクター ○ これまでSCEPではAWS Private CAは使えなかった ■ すでにAWS Private CAを利用していた場合でも、別途SCEP用のCAを構築・運用する必要があった ■ 今回のアップデートで管理対象のCAをAWS Private CAに集約して運用負荷の軽減が可能に ● Jamf ProやMicrosoft Intuneといった代表的な SCEP 対応 MDM(Mobile Device Management)ソリューションで利用可能 ● 2024年6月現在プレビュー ○ US-EAST-1でのみ利用可能