Cisco Meraki MRの802.1X 無線認証にクラウドRADIUS(SecureW2)を利用する
ペンティオオリジナル記事
Jamf Proで802.1X 無線認証用のSCEP証明書を自動配布する
〜組織が管理するデバイスにネットワーク接続を制限する〜
検証概要
今回は、無線LANへの接続にクライアント証明書を利用する802.1X認証(EAP-TLS)を設定したSSIDに接続するため、Jamf Pro管理下のデバイスに対して、クラウドPKI機能を持つSecureW2のSCEP連携機能を利用したクライアント証明書の自動発行・配布について検証を行いました。これにより、組織が管理するデバイスのみがネットワークに参加できることを担保します。
本ソリューションの導入によって、以下のようなメリットが得られます:
- 証明書ライフサイクル(発行・失効)の自動化による証明書更新作業をはじめとするPKI運用負荷の大幅な軽減
- 証明書の有効期限管理や失効漏れ防止によるセキュリティの維持
- Self Service経由でのオンデマンド構成プロファイル配布にも対応
今回の検証では、クライアント証明書を配布するデバイスはMacBook ProとiPhoneの2つを利用していきます。
| 製品名 | メーカー | 役割・機能 | バージョン |
|---|---|---|---|
| Jamf Pro | Jamf | MDM(構成プロファイル配布) | 11.17.1 |
| SecureW2 JoinNow | SecureW2 | RADIUSサーバー・認証局/発行局 | 7.9.1.GA1 |
| MR-33-HW | Cisco Meraki | RADIUSクライアント・アクセスポイント | MR30.6 |
| Mac Book Pro | Apple | 802.1Xサプリカント | macOS Sequoia 15.5 |
| iPhone 16e | Apple | 802.1Xサプリカント(スマートフォン) | iOS18.4.1 |
今回の検証における連携構成
今回の構成で証明書が発行される流れを下図に示します。
- デバイスがJamf Proに管理デバイスとして参加します
- Jamf ProがSCEP設定を基に、デバイスに対してSCEPプロファイルを配布します
- デバイスがSecureW2に対して直接SCEP要求を行います
- SecureW2が証明書テンプレートを基に、デバイスに対して直接認証局で署名した証明書を発行します
本記事でご紹介する構成を導入する前後で、デバイスおよびPKI管理にどのような違いが生まれるのかを、具体的なユースケースでご紹介します。
シナリオ | 従来の運用(Before) | 導入後の運用(After) |
|---|---|---|
急成長中のSaaS企業でのゼロタッチ導入 |
Apple Business
Managerでデバイスを登録後、IT部門が証明書発行URLを都度手動で案内。 |
Jamf
Proによる新入社員用端末の自動登録と同時に、SecureW2がSCEP(証明書自動発行プロトコル)経由でクライアント証明書を払い出し、Wi-Fi設定を構成プロファイルで自動適用。 |
教育機関(iPad導入校)のIT部門 | 新入生は端末へ証明書をUSBやQRコード等で手動配布。新学期には無線接続トラブルで情シス窓口がパンク。 |
Jamf
Proによる端末登録と同時に、SecureW2が証明書とWi-Fi構成を自動配布。 |
支店・支社への社用Mac貸与 |
出張や異動時にユーザーが端末受領後、手動で証明書をインストール。 |
JamfのSmart
Groupで拠点別デバイスを自動判別し、SecureW2の証明書とWi-Fiプロファイルを条件付きで配布。 |
今回の検証ではデバイスが直接SecureW2に対して証明書要求を行なっております。状況に応じてJamf ProがSecureW2とデバイス間の通信をプロキシするよう設定できますので、社用デバイスのWebサイトへのアクセスにホワイトリスト方式等の制限をかけている企業様でもJamf Proのご利用が可能です。 他にもSCEP設定の際に入力するチャレンジパスワードの種類を静的(Static)にも動的(Dynamic)にも設定することが可能です。詳しくはペンティオまでお問い合わせください。
前提条件
今回の検証は、以下の前提で行なっております。
- SecureW2、およびJamf Proの管理者アカウントを持っていること
- SecureW2上でルート・中間認証局、証明書テンプレートが作成されていること
- ルート・中間認証局の証明書(cerファイル)をダウンロードしていること
- Jamf Proに Apple プッシュ通知用の証明書のアップロードおよび Appleデバイスを登録済みであること
-
アクセスポイントの設定が完了していること
- 本検証では、Cisco Meraki MRシリーズを使用しています
- 各種アクセスポイントにおけるRADIUSベースのEAP-TLS認証の構成例については、こちらの検証記事をご参照ください
作業概要
- SecureW2で認証局の構成、証明書テンプレート作成、SCEP URL生成、ポリシー設定を実施
- Jamf Proで信頼済み証明書、SCEP構成プロファイル、ネットワーク構成プロファイルを作成
1. SecureW2の設定
