[Intune|Configuration Manager]中間証明機関 (中間 CA) のある環境で iOS に証明書を配布する場合の注意点

こんにちは。Intune サポート チームです。
InTune と Configuration Manager で証明書を配布するというシチュエーションはよくありますよね。PKCS または SCEP で配布することができます。
もし、「検証環境ではうまくいったのに、本番環境ではうまくいかない」という問題に遭遇したら、本番環境には「中間 CA」があることが理由かもしれません。
中間 CA がある場合の iOS 証明書配布のポイントについてご紹介します。

 

■ 中間 CA 証明書は配布する必要はありません

結論から言いますと、中間 CA がある場合でも中間 CA 証明書は利用しません。使用するのはルート CA の証明書だけです。
iOS の仕様上、ルート CA 証明書と中間 CA 証明書を両方配布してしまうと、PKCS・SCEP 証明書の配布が上手くいきません。考えてみれば、iOS には Windows のように「信頼されたルート証明機関」と「中間証明機関」のような証明書ストアの違いは無いですよね。

Configuration Manager における SCEP 証明書配布の画面を例に、正しい設定内容を紹介いたします。

 

■ 設定例の紹介

[1] 配布する証明書一覧

以下の通り、配布するのはルート CA 証明書と SCEP 証明書のプロファイルのみで問題ありません。
※ 逆に、中間 CA 証明書を配布しないようにご注意ください。

ルート CA の証明書はルート証明機関からエクスポートしてアップロードしたものですね。
「NDES」 という名前の SCEP 証明書プロファイルの設定を詳しく見ていきましょう。

 

[2] SCEP 証明書プロファイルの設定例

重要になるのは [Certificate Properties] タブです。
画面最下段の [Root CA certificate] には「ルート CA 証明書プロファイル」を指定します。
ここで中間 CA 証明書を指定しないようにご注意ください。プロファイル自体作成していなければ大丈夫ですね。

余談ですが、[Hash algorism] は発行したい証明書テンプレートのアルゴリズムに合わせてください。
例えば配布したい証明書テンプレートのハッシュ アルゴリズムが SHA256 の場合は SHA-2 にチェックを入れます。
上の例では、配布したい証明書テンプレート (Windows Server 2003 互換のユーザー証明書) に合わせて SHA-1 を選択しています。

 

[3] 証明書の取得元には中間 CA を指定する (NDES の設定)

ルート CA 証明書のみ配布する・指定すると書きましたが、「とはいえ証明書自体は中間 CA から発行させたい」とお思いですよね。
大丈夫です。証明書の取得元サーバーは NDES インストール時の設定で指定します。
以下の画面で中間 CA を指定しておくことで、NDES は中間 CA に対して証明書発行を依頼します。

これで、中間 CA がある本番環境でも正しく証明書を配布することができます。
展開の様子は [Monitoring (監視)] タブの [Deployments (展開)] から確認できます。

導入を検討中の方は是非参考にしてください。