[SmartDocs] バーでは、特定の Zebra デバイスに存在する機能のみを表示するように、このページをカスタマイズできます。
デバイスの OSX、MX および Android のバージョン情報は、Android の設定パネルに表示されるか、ADB、EMDK、または MX CSP を使用してデバイスを照会することで確認できます。詳細情報。
Certificate Manager (CertMgr) は、デバイス上の証明書と Android キーストアを管理します。CertMgr は、Android キーストアの初期化、信頼できるストアおよび Android キーストアへの CA 証明書のインストール/アンインストール、Android キーストアへの CA 証明書やクライアント証明書のインストール/アンインストールを行うことができます。
デジタル証明書は、アサートされた ID を証明するために使用できる電子ドキュメントです。有効な公開証明書とそれに一致する秘密鍵を所有することによって、エンティティは ID をアサートすることができ、証明書の検証を通じて、その ID をアサートする資格があるということを他のエンティティに証明できます。証明書の検証は、あるエンティティが有効な公開証明書に関連付けられた秘密鍵を持ち、それが信頼されている認証局 (CA) で発行されたということの確認に基づいています。
公開証明書を取得するには、まずエンティティが公開鍵と秘密鍵のペアを生成します。次に、そのエンティティは公開鍵と ID 情報を認証局 (CA) に送信します。CA は、要求者から提供された ID 情報を検証し、送信された公開鍵と ID 情報を含む公開証明書を発行し、CA 自身の秘密鍵を使用して公開証明書に署名します。CA は公開証明書に自分の秘密鍵で署名しているため、その CA を信頼する他のエンティティは、その CA が署名したと確認することで、その公開証明書を信頼できるようになります。また、署名することにより、エンティティは公開証明書が本物であり、CA によって署名された後に変更されていないことを確認できます。
デジタル証明書は、特定の期間に発行されます。これを一般に有効期限といいます。現在の日付がその証明書の有効期間内でなければ、通常その証明書は有効とは見なされません。この要件には 2 つの重要な意味があります。まず、デジタル証明書を使用するエンティティ、特に証明書を検証するエンティティは、正しい日付を知る必要があることを意味します。次に、デジタル証明書を使用するエンティティは、間もなく期限切れになる証明書 (現在の日付が有効期間の終了日に近いもの) を新しく互換性のある証明書 (ID 情報が同じで、現在の日付から有効期間の終了まで余裕があるもの) に置き換えることによって、定期的に更新する必要があります。
Android でデジタル証明書が最も一般的に使用される方法は次の 2 つです。
Zebra Android デバイスでは、デジタル証明書を次の 2 つの主要領域に保存できます。
信頼できるストアは、CA 証明書のみを保持できるデバイスの保護領域です。信頼できるストアはデフォルトでデバイスに存在し、よく知られており一般に信頼できる CA の CA 証明書が多数含まれています。信頼できるストアを使用すると、さまざまなシステム アプリケーションが、他の証明書を発行する CA の信頼を確立できるようになります。
Android キーストアは、CA 証明書とクライアント証明書の両方を保持できるデバイスの保護領域です。Android キーストアは、使用する前に初期化し、空の状態から始める必要があります。CA 証明書を Android キーストアに追加することで、追加の CA とサーバーの信頼が確立されます。Android キーストアにクライアント証明書を追加することで、デバイスにさまざまな ID をアサートして証明する機能を提供できます。Android キーストアは一度だけ初期化できます。再初期化にはエンタープライズ リセットが必要です。
デジタル証明書は、一般にさまざまなフォーマットの証明書ファイルという形式で取得されます。Distinguished Encoding Rules (DER) は、デジタル証明書のエンコードに使用される標準的な方式です。DER は、証明書をバイナリ証明書ファイルとして直接エンコードするために使用できます。通常は .CER というファイル拡張子が付いていますが、.CRT や .DER になっていることもあります。また、Base64 エンコーディングと組み合わせて使用することで、Privacy Enhanced Electronic Mail (PEM) 標準に準拠したテキスト証明書ファイルを作成することもできます。証明書ファイルは公開証明書のみをエンコードします。秘密鍵をエンコードすることはありません。
秘密鍵は通常、PEM 標準に基づいてエンコードされたテキスト キー ファイル形式で生成または取得されます。クライアント証明書の一般的な実践方法は、公開証明書と一致する秘密鍵を、公開鍵暗号標準 (PKCS) の PKCS12 標準を使用してコンテナ ファイルに結合することです。PKCS12 は、複数の暗号化オブジェクトを 1 つのバイナリ ファイルとして保存するためのアーカイブ ファイル フォーマットです。通常、ファイル拡張子は .PKCS12、.P12、または .PFX になります。PKCS12 標準に従って構築されたコンテナ ファイルは、通常はパスワードに基づいて暗号化され、そこに含まれる秘密鍵を保護します。暗号化されたコンテナ ファイルを処理するには、元のパスワードを指定する必要があります。
