SCEP の構成
SCEP (Simple Certificate Enrollment Protocol) を使用して、デバイスに証明書をインストールおよび更新できます。
これらの手順は Chromebook には適用されません。
要件
- SCEP に対応した Windows CA があること。
- ファイアウォールで、Sophos Central からの受信接続が許可されていること。詳細は、AD および SCEP 接続の IP アドレスを参照してください。
- Sophos Central が
<YOUR-SCEP-SERVER>/CertSrv/MSCEP_ADMIN
および<YOUR-SCEP-SERVER>/CertSrv/MSCEP
に HTTP または HTTPS で接続できること。
SCEP の構成
SCEP を設定するには、次の手順を実行します。
- サイドバーのメニューの「セットアップ > Sophos セットアップ」をクリックし、「SCEP」タブをクリックします。
-
次の項目を指定します。
- 「SCEP サーバーの URL」フィールドに、次のように入力します。
https://<YOUR-SCEP-SERVER>/CertSrv/MSCEP
-
「チャレンジ URL」フィールドに、次のように入力します。
https://<YOUR-SCEP-SERVER>/CertSrv/MSCEP_ADMIN
Windows 2003 Server を SCEP サーバーとして使用している場合は、次のように入力します。
https://<YOUR-SCEP-SERVER>/CertSrv/MSCEP
-
「ユーザー」および「パスワード」フィールドに、チャレンジコードを作成できるユーザーのログイン情報を入力します。
「ユーザー」フィールドに、証明書の登録権限を持つユーザーを入力します。「
username@domain
」というログイン形式で指定します。 -
「チャレンジの文字」フィールドで、チャレンジパスワードで使用する文字の種類を選択します。
- 「チャレンジの文字数」フィールドで、デフォルトの文字数を指定します。
- 任意: Sophos Mobile が SCEP サーバーに接続する際、HTTP プロキシをバイパスするように設定するには、「HTTP プロキシを使用」オプションを選択解除します。このオプションは、HTTP プロキシが有効化されている場合のみに使用できます。
- 「SCEP サーバーの URL」フィールドに、次のように入力します。
-
「保存」をクリックします。
Sophos Mobile は、SCEP サーバーへの接続をテストします。
SCEP の使用
SCEP を使って証明書をデバイスにインストールするには、次の手順を実行します。
- ポリシーを作成するか、既存のポリシーを編集します。詳細は、ポリシーの作成を参照してください。
- SCEP サーバー証明書のルート証明書設定をポリシーに追加します。
- ポリシーに SCEP 設定を追加します。
- ポリシーの「SCEP の更新間隔」で、デバイスが証明書の更新を要求する間隔を設定します。
- ポリシーをデバイスに割り当てます。詳細は、ポリシーの割り当てを参照してください。
ルート証明書と SCEP の設定の詳細については、ポリシータイプに関連するヘルプページを参照してください。