MDM サーバーで SCEP の機能を使用するように構成する
SCEP を構成するには、Fixlet ID 203 をデプロイします。Configure Settings for SCEP functionality on MDM Server。
About this task
Configure Settings for SCEP functionality on MDM Server をデプロイするには、以下の手順を実行します。Procedure
- Bigfix コンソールにログインします。
- ドメイン・パネルの「Fixlet とタスク」アイコンを開きます。
- 検索バーに、「Configure Settings for SCEP」と入力します。
- Configure Settings for SCEP functionality on MDM Server という名前の Fixlet を選択します
-
「記述」タブで、必要な情報を入力します。
- SCEP URL: 対応する SCEP サーバーから証明書をダウンロードするために Windows クライアントが到達可能な URL を構成します。例:
http://scep.example.com:8080/certsrv/mscep.dll/Note: 現在、BigFix MCM は SCEP サーバーとして NDES をサポートしています。NDES の構成の詳細については、BigFix Wiki のドキュメントで「NDES サーバーを構成する」を参照してください。 - SCEP 管理者 URL: SCEP を呼び出すためのチャレンジ・パスワードと CA サムプリントを取得するための URL。例:
http://scep.example.com:8080/certsrv/mscep_admin/ - チャレンジの有効期限: ワンタイム・パスワードです。Fixlet で、「チャレンジの有効期限」の値は、NDES サービスでの構成に基づいて設定されます。
- デフォルトの設定で NDES を構成する場合は、Fixlet で、「チャレンジの有効期限」を 0 に構成します。これにより、「チャレンジの有効期限」は 60 分以内に 1 回利用可能になります。MDM は毎回、新しいパスワードを要求します。
- NDES の設定を「期限切れなし」に構成してパスワードを再利用するようにするには、Fixlet で「チャレンジの有効期限」を -1 に構成します。これにより、パスワードが期限切れになることはありません。MDM は 1 回パスワードを要求し、次回以降の利用のためにパスワードがキャッシュされます。
-
NDES の設定を「チャレンジの有効期限」の時間 (分単位) で構成するには、Fixlet で、NDES の設定と同じ整数値 (分) で「チャレンジの有効期限」を構成します。これにより、構成した期間にわたりパスワードがキャッシュされます。その期間を経過すると、新しいパスワードが要求されます。
- サーバー・タイプ: 「NDES」と入力します。
- サーバー・ユーザー: SCEP 管理者ユーザーのメール・アドレスを入力します。例:
ndesadmin@mcm.bigfix.com - サーバー・パスワード: SCEP 管理者ユーザーのパスワードを入力します。
- SCEP ポリシー:
- NA - 適用不可。このオプションは、SCEP を無効にする際に使用します。証明書の配信に SCEP を使用しない場合は、このオプションを選択して SCEP を無効にし、他のパラメーターはすべて空欄のままにします。SCEP ポリシー・タイプを「N/A」にすると、他のすべてのパラメーターはチェックされません。
- PROXY - このように構成すると、プロキシーを介してエンドポイントからの SCEP 証明書要求が送信されます。
- DIRECT - このように構成すると、SCEP はインターネットからアクセスできるようになり、エンドポイントはすべて、SCEP URL に直接アクセスして証明書を要求します。
Note: SCEP ポリシー・タイプが「PROXY」または「DIRECT」の場合、Fixlet のデプロイに進むには、パラメーターすべての値を入力する必要があります。
- SCEP URL: 対応する SCEP サーバーから証明書をダウンロードするために Windows クライアントが到達可能な URL を構成します。例:
- 「アクションの実行」をクリックします。
- 「ターゲット」タブで、MDM サーバーを選択します。
- 「OK」をクリックします。