証明書のインストール/アンインストール、または Android キーストアの初期化に使用します。キーストアにすでに存在するエイリアスと同じエイリアスで証明書がインストールされている場合、既存の証明書は新しい証明書によって上書きされます。
注:
パラメータ名: CertAction
| オプション | 名前 | 説明 | 注記 | 要件 |
|---|---|---|---|---|
| 1 | 証明書のインストール | 指定した証明書をデバイスにインストールします。 |
OSX: 1.0+ MX: 4.1+ |
|
| 2 | 証明書のアンインストール | 指定した証明書をデバイスから削除します。 |
OSX: 1.0+ MX: 4.1+ |
|
| 3 | Android キーストアの初期化 | 新しい Android キーストアを初期化するか、パスワードをリセットします (上記の注を参照)。 |
OSX: 1.0+ MX: 4.2+ |
証明書を識別するエイリアスを入力するために使用します。証明書をインストールする場合は、指定されたエイリアスは証明書 (およびクライアント証明書の対応する秘密鍵) に関連付けられます。同じエイリアスを持つ証明書がすでに存在する場合は、ここで入力した値に置き換えられます。証明書をアンインストールする場合は、以前にインストールされた証明書に関連付けられているエイリアスを入力します。一致する証明書が見つかった場合は、一致する証明書が削除されます。一致する証明書が見つからない証明書をアンインストールしようとした場合は、結果の XML にエラーが返されます。
入力値のルール:
パラメータ名: CertAlias
要件:
- OSX: 1.0+
- MX: 4.1+
このパラメータは、インストールする証明書の種類を入力するために使用します。
注: 証明書のインストールまたはアンインストールに CertMgr を使用するには、Android キーストアを 1 回だけ初期化する必要があります。Android キーストアの初期化は、CertMgr を使用するか、またはデバイス ユーザーがシステム設定メニューを使用して行います。
次の場合に表示: 証明書アクションが [証明書のインストール] の場合
パラメータ名: CertType
| オプション | 名前 | 説明 | 注記 | 要件 |
|---|---|---|---|---|
| 5 | CA 証明書 (.PEM ファイル) | この値は、インストールされる証明書が、信頼できるストアと Android キーストアの両方に追加される CA 証明書 (.PEM または .CER ファイル内に含まれる) であることを示します。 |
OSX: 1.0+ MX: 4.1+ |
|
| 6 | クライアント証明書 (.PEM ファイル) | この値は、インストールされる証明書が、Android キーストアのみに追加されるクライアント証明書の公開証明書 (.PEM または .CER ファイル内に含まれる) のみであることを示します。 |
OSX: 1.0+ MX: 4.1+ |
|
| 8 | クライアント証明書と秘密鍵 (.PFX ファイル) | この値は、インストールされる証明書が、Android キーストアのみに追加されるクライアント証明書の公開証明書と秘密鍵 (.PFX ファイル内に含まれる) であることを示します。 |
OSX: 1.0+ MX: 4.1+ |
|
| 9 | クライアント証明書と秘密鍵 (.P12 ファイル) | この値は、インストールされる証明書が、Android キーストアのみに追加されるクライアント証明書の公開証明書と秘密鍵 (.P12 ファイル内に含まれる) であることを示します。 |
OSX: 1.0+ MX: 4.1+ |
|
| 10 | クライアント証明書と秘密鍵 (.PKCS12 ファイル) | この値は、インストールされる証明書が、Android キーストアのみに追加されるクライアント証明書の公開証明書と秘密鍵 (.PKCS12 ファイル内に含まれる) であることを示します。 |
OSX: 1.0+ MX: 4.1+ |
このパラメータは、証明書のインストールに使用する方式を入力するために使用します。
次の場合に表示: 証明書アクションが [証明書のインストール] の場合
パラメータ名: CertMethod
| オプション | 名前 | 説明 | 注記 | 要件 |
|---|---|---|---|---|
| 2 | 参照証明書ファイル | この値は、インストールする証明書のデータが、デバイス ファイル システムに存在するファイルに含まれていることを示します。 |
OSX: 1.0+ MX: 4.1+ |
インストールする証明書のデータを含むデバイス ファイル システム内のファイルのパスと名前を入力するために使用します。存在しないファイル、読み取り不可能なファイル、または指定されたタイプの有効な証明書データが含まれていないファイルのパスおよび名前を使用して証明書をインストールしようとすると、結果の XML にエラーが返されます。