SecureW2で設定が必要な項目は以下の通りです。
- 認証局に関する設定
- Jamf Proとの連携に関する設定
- 証明書発行に必要な各種設定
SecureW2における認証局(CA)とは、ルート認証局と中間認証局のことで、ルート認証局は中間認証局の中間証明書だけを発行し、中間認証局はクライアント証明書を発行します。
今回の検証では、認証局の設定および証明書発行に必要な一部の構成について、デフォルト設定または任意の簡易な値で構築可能な内容を採用しています。詳細な設定内容や構成例についてご不明な点がございましたら、ペンティオまでお問い合わせください。
本セクションでは、Jamf Proとの連携に必要なAPIトークンの生成と、証明書発行に用いるEnrollmentポリシーの設定を詳しく説明します。
1.1. 認証局に関する設定
1.1.1. ルート・中間認証局
今回使用する認証局はデフォルトのものを使用します。
赤枠で囲ったボタンを押して証明書をダウンロードします。
ダウンロードしたファイルはJamf Proの設定で使います。
1.1.2. 証明書テンプレート
証明書テンプレートは、証明書を配布する際に証明書に含める情報を決定する要素となるものです。
SecureW2の証明書テンプレートに設定する変数によって、Jamf
ProのSCEPプロファイルの設定に入力された値が記載された証明書を発行可能です。
今回は以下に示したように証明書テンプレートとSCEPの設定をしました。下記の4つの変数はそれぞれどの項目にも設定できます(例
:
SubjectにCN=${/device/clientId}と入力する等)。SCEPプロファイルの設定は後ほどご説明いたします。
1.2. Jamf Proとの連携に関する設定
SCEP連携を行うことにより、Jamf
Pro管理デバイスにSecureW2の認証局で発行した証明書を自動配布できるようになります。この連携を実現するには、SecureW2で生成したSCEP
URLをJamf Proに登録する必要があります。
これから、SECP
URLを生成するためにAPI
Gatewayを作成する手順をご説明していきます。
-
Identity Management > [API Gateways]をクリックします。
- [Add API Gateway]をクリックします。
-
Basicタブでは以下の画像のように入力します。
設定が終わったら[Save]をクリックします。
-
正常に API
Gatewayが登録されると、CSVファイルがブラウザからダウンロードされるので、テキストエディタで開きます。
以上で SCEP URLが完成しました。写真の青枠で囲んだ文字列がシークレット、赤枠で囲んだ文字列がSCEP URLです。 これは後で使用するので、大切に保管しておいてください。
1.3. 証明書発行に必要な各種設定
Jamf Pro管理デバイスへの適切な証明書配布、無線LAN接続の際のRADIUS認証を正しく行うためにはポリシーの設定が必要となります。Jamf Pro管理デバイスに証明書を発行し、その証明書を持つデバイスのみRADIUS認証が成功するようなポリシー設定を行います。
1.3.1. Policy Engine Workflows
Policy Engine Workflowsを利用することで、Jamf Proユーザー(デバイス)を識別します。
今回は名称を「Jamf Pro」とし、デフォルトの設定を使用します。
1.3.2. Device Role ポリシー
のちに設定するEnrollment
ポリシーで必須となるポリシーです。
今回はデフォルトのものを使用します。
1.3.3. Enrollment ポリシー
Enrollment Policyは、 1.3.1, 1.3.2で設定したPolicy Engine Workflow、Device
Policyを利用してJamf Pro管理デバイスに対して、どの中間認証局と証明書テンプレートを使用してクライアント証明書の発行を行うかを定義します。
-
Policy Management > Enrollment Policiesを開き、一覧の下にある[Add Enrollment Policy]
をクリックします。
-
Enrollment Policy 作成画面に移動します。名前を入力し、[Save]をクリックします。
-
Enrollment
Policyが作成できると、Basicタブの右側にConditions,
Settingsタブが選択できるようになります。Conditionsタブを開き、RoleとDevice
Roleを設定します。
-
Conditionsタブの設定が完了したらSettingsタブを開き、画像の通りに設定を行います。 Use Certificate
Authorityには中間認証局を、Use
Certificate Templateには証明書テンプレートを設定します。設定が完了したら[Update]をクリックします。
以上でEnrollment Policyの設定は完了です。
1.3.4. Network Policy
Networkポリシーはユーザーが無線LANに接続要求をした際のアクセスレベルを定義します。RADIUSサーバーは、証明書登録時に証明書そのものの情報やSecureW2、デバイスから取得した情報を条件として、接続の許可・拒否を判断します。今回は名称を「Jamf Pro」とします。
