サーバー証明書の更新

サーバー証明書は、RADIUSaaS 上で EAP-TLS の内部トンネルと RadSec TLS の外部トンネルの両方を保護するために不可欠です。認証失敗を防ぐため、証明書の有効期限が切れる前に更新してください。

サーバー証明書には、次の 2 種類のいずれかを使用できます。

1. Customer-CA。これは RADIUSaaS に付属しており、有効期限が 20 年と長く設定されています。現在、既存の Customer-CA に加えて新しい Customer-CA を作成する方法はありません。つまり、期限切れが近い既存の Customer-CA は、新しいものを作成する前に削除する必要があります。新しい Customer-CA を作成すると、新しいルート証明書も生成されるため、クライアントへ再配布する必要があります。以下に従ってください こちら の記事を参照して、新しい Customer-CA を展開し、MDM の WiFi ポリシーから参照してください。

2. ご自身の PKI を使用した Bring Your Own (BYO) 証明書。例: SCEPman-issued Server Certificate。SCEPman のサーバー証明書は 2 年ごとに失効するため、停止を防ぐためにリマインダーを設定してください。BYO 証明書を使用する場合、 CA のルート証明書 および FQDN (Subject and SAN) は失効する証明書から変更されないことを前提としています。したがって、証明書の再展開は不要です。

新しい証明書の作成

組み込み Customer-CA

この種類の証明書は 20 年間有効で、有効期限前に更新することはできません。ただし、以下に従って削除し、新しいものを作成することはできます こちら ガイド。

BYO 証明書

ご自身の証明書を使用したい場合、たとえば SCEPman 発行のサーバー証明書を使用する場合は、以下に従ってください こちら SCEPman またはお好みの PKI で有効期限前にサーバー証明書を作成するためのリンク。

新しいサーバー証明書の展開

Intune プロファイル

Customer-CA または、前回とは異なるルートと FQDN を持つ BYO CA を更新する場合は、以下の手順に従ってこの証明書をクライアントへ再展開してください。そうでなく、CA のルート証明書と FQDN (Subject and SAN) に変更がない BYO 証明書を使用している場合は、この手順をスキップできます。

1. 新しい サーバー証明書/信頼されたルート を、以下の手順でクライアントに展開します こちら に従って 新しい プロファイルを作成します。

2. 既存の 既存の WiFi または有線プロファイル

   • ネットワーク プロファイルの作成に Intune ウィザードを使用している場合は、関連するすべてのプロファイルを編集し、 2 つ目の信頼されたサーバー証明書を追加してください。新しい証明書のドメインが異なる場合は、 Certificate server names の下に 2 つ目のサーバー名を追加することを忘れないでください。

   • ネットワーク プロファイルの作成にカスタム プロファイルを使用している場合は、RADIUSaaS によって生成された XML を こちらから再ダウンロードし、既存のプロファイルに置き換えてください。両方のサーバー証明書の拇印は XML に自動的に含まれます。

3. 待機 して、すべてのクライアントが 更新されたプロファイルを受け取るまで待ちます。

WiFi と LAN インフラストラクチャ

を使用している場合は RadSec、新しい サーバー証明書 をアクセスポイントまたはネットワーク スイッチ デバイスにアップロードします。

新しいサーバー証明書の有効化

最後に、新しい証明書へ切り替える準備ができたら、以下に示すように有効化します こちら.