入力値のルール:
次の場合に表示: 証明書アクションが [証明書のインストール] であり、かつ証明書タイプが [CA 証明書 (.PEM ファイル)] であり、かつ証明書方式が [参照証明書ファイル] の場合
パラメータ名: CertFileCA
要件:
- OSX: 1.0+
- MX: 4.1+
インストールする証明書のデータを含むデバイス ファイル システム内のファイルのパスと名前を入力するために使用します。存在しないパス/ファイル名、読み取ることができないパス/ファイル名、または指定されたタイプの有効な証明書データが含まれていないパス/ファイル名で証明書をインストールしようとすると、結果の XML にエラーが返されます。
入力値のルール:
次の場合に表示: 証明書アクションが [証明書のインストール] であり、かつ証明書方式が [参照証明書ファイル] であり、かつ証明書タイプが [クライアント証明書 (.PEM ファイル)] または [クライアント証明書と秘密鍵 (.PFX ファイル)] または [クライアント証明書と秘密鍵 (.P12 ファイル)] または [クライアント証明書と秘密鍵 (.PKCS12 ファイル)] である場合
パラメータ名: CertFileClient
要件:
- OSX: 1.0+
- MX: 4.1+
デバイスの現在の日付が証明書の有効期間外の場合に、証明書がインストールされた時点でデバイスのクロックを自動的に調整するかどうかを選択するために使用されます。これが [true] に設定され、日付がインストール済み証明書の有効期間外である場合、デバイスの日付は証明書の有効期間の開始日に変更されます。
注: デバイス上の日付が正しく設定されておらず (工場から直接出荷されたデバイスでない場合など)、そのため証明書が無効である (期限切れまたは有効期限開始前) と見なされる場合には、このオプションを使用すると、証明書を使用してネットワークに接続できないデバイスの問題を解決できます (たとえば EAP-TLS など)。一般的な使用例としては、この証明書を使用してネットワークに接続し、そのネットワークを使用して実際の日時を取得するという方法があります (「クロック」も参照)。
入力値のルール:
パラメータ名: CertAdjustClock
要件:
- MX: 4.2+
- Android API: 1.0+
Android キーストアの初期化に使用するパスワードを入力するために使用します。空 (長さ 0) の値を入力すると (または XML にこのパラメータがない場合)、Android キーストアを初期化するためのランダムなパスワードが生成されます。
注: Android キーストアが正常に初期化されたら、このパスワードを再度 CertMgr に入力する必要はありません。証明書のインストールおよびアンインストールにはパスワードが必要ないためです。ただし、デバイス ユーザーは、システム設定メニューを使用して証明書を管理するために、このパスワードが必要になることがあります。パスワードを失った場合、またはランダムなパスワードが生成された場合、デバイス ユーザーはパスワードを得られないため、そのような管理を実行できなくなります。通常これが問題になることはありません。一般に、証明書の管理は MDM で行うことが最善であり、デバイス ユーザーがこのような機能を実行できないようにした方が良いためです。
入力値のルール:
次の場合に表示: 証明書アクションが [Android キーストアの初期化] である場合
パラメータ名: KeystorePassword
要件:
- OSX: 1.0+
- MX: 4.1+
クライアント証明書の公開証明書と秘密鍵を含むコンテナ ファイルを復号化するために必要なパスワードを入力するために使用します。
注: 暗号化されていないコンテナ ファイル、または指定されたパスワードで暗号化されていないコンテナ ファイルを使用しようとすると、結果の XML にエラーが返されます。
入力値のルール:
次の場合に表示: 証明書アクションが [証明書のインストール] であり、かつ証明書タイプが [クライアント証明書と秘密鍵 (.PFX ファイル)] または [クライアント証明書と秘密鍵 (.P12 ファイル)] または [クライアント証明書と秘密鍵 (.PKCS12 ファイル)] である場合
パラメータ名: PrivateKeyPassword
要件:
- OSX: 1.0+
- MX: 4.1+
証明書をインストールまたはアンインストールするには、その前に Android キーストアを 1 回だけ初期化する必要があります。デバイス ユーザーがシステム設定メニューから Android キーストアを初期化しておらず、CertMgr を使用して Android キーストアを初期化したこともない場合は、次のように CertMgr を使用して Android キーストアを初期化する必要があります。
パスワードなし:
<wap-provisioningdoc>
<characteristic type="CertMgr" version="4.2" >
<parm name="CertAction" value="4"/>
</characteristic>
