デバイスアクセスに独自のCAを使用する

認証局(CA)としてOktaを使用しない場合は、デバイスアクセスに独自のCAを使用することができます。

手順

  1. Admin Console[Security(セキュリティ)][Device integrations(デバイス統合)]に移動します。

  2. [Certificate Authority(認証局)]タブをクリックします。

  3. [Add certificate authority(認証局を追加)]をクリックします。

  4. [デバイスアクセス]ラジオボタンを選択します。

  5. [Browse files(ファイルを参照)]をクリックし、アップロードする適切な証明書ファイルを選択します。証明書がOktaによって自動的にアップロードされ、アップロードが成功するとメッセージが表示されます。

    証明書の詳細を見るには、[View root certificate chain details(ルート証明書チェーンの詳細を表示)]をクリックします。

  6. [Save(保存)]をクリックします。

証明書をデプロイする

デバイスアクセスに独自のCAを使用する場合は、管理対象デバイス向けに独自の認証局を使用する場合と同じプロセスに従います。

CAをOkta Device Accessに特定して使用するには、3つの軽微な変更が必要です。

  1. Admin Consoleで証明書をOktaにアップロードする前に、[Device Access(デバイスアクセス)]ラジオボタンを選択します。

  2. MDMで、証明書が[Computer Level(コンピューターレベル)]でデプロイされていることを確認します。

  3. エンドポイント管理について説明している手順はスキップします。

必要な設定で証明書がデプロイされたことを確認できない場合は、タスクの手順を見直してください。Okta Admin Console[Device Access(デバイスアクセス)]が選択され、MDMで証明書が[Computer Level(コンピュータレベル)]に設定されていることを確認してください。

カスタム証明書拡張機能を追加する

証明書がアップロードされたら、デバイスアクセスが適切な証明書を見つけて選択できるように、発行されたクライアント証明書にカスタム証明書拡張機能を追加します。

証明書拡張機能に次の値を追加します。

  • [Extension OID(拡張機能OID)]1.3.6.1.4.1.51150.13.1

  • [Extension value(拡張機能値)]1(整数)

Oktaデバイスアクセスの認証局として構成した場合、Oktaはユーザーの代わりにこの手順を完了します。

証明書拡張機能の形式はCAプロバイダーによって異なります。使用する適切な形式については、プロバイダーのドキュメントを参照してください。

Active Directory証明書サービス

CAとしてWindows Active Directory証明書サービス(AD CS)を使用する場合は、拡張キー使用法(EKU)の証明書拡張機能に次のOID拡張機能を追加する必要があります。

  • [Extension OID(拡張機能OID)]1.3.6.1.4.1.51150.13.1.1

Windows CA以外のCAを使用している場合、この追加の機能拡張は必要ありません。

以下はDigiCertのカスタム拡張機能証明書の例を示します。

コピー 
  {
      "oid": "1.3.6.1.4.1.51150.13.1",
      "template": {
        "type": "INTEGER",
        "value": "1"
      }
  }

次の手順

認証局を構成する

クライアント証明書

管理証明に関するよくある質問