circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

サーバー証明書の更新

このページでは RADIUSaaS サーバー証明書の更新プロセスについて説明します。

サーバー証明書は、RADIUSaaS上のEAP-TLS内側トンネルとRadSec TLS外側トンネルの両方を保護するために不可欠です。認証失敗を防ぐため、有効期限が切れる前に証明書を更新してください。

hashtag
サーバー証明書は次の2種類のいずれかになります:

  1. Customer-CA(カスタマーCA)arrow-up-right。これはRADIUSaaSに付属し、有効期限が長く20年です。現在、既存のものと並行して新しいCustomer-CAを作成する方法はありません。つまり、既存の期限切れになるCustomer-CAを削除してから新しいものを作成する必要があります。新しいCustomer-CAを作成すると、新しいルート証明書が生成され、クライアントに再配布する必要があります。以下に従ってください。 こちら の記事に従って、新しいCustomer-CAを配布し、MDMのWiFiポリシーで参照してください。

  2. 独自のPKIを使用したBYO(Bring Your Own)証明書、例: SCEPman発行のサーバー証明書arrow-up-right。SCEPmanのサーバー証明書は2年ごとに期限切れになるため、ダウンタイムを防ぐためにリマインダーを設定してください。BYO証明書を使用する場合、以下が前の証明書と変更されないものと想定されます。 CAのルート証明書FQDN(SubjectおよびSAN) は、有効期限が切れる証明書と変わらないものとみなされます。したがって、証明書の再配布は不要です。

hashtag
新しい証明書の作成

hashtag
組み込みのCustomer-CA

このタイプの証明書は20年間有効で、有効期限前に更新することはできません。ただし、以下に従って削除して新しいものを作成することは可能です。 こちら arrow-up-rightガイド。

hashtag
BYO証明書

例えばSCEPman発行のサーバー証明書など、独自の証明書を使用したい場合は、以下に従ってください。 こちら arrow-up-rightリンクに従って、有効期限前にSCEPmanまたはご希望のPKIでサーバー証明書を作成してください。

hashtag
新しいサーバー証明書の展開

hashtag
Intune プロファイル

Customer-CAを更新する場合、または前のものと異なるルートとFQDNを持つBYO CAを更新する場合は、以下の手順に従ってこの証明書をクライアントに再配布してください。CAのルート証明書とFQDN(SubjectおよびSAN)に変更がないBYO証明書を使用している場合は、この手順をスキップできます。

  1. 新しい サーバー証明書/信頼済みルート を、記載のとおりクライアントに展開してください。 ここarrow-up-right を作成して、 新しい プロファイル。

  2. 既存の 既存の WiFiまたは有線プロファイル(複数可)を更新する

    • Intuneウィザードを使用してネットワークプロファイルを作成した場合、関連するすべてのプロファイルを編集して、 2つ目の信頼されたサーバー証明書を追加する。新しい証明書が異なるドメインを持つ場合、忘れずに 証明書サーバー名 の下に2つ目のサーバー名を追加してください。

    • カスタムプロファイルを使用してネットワークプロファイルを作成した場合は、RADIUSaaSから生成されたXMLを再ダウンロードし、 ここarrow-up-rightに置き換えて既存のプロファイルに差し替えてください。両方のサーバー証明書のサムプリントはXMLに自動的に含まれます。

  3. すべてのクライアントが更新されたプロファイルを受信するまで 待ってください

例:2つの信頼されたRADIUSサーバー証明書と異なるドメインを含む更新されたWindows 10用WiFiプロファイル。

hashtag
WiFiおよびLANインフラストラクチャ

もしあなたが RadSecを使用している場合arrow-up-right、新しい サーバー証明書 をアクセスポイントまたはネットワークスイッチデバイスにアップロードしてください。

hashtag
新しいサーバー証明書の有効化

最後に、新しい証明書に切り替える準備ができたら、記載のとおりそれを有効化してください。 ここ.

最終更新

役に立ちましたか?