</wap-provisioningdoc>
パスワードあり:
<wap-provisioningdoc>
<characteristic type="CertMgr" version="4.2" >
<parm name="CertAction" value="4"/>
<characteristic type="keystore-details">
<parm name="KeystorePassword" value="mobility"/>
</characteristic>
</characteristic>
</wap-provisioningdoc>
<wap-provisioningdoc>
<characteristic type="CertMgr" version="4.2" >
<parm name="CertAction" value="1"/>
<characteristic type="cert-details">
<parm name="CertAlias" value="mxtest"/>
<parm name="CertType" value="5"/>
<parm name="CertMethod" value="2"/>
<parm name="CertFileCA" value="/enterprise/usr/persist/test.pem"/>
<parm name="CertAdjustClock" value="false"/>
</characteristic>
</characteristic>
</wap-provisioningdoc>
注: 上記の XML はファイル名の変更のみを行い、.CER または .DER ファイルから CA 証明書をインストールするために使用できます。これらはすべて DER エンコードされ、したがって同じタイプでサポートされているためです。
<wap-provisioningdoc>
<characteristic type="CertMgr" version="4.2" >
<parm name="CertAction" value="1"/>
<characteristic type="cert-details">
<parm name="CertAlias" value="mxtest"/>
<parm name="CertType" value="6"/>
<parm name="CertMethod" value="2"/>
<parm name="CertFileClient" value="/enterprise/usr/persist/test.pem"/>
<parm name="CertAdjustClock" value="false"/>
</characteristic>
</characteristic>
</wap-provisioningdoc>
注: 上記の XML は、公開証明書のみをインストールし、秘密鍵をインストールしないため、通常は新しいクライアント証明書のインストールには使用されません。上記の XML が使用されるのは主に、次の例に示すように、公開証明書と秘密鍵が以前にインストールされており、公開証明書を置き換える必要がある (期限切れになる前に更新するなど) 場合です。このような場合、公開鍵と秘密鍵に変更がなければ、公開証明書を更新して秘密鍵はそのままにしておくことをお勧めします。
<wap-provisioningdoc>
<characteristic type="CertMgr" version="4.2" >
<parm name="CertAction" value="1"/>
<characteristic type="cert-details">
<parm name="CertAlias" value="mxtest"/>
<parm name="CertType" value="8"/>
<parm name="CertMethod" value="2"/>
<parm name="CertFileClient" value="/enterprise/usr/persist/test.pfx"/>
<parm name="CertAdjustClock" value="false"/>
<parm name="PrivateKeyPassword" value="mobility"/>
</characteristic>
</characteristic>
</wap-provisioningdoc>
注: 上記の XML はファイル名の変更のみを行い、.P12 または .PKCS12 ファイルからクライアント証明書と秘密鍵をインストールするために使用できます。これらはすべて PKCS12 エンコードされ、したがって同じタイプでサポートされているためです。
<wap-provisioningdoc>
<characteristic type="CertMgr" version="4.2" >
<parm name="CertAction" value="2"/>
<characteristic type="cert-details">
<parm name="CertAlias" value="mxtest"/>
</characteristic>
</characteristic>
</wap-provisioningdoc>