鍵を生成してSCEPサーバーから証明書を取得/登録する
本機で鍵を生成するときに、証明書を管理するSCEP(Simple Certificate Enrollment Protocol)サーバーに証明書の発行を要求することができます。SCEPサーバーから取得した証明書は、本機に自動的に登録されます。
本機で生成可能な鍵と発行要求可能な証明書のアルゴリズムについては、自己生成鍵とCSR(Certificate Signing Request:証明書署名要求)の仕様を参照してください。鍵と証明書
本機が対応しているSCEPは、Windows Server 2008 R2 / Server 2012 R2 / Server 2016 のネットワークデバイス登録サービス(NDES)のみです。HTTPSによる通信はサポートしていません。
本機で生成可能な鍵と発行要求可能な証明書のアルゴリズムについては、自己生成鍵とCSR(Certificate Signing Request:証明書署名要求)の仕様を参照してください。鍵と証明書
本機が対応しているSCEPは、Windows Server 2008 R2 / Server 2012 R2 / Server 2016 のネットワークデバイス登録サービス(NDES)のみです。HTTPSによる通信はサポートしていません。
SCEPサーバーから証明書を取得/登録するには、SCEPサーバーとの通信設定をしてから、鍵の生成と証明書の発行要求を行います。証明書の発行要求を、指定した日時に行うように設定することもできます。
SCEPサーバーの通信設定をする
この設定は、パソコンからリモートUIを使用して行います。操作パネルを使用して設定することはできません。
管理者権限が必要です。
管理者権限が必要です。
必要な準備
SCEPサーバーのURLとポート番号を手元に用意します。
1
リモートUIに管理者ユーザーでログインする リモートUIを起動する
2
リモートUIのポータル画面で、[設定/登録]をクリックする リモートUIのポータル画面
3
[デバイス管理]
[証明書発行要求設定(SCEP)][通信設定]をクリックする
[証明書発行要求設定(SCEP)][通信設定]をクリックする[通信設定]画面が表示されます。
4
SCEPサーバーの情報を設定する
[SCEPサーバーのURL]
接続するSCEPサーバーのURLを入力します。
[ポート番号]
SCEPサーバーとの通信で使用するポート番号を入力します。
[通信タイムアウト]
通信開始からタイムアウトするまでの時間を秒単位で入力します。
5
[更新]をクリックする
設定が反映されます。
6
リモートUIからログアウトする
鍵の生成と証明書の発行要求を行う
鍵の生成と証明書の発行要求は、パソコンからリモートUIを使用して行います。操作パネルを使用して行うことはできません。
管理者権限が必要です。証明書を取得したあとは、本機の再起動が必要となります。
管理者権限が必要です。証明書を取得したあとは、本機の再起動が必要となります。
※指定した日時に証明書を発行するように設定している場合は、この方法での証明書の発行要求はできません。指定した日時に証明書の発行要求を行う
1
リモートUIに管理者ユーザーでログインする リモートUIを起動する
2
リモートUIのポータル画面で、[設定/登録]をクリックする リモートUIのポータル画面
3
[デバイス管理][証明書発行要求設定(SCEP)][証明書の発行要求]をクリックする
[証明書発行要求設定(SCEP)][証明書の発行要求]をクリックする[証明書の発行要求]画面が表示されます。
4
鍵や証明書の情報を設定する
[鍵の名前]
鍵の名前を半角英数字で入力します。
[署名アルゴリズム]
署名アルゴリズムをプルダウンメニューから選択します。
[鍵の長さ(bit)]
鍵長をプルダウンメニューから選択します。数値が大きいほど安全性が高まる一方、通信時の処理が遅くなります。
[組織]
必要に応じて、組織名を半角英数字で入力します。
[共通名]
必要に応じて、証明書の主体者の名前を半角英数字で入力します。「Common Name」(CN)または「一般名」に該当します。
[発行先代替名]
必要に応じて、SAN(Subject Alternative Name)に設定するIPアドレスまたはドメインを入力します。
[発行先代替名]を設定しない場合は、[設定しない]にチェックマークを付けます。
[IPアドレス]には、IPv4アドレスのみ設定できます。
[チャレンジパスワード]
SCEPサーバーにパスワードが設定されている場合は、発行要求時に使用するパスワードを半角英数字で入力します。
[鍵の使用先]
生成した鍵の使用先を選択します。使用先が決まっていない場合は、[用途なし]を選択します。[IPSec]を選択した場合は、使用先のIPSecをプルダウンメニューから選択します。
5
[発行要求][OK]をクリックする
[OK]をクリックする証明書の発行要求がSCEPサーバーに送信されます。
6
[証明書を取得しました。[再起動]をクリックして、デバイスを再起動してください。]と表示されたら、[再起動]をクリックする
本機が再起動し、鍵と証明書が登録されます。
メモ
発行要求の状況やエラー情報を確認する
[設定/登録][デバイス管理][証明書発行要求設定(SCEP)][証明書の発行要求状況]をクリックすると、詳細情報を確認できます。
証明書が発行されなかった場合は、発行要求状況にエラーが表示されます。表示されるメッセージと対処方法については、以下を参照してください。
[デバイス管理][証明書発行要求設定(SCEP)][証明書の発行要求状況]をクリックすると、詳細情報を確認できます。証明書が発行されなかった場合は、発行要求状況にエラーが表示されます。表示されるメッセージと対処方法については、以下を参照してください。