これで、SecureW2の設定は以上です。
次は、Jamf Proで証明書を配布する設定を行います。
2. Jamf Proの設定
次に、Jamf Proの設定を行います。本構成はデバイスにいきなり証明書が配られるのではなく、構成プロファイルが先に配布されそこにある情報を基にクライアント証明書が配布されます。具体的には、以下3つの設定をプロファイルに含めデバイスに配布する設定を行う必要があります。
-
信頼済み証明書の設定
- EAP-TLS認証およびSCEP連携をするために必要となる信頼設定
-
SCEP証明書の配布設定
- 実際にクライアント証明書を配布する設定
-
ネットワーク設定
- SCEPで配付した証明書を無線LAN認証で使うためのネットワーク設定
今回は、SCEP証明書の配布設定を詳しくご説明させていただきます
JamfではmacOS・iOSを扱うことができ、証明書の設定もほとんど同じではありますが、ドキュメントの手順をOSごとに実行していただく必要がございます。
2.1. macOSの設定
-
Jamf Pro にログインし、コンピュータをクリックします。
- 構成プロファイル > + 新規をクリックします。
- 一般タブで以下の画像のように入力します。
Jamf Proでは、ユーザー・デバイス証明書どちらも作成することができますが、今回はデバイス証明書を作成していきます。デバイス証明書とは、ユーザーが使う端末に登録される証明書のことです。基本的には、端末を操作できる全てのユーザーが使うことができます。
2.1.1. 信頼済み証明書の設定無線LANにEAP-TLS認証(証明書認証)の設定を行うために、Jamf Pro上でファイルをアップロードすることで、以下3種類の証明書をデバイスに信頼させます。
-
DigiCert の認証局( DigiCert Global Root G3)
- EAP-TLS 認証では、接続を要求するクライアントと認証を行う RADIUS サーバーが、相互に証明書を用いて認証し合う仕組みになっています。
- クライアントが RADIUS サーバーを正規の認証サーバーとして信頼するためには、サーバーが提示する証明書を検証する必要があります。その際に証明書チェーンの最上位として利用されるのが DigiCert Global Root G3 であり、このルート証明書がクライアント端末に格納されていることが不可欠です。
- SecureW2でダウンロードしたルート認証局(Pentio Development Device Root CA)
-
SecureW2でダウンロードした中間認証局(Pentio Development
Device Intermediate CA)
- RADIUS サーバーは、クライアント証明書を提示した端末が正規のものであることを確認するために、証明書チェーンの検証を行う必要があります。
- 証明書チェーンの基点となるのは SecureW2 が提供する認証局です。具体的には、ルート認証局と中間認証局をデバイスに信頼させる設定を行うことで、デバイスに配布されたクライアント証明書を正しく検証できるようになります。これにより、EAP-TLS の相互認証が成立します。
これで、配布するプロファイルに信頼済み証明書の設定を含めることができました。
右下の[保存]をクリックしましょう。SCEP証明書の設定に進みます。
2.1.2. SCEP証明書の設定
-
SCEP連携の設定を追加するために右下の[編集]をクリックします。
-
オプションタブから、SCEPタブに移動し[構成]をクリックします。
-
以下のように設定し、[保存]をクリックします。
以上で、SCEP証明書の配布設定をプロファイルに含めることができました。
ここで定義した設定に基づいて、クライアント証明書がデバイスに自動発行されます。
2.1.3. ネットワーク設定
最後に、Wi-Fiの接続設定が入ったプロファイルを作成します。このプロファイルにより、証明書を受け取った後、デバイスがセキュアなSSIDに自動で繋がります。
SSIDやRADIUS設定、認証方法を設定したら完了です。今回設定したSSID名は「Pentio_Network」です。
これで、Jamf Pro の設定は以上になります。
2.2. iOSの設定
Jamf Pro にログインし、デバイスをクリックします。
信頼済み証明書の設定とネットワーク設定はmacOSと同様に設定します。
SCEP証明書の設定
-
SCEP連携の設定を追加するために右下の[編集]をクリックします。
-
オプションタブから、SCEPタブに移動し[構成]をクリックします。
- 以下のように設定します。
ここまで設定できたら、最後に右下の[保存]をクリックします。
以上で、SCEP証明書の配布設定をプロファイルに含めることができました。
ここで定義した設定に基づいて、クライアント証明書がデバイスに自動発行されます。
これで、Jamf Pro の設定は以上になります。
動作確認
最後に、適切に設定が行われたことを確認するため動作検証を行います。動作検証は検証機を用いて行うことを推奨します。
なお、本ドキュメントでは
macOS・iOS端末を用いて検証を行います。
macOS
-
実際に、クライアント端末に構成プロファイルを配布し、証明書がキーチェーンに格納された後にSSIDへ自動接続される様子を動画にまとめました。ぜひご確認ください。
-
