デバイスアクセスに独自のCAを使用する

デバイスアクセス認証局(CA)としてOktaを使用しない場合は、独自のCAを使用することができます。

このタスクを開始する

  1. Admin Consoleセキュリティ(Security) > デバイス統合(Device integrations)に移動します。

  2. 認証局 タブをクリックします。

  3. 認証局を追加(Add certificate authority)をクリックします。

  4. デバイスアクセス(Device Access)ラジオボタンを選択します。

  5. ファイルを参照(Browse files)をクリックし、アップロードする適切な証明書ファイルを選択します。

    証明書がOktaによって自動的にアップロードされ、アップロードが成功するとメッセージが表示されます。

    証明書の詳細を見るには、ルート証明書チェーンの詳細を表示(View root certificate chain details)をクリックします。

  6. 保存(Save)をクリックします。

証明書をデプロイする

デバイスアクセスに独自のCAを使用する場合は、管理対象デバイス向けに独自の認証局を使用する場合とほぼ同じプロセスに従います。

CAをOkta デバイスアクセスに特定して使用するには、3つの軽微な変更が必要です。

  1. Admin Consoleで証明書をOktaにアップロードする前に、 デバイスアクセス を選択します。

  2. MDMで、証明書がコンピューターレベル(Computer Level)でデプロイされていることを確認します。

  3. エンドポイント管理について説明している手順はスキップします。

必要な設定で証明書がデプロイされたことを確認できない場合は、タスクの手順を見直してください。

カスタム証明書拡張機能を追加する

証明書がアップロードされたら、デバイスアクセスが適切な証明書を見つけて選択できるように、発行されたクライアント証明書にカスタム証明書拡張機能を追加します。

証明書拡張機能に次の値を追加します。

  • 拡張機能OID(Extension OID)1.3.6.1.4.1.51150.13.1

  • 拡張機能値(Extension value)1(整数)

証明書拡張機能の形式はCAプロバイダーによって異なります。使用する適切な形式については、プロバイダーのドキュメントを参照してください。

Active Directory証明書サービス

CAとしてWindows Active Directory証明書サービス(AD CS)を使用する場合は、拡張キー使用法(EKU)の証明書拡張機能に次のOID拡張機能を追加する必要があります。

拡張機能OID(Extension OID)1.3.6.1.4.1.51150.13.1.1

Active Directory証明書サービスを構成する」を参照してください。

Windows CA以外のCAを使用している場合、この追加の機能拡張は必要ありません。

以下はDigiCertのカスタム拡張機能証明書の例を示します。

 {
      "oid": "1.3.6.1.4.1.51150.13.1",
      "template": {
        "type": "INTEGER",
        "value": "1"
      }
  }

関連項目

OktaをCAとして使用する:デバイスアクセス

Active Directory証明書サービスを構成する

証明書のデプロイメントを検証する