IOS デバイスのSSL証明書について

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
SSL Certificate for IOS Devices

https://live.paloaltonetworks.com/t5/Management-Articles/SSL-Certificate-for-IOS-Devices/ta-p/67061

 

症状

IOS デバイスはインストールされたSSL証明書を検証できる場合にのみ使用可能になります。クライアント証明書を用いてGlobal Protectに接続する場合、デバイスには検証済みのクライアント証明書が必要となり、検証が完了していない証明書の場合は接続できません。またSSL復号化を行っている場合、httpsサイトへのアクセス時にIOS デバイス上で証明書エラーが表示されます。

MAC, WindowsPC, Android デバイスでは同じ証明書が動作しますが、IOS デバイスでは正常に動作しない場合があります。

 

発行済みの自己署名証明書、内部/外部CAを証明書として使用することができます。CAに関係なく、完全な証明書チェーンがIOS デバイスで利用可能になるようにする必要があります。

Error 1.png    

Error 2.png

 

診断

まず初めにIOS デバイスで検証されている証明書プロファイルを確認し、完全な証明書チェーンが存在するかをチェックします。証明書が検証され、完全な証明書チェーンが存在すれば緑色のチェックマークが表示されます。

 

1. 設定 > 一般 > プロファイルへ移動します。

2. インストール済みの証明書を選択すると未検証のエラーメッセージが表示されます。以下のイメージを参照してください。

Invalid Cert.png

 

3. インストールされた証明書が完全なチェーンを持っていることを確認してください。デバイスに中間証明書とルート証明書をemailで送信する簡単な方法もあります。これらの証明書は秘密鍵は不要で公開鍵でインストール可能です。中間証明書が無い場合は中間CA証明書は不要で、ルート証明書と実際のサーバ証明書が必要です。

Cert Chain.png

 

4. 完全な証明書チェーンがインストールされれば、IOS デバイスはインストールされた証明書を検証することができ、Global Protectの接続を確立できます。

Valid Cert.png

 

IOS 10.3以降のデバイスをお使いの場合、新しくインストールした証明書を信頼する為に追加の手順が必要となりますので以下のサイトをご参照ください。

https://support.apple.com/en-us/HT204477

https://support.apple.com/ja-jp/HT204477

 

SSL通信に対して証明書の信頼を有効にするには、設定 > 一般 > 情報 > 証明書信頼設定 の順に選択します。"ルート証明書を全面的に信頼する" で証明書に対する信頼を有効にします。

 

解決方法

上記により完全な証明書チェーンが信頼されていれば、GlobalProtectが正常に接続できるはずです。GlobalProtectのクライアント証明書をデバイスにインストールする場合は、emailで送信した証明書が秘密鍵を含むPKCS形式であることを確認してください。SSL復号化用のサーバ証明書をインストールする場合、秘密鍵は必要ありません。Connected.png