登録された証明書の詳細情報を確認/検証する
[設定/登録][デバイス管理][鍵と証明書設定]の鍵と証明書の一覧で、鍵の名前(または証明書のアイコン)をクリックすると、証明書の詳細情報を確認できます。
[デバイス管理][鍵と証明書設定]の鍵と証明書の一覧で、鍵の名前(または証明書のアイコン)をクリックすると、証明書の詳細情報を確認できます。証明書詳細情報の画面で、[証明書の検証]をクリックすると、証明書が有効かどうかを検証できます。
鍵と証明書を削除できない場合
使用中の鍵と証明書は削除できません。使用している機能を解除するか、別の鍵と証明書に変更してから削除します。
指定した日時に証明書の発行要求を行う
証明書の発行要求を、指定した日時に行います。定期的に発行要求するように設定することもできます。
この設定は、パソコンからリモートUIを使用して行います。操作パネルを使用して設定することはできません。
管理者権限が必要です。
管理者権限が必要です。
1
リモートUIに管理者ユーザーでログインする リモートUIを起動する
2
リモートUIのポータル画面で、[設定/登録]をクリックする リモートUIのポータル画面
3
[デバイス管理][証明書発行要求設定(SCEP)][証明書の自動発行要求設定]をクリックする
[証明書発行要求設定(SCEP)][証明書の自動発行要求設定]をクリックする[証明書の自動発行要求設定]画面が表示されます。
4
[証明書自動発行要求タイマーを有効にする]にチェックマークを付け、発行要求の開始日と開始時刻を入力する
5
必要に応じて、自動発行要求時の設定をする
[発行要求時刻を自動調整する]
発行要求時刻を調整したい場合は、チェックマークを付けます。
発行要求開始時刻からランダムに 1 分 ~ 10 分時刻をずらし、SCEPサーバーの負荷を軽減します。
発行要求開始時刻からランダムに 1 分 ~ 10 分時刻をずらし、SCEPサーバーの負荷を軽減します。
[通信エラー発生時、または証明書の発行要求を保留時にポーリングを行う]
証明書の発行が保留になっている場合などに、SCEPサーバーの状態を確認します。チェックマークを付け、ポーリングの回数と間隔を入力します。
※以下の場合は、ポーリングは行われず、エラーになります。
本機に登録可能な鍵と証明書の上限を超えた場合
取得したレスポンスデータにエラーがあった場合
SCEPサーバー側でエラーが発生した場合
[定期的に発行要求を送信する]
証明書の発行要求を自動で定期的に行います。チェックマークを付け、発行要求の間隔をプルダウンメニューから選択します。
この設定を有効にした場合、発行要求開始日と開始時刻が再設定されます。
この設定を有効にした場合、発行要求開始日と開始時刻が再設定されます。
[証明書を取得後、自動的に本体を再起動する]
証明書を取得したあとに本機を再起動させる場合は、チェックマークを付けます。
[古い鍵と証明書を削除する]
鍵の使用先が同一の鍵と証明書を上書きする場合は、チェックマークを付けます。
6
[発行要求対象の鍵と証明書の設定]で、鍵や証明書の情報を設定する
[鍵の名前]
鍵の名前を半角英数字で入力します。
[署名アルゴリズム]
署名アルゴリズムをプルダウンメニューから選択します。
[鍵の長さ(bit)]
鍵長をプルダウンメニューから選択します。数値が大きいほど安全性が高まる一方、通信時の処理が遅くなります。
[組織]
必要に応じて、組織名を半角英数字で入力します。
[共通名]
必要に応じて、証明書の主体者の名前を半角英数字で入力します。「Common Name」(CN)または「一般名」に該当します。
[発行先代替名]
必要に応じて、SAN(Subject Alternative Name)に設定するIPアドレスまたはドメインを入力します。
[発行先代替名]を設定しない場合は、[設定しない]にチェックマークを付けます。
[IPアドレス]には、IPv4アドレスのみ設定できます。
[チャレンジパスワード]
SCEPサーバーにパスワードが設定されている場合は、発行要求時に使用するパスワードを半角英数字で入力します。
[鍵の使用先]
生成した鍵の使用先を選択します。使用先が決まっていない場合は、[用途なし]を選択します。[IPSec]を選択した場合は、使用先のIPSecをプルダウンメニューから選択します。
7
[更新]をクリックする
設定が反映されます。
8
リモートUIからログアウトする
メモ
発行要求の状況やエラー情報を確認する
[設定/登録][デバイス管理][証明書発行要求設定(SCEP)][証明書の発行要求状況]をクリックすると、詳細情報を確認できます。
証明書が発行されなかった場合は、発行要求状況にエラーが表示されます。表示されるメッセージと対処方法については、以下を参照してください。
[デバイス管理][証明書発行要求設定(SCEP)][証明書の発行要求状況]をクリックすると、詳細情報を確認できます。証明書が発行されなかった場合は、発行要求状況にエラーが表示されます。表示されるメッセージと対処方法については、以下を参照してください。
登録された証明書の詳細情報を確認/検証する
[設定/登録][デバイス管理][鍵と証明書設定]の鍵と証明書の一覧で、鍵の名前(または証明書のアイコン)をクリックすると、証明書の詳細情報を確認できます。
[デバイス管理][鍵と証明書設定]の鍵と証明書の一覧で、鍵の名前(または証明書のアイコン)をクリックすると、証明書の詳細情報を確認できます。証明書詳細情報の画面で、[証明書の検証]をクリックすると、証明書が有効かどうかを検証できます。
鍵と証明書を削除できない場合
使用中の鍵と証明書は削除できません。使用している機能を解除するか、別の鍵と証明書に変更してから削除します。