証明書が配布され、SSIDに自動接続されたことを確認します。
-
発行されたクライアント証明書のCommon-Name、発行元、シリアル番号を確認します。
-
SecureW2にログインした後、[General Events]にアクセスします。
SecureW2が発行した証明書のシリアル番号が、手順1で確認した証明書のものと一致していることを確認します。
- [RADIUS Events]にアクセスし、無線認証が行われた際のログを確認します。
認証に使われた証明書のCommon-Name、発行元、シリアル番号が、手順3で確認したものと一致していることを確認します。
iOS
-
検証機の[設定]>[一般]>[VPNとデバイス管理]>
モバイルデバイス管理 >[MDM Profile]>[詳細]を開き、Wi-FiのプロファイルのSSIDと、SCEP証明書のサブジェクト名、発行者名、シリアル番号を確認します。
-
証明書を使って無線LANに接続できることを確認します。設定の画面から[Wi-Fi]を開き、配布されたWiFiプロファイルと同じ名前のSSIDをタップします。
-
接続が確認できました。
-
SecureW2にログインした後、
[General Events]
にアクセスします。
SecureW2が発行した証明書のシリアル番号が、手順1で確認した証明書のものと一致していることを確認します。 -
[RADIUS Events]
にアクセスし、無線認証が行われた際のログを確認します。
認証に使われた証明書のCommon-Name、発行元、シリアル番号が、手順1で確認したものと一致していることを確認します。
おわりに
本記事では、無線LAN(802.1X認証 / EAP-TLS)に接続するためのクライアント証明書を、SecureW2で発行し、Jamf Proを通じて管理対象デバイスへ自動配布する設定を検証しました。その結果、macOSおよびiOSデバイスにおいて無線LAN接続が正常に行えることを確認しました。
SecureW2とJamf Proを組み合わせることで、MacBookやiPhoneなど複数のAppleデバイスを包括的かつ効率的に管理できます。SCEP連携によるクライアント証明書の自動配布により、無線LAN認証完了までの時間を大幅に短縮でき、証明書の発行・失効も遠隔かつ自動で処理可能です。これにより、管理者の運用負担とエンドユーザーの待機時間を削減し、社内ネットワークには管理対象端末のみが接続可能となるため、セキュリティリスクを低減できます。
さらに、Jamf Proの「スマートコンピュータグループ / スマートデバイスグループ」機能を活用すれば、証明書配布対象を柔軟に制御できます。ユーザー名、端末名、FileVault暗号化の有無、OSバージョンなどの条件でグループ分けが可能で、適切な端末にのみ証明書が配布できるように設定が可能です。逆に「対象外条件」を設定することもでき、多様なポリシーに対応できます。こうした背景から、Appleデバイスを中心に多数の端末を管理する組織において、セキュリティ強化と業務効率化を同時に実現できるソリューションとして、本構成は有用であると言えるのではないでしょうか。
構成の特徴
- SecureW2の柔軟性
- クラウドPKI機能で証明書の発行、更新、失効を一元管理
- MDMとのSCEP連携やACME連携による効率的な証明書配布
- Jamf Proのリアルタイム性
- 全てのApple製品(macOS,iOS,iPadOS,tvOS)を一括で管理できる
- 多製品と比べ、クライアント証明書の配布完了までの待ち時間が短い(製品Aが短くても5~10分に対し、Jamf Proは長くても5分以内)
- デバイスの自動セットアップにより初期設定の煩わしさを排除
-
高度なセキュリティと運用効率
- 証明書配布の自動化により管理者とエンドユーザーの運用負荷を軽減
- 組織が管理するデバイスのみ証明書を受け取り可能なためネットワーク接続機器の信頼性向上
- スマートコンピュータ(デバイス)グループ機能により管理端末グループの細分化を実現
- SecureW2の高可用性のクラウドRADIUSサービスで安全な接続を実現
以上で、「Jamf Proで802.1X 無線認証用のSCEP証明書を自動配布する」検証レポートを終わります
本記事で登場した製品
SecureW2
- 証明書の発行・更新・失効を含むPKIのライフサイクルをクラウドで管理できるサービスです
- MDMとのSCEP連携・ACME連携によって組織が管理する端末にサイレントで証明書を自動発行・配布します
- VPNやWi-Fiの認証を統合するメンテナンスフリーのクラウド型RADIUSサービスを非常に高い可用性で提供します
Jamf Pro
- Appleが提供しているすべてのOS(iOS,macOS,iPadOS,tvOS)に対応しているMDMサービスです
- 構成プロファイルを直接作成、直接配布してから反映されるまでの時間が短く、一度作成した構成プロファイルを様々な端末にリアルタイムで配布することができます
- Apple Business ManagerまたはApple School Managerにモバイルデバイスを登録すると、デバイスの自動セットアップができます
*本サイトに掲載されている製品またはサービスなどの名称及びロゴは、各社の商標または登録商標です。
- SecureW2とは
- SecureW2の機能
