Windows 10 Mobile へのデジタル証明書のインストール
デジタル証明書は、デジタル情報の暗号化と署名に使用できるキーのペアとユーザーまたはコンピューターの ID をバインドします。証明書が証明書の所有者の身元を保証する証明機関 (CA) によって発行されると、web サイトやサービスとクライアントとのセキュリティで保護された通信が可能になります。
Windows 10 Mobile の証明書は主に次の目的で使用されます。
- Secure Sockets Layer (SSL) を使用して、電話と web サーバーまたはサービスとの間のセキュリティで保護されたチャネルを作成します。
- メールの Microsoft Exchange ActiveSync (EAS) を有効にするために使用されるリバース プロキシ サーバーに対してユーザーを認証します。
- (Windows Phone ストア、またはカスタム会社の配布サイト) からアプリケーションのインストールとライセンス供与を行います。
Internet Explorer を使用して証明書をインストールする
証明書を web サイトに投稿し、デバイスからアクセス可能で証明書のダウンロードに使用できる URL をユーザーが利用できるようにします。ユーザーがページにアクセスし証明書をタップすると、デバイス上で表示されます。ユーザーは証明書を確認することができます。続行すれば、証明書が Windows 10 Mobile デバイスにインストールされます。
メールを使用して証明書をインストールする
Windows 10 Mobile 証明書のインストーラーは、.cer、.p7b、.pem、および .pfx ファイルをサポートしています。メールで証明書をインストールするには、メールのフィルターが .cer ファイルをブロックしていないことを確認します。電子メールで送信された証明書は、メッセージの添付ファイルとして表示されます。証明書を受け取ると、ユーザーはタップして内容を確認し、さらにタップして証明書をインストールすることができます。通常、ID 証明書がインストールされると、ユーザーは証明書を保護するパスワード (またはパスフレーズ) の入力を求められます。
モバイル デバイス管理 (MDM) を使用して証明書をインストールする
Windows 10 Mobile は、ルート、CA、および MDM で構成されるクライアント証明書をサポートしています。MDM を使用して、管理者は直接、追加、削除、またはクエリ ルート証明書と CA 証明書、および Simple Certificate Enrollment Protocol (SCEP) をサポートしている証明書の登録サーバーを使ってクライアント証明書を登録するデバイスを構成できます。SCEP 登録クライアント証明書は、証明書ベースのクライアント認証をするために Wi-Fi、VPN、メール、およびブラウザーで使用されます。MDM サーバーは SCEP 登録クライアント証明書 (ユーザーがインストールした証明書を含む) の照会および削除をすることもでき、現在の証明書の期限が切れる前に、新しい登録要求をトリガーすることもできます。
警告
SCEP は、S/MIME 用の暗号化解除証明書には使わないでください。Windows 10 Mobile で、S/MIME をサポートするためには、PFX 証明書プロファイルを使用する必要があります。Microsoft Intune で PFX 証明書のプロファイル作成する方法については、「Microsoft Intune により証明書プロファイルを使用した企業リソースへのアクセスを有効にする」をご覧ください。
MDM を使って証明書をインストールするプロセス
MDM サーバーは、チャレンジ パスワード、SCEP サーバーの URL、およびその他の登録に関連するパラメーターを含む最初の証明書の登録要求を生成します。
ポリシーは OMA DM 要求に変換され、デバイスに送信されます。
信頼された CA 証明書は、MDM の要求時に直接インストールされます。
デバイスは、証明書の登録要求を受け取ります。
デバイスは、秘密キーと公開キーのペアを生成します。
デバイスは、MDM サーバーによって公開されたインターネットに接続するポイントに接続します。
MDM サーバーは、適切な CA 証明書で署名された証明書を作成し、作成した証明書をデバイスに戻します。
注
デバイスは、証明書を発行する前にサーバー側で追加の検証を行うことを可能にするために保留機能をサポートしています。この場合は、保留状態がデバイスに送信されます。デバイスは、事前構成済みの再試行の回数および再試行期間のパラメーターに基づいて、定期的にサーバーにアクセスします。再試行は、次のいずれかの場合に終了します。
証明書をサーバーから正常に受け取った
サーバーからエラーが返された
再試行の回数が、事前構成済みの制限に達した
証明書は、デバイスにインストールされます。ブラウザー、Wi-Fi、VPN、メール、およびその他のファーストパーティのアプリケーションがこの証明書にアクセスできます。
注
MDM が (登録の要求時に構成された) トラステッド プロセス モジュール (TPM) に格納されている秘密キーを要求した場合、秘密キーは TPM に保存されます。TPM によって保護されている SCEP 登録証明書は、PIN によって保護されないことに注意してください。 ただし、証明書が Passport for Work のキー記憶域プロバイダー (KSP) にインポートされる場合は、Passport PIN によって保護されています。