ついに登場 Cloud PKI

皆さん、こんにちは。

今回は、皆さんの期待が高いと思われる、Cloud PKI について取り上げます。

今まで、2024 年 2 月に Cloud PKI がリリースされると Microsoft Ignite 等で発表がありましたが、やっと、Cloud PKI が触れるようになりました！

2024/02/23 (金曜日) (日本時間) に APAC 向けテナントから始まった、サービス リリース 2402 に含まれる内容かと思われます。現時点では、サービス リリース 2402 のリリース ノートには記載が無いので、今後段階的に展開されるかと思われます。

2024/02/23 時点での状態

ちなみに、2024/02/23 の段階では、Microsoft Intune 管理センターでは、下記のような表示で、まだ利用出来る状態ではありませんでした。

<日本語>

[作成] ボタンがグレーアウトして選択できない状況下。

<英語>

英語版の UI でも、[Create] がグレーアウトしている状況下

2024/02/24 8 時 (日本時間) 頃の状態

<日本語>

無事、[作成] が選択できる状況下になった模様。

<英語>

英語 UI でも、[Create] メニューが選択可能な状態に。

※ Cloud PKI は段階的に展開されているようなので、皆さんのテナントにて、まだ利用出来ない場合は、もう少しお待ちください。

<Cloud PKI の名称について>

上記のスクリーン ショットにも表示されていますが、日本語の UI では、Cloud PKI の箇所が [CA 管理] と 2024/02/24 時点では表示されています。

ただ、英語 UI では、[Cloud PKI] と表記されています。

もしかしたら、日本語 UI でも今後、文言の修正があるかもしれませんね。

それでは、実際に Cloud PKI に触れていきましょう！

<Cloud PKI をトライする>

リリース当初の 2024/02/24 時点では、Microsoft Learn のドキュメントが公開されていませんでしたが、現時点 (2024/03/01) では、下記のように公開されていました。

Overview of Microsoft Cloud PKI for Microsoft Intune

また、私のテナントでは問題があり、2024/02/24 にトライした時は、エラーになっていました。しかし、下記のポストでもあるように、本日 (2024/03/01) 時点では正常に作成出来るようになっていました。

2/3 Existing Suite customers will be able to use C-PKI by this date but for others the standalone trial or license will not be available until March 1st.

— Intune Support Team (@IntuneSuppTeam) February 26, 2024

1. まず、[Microsoft Intune 管理センター] にて [テナント管理] > [CA 管理] を開きます。[作成] を選択します。
   
2. まずは、ルート CA を作成しますので、ルート CA の管理上の名前を [Name] に入力し、必要に応じて、[Description] を入力します。
   
3. [構成設定] にて、まずは、[CA の種類] を選択します。
   最初に、[ルート CA] を作成する必要があるので、[ルート CA] を選択します。
   
4. [有効期間] を必要に応じて選択します。
   
5. [拡張キー使用法] にて、このルート CA 配下 (Issuing CA (発行元 CA))で配布する証明書の種類を選択します。
   
6. [件名の属性] にて、共通名 (CN) 等の証明書を特定するための情報を入力します。
   [共通名 (CN)] は必須項目です。
   
7. [暗号化] フィールドにて、キーのサイズとアルゴリズムを選択します。
   
8. [スコープ タグ] は今回は、[Default] をのまま進みます。
   
9. [確認と作成] にて設定内容が正しいことを確認し、[作成] を選択します。
   
10. 作成選択後、下記の画面が表示される場合は、時間をおいてからお試しください。
    ちなみに、私の環境では、2024/02/24 時点では下記のエラーが出ていましたが、2024/03/01 6 時頃にトライしたところ、正常に作成出来ました。
    
11. 正常にルート CA が作成されると、下記のように表示されます。
    
12. 作成したルート CA を選択すると、詳細情報が表示されます。
    ルート証明書のダウンロードなども行えます。
    
13. 次に、実際に証明書を発行するため、[発行元 CA] (Issuing CA) を作成します。
14. [テナント管理] の [CA 管理] にて、[作成] を選択します。
    
15. [発行元 CA] (Issuing CA) の管理上の名前を [Name] に入力し、必要に応じて、[Description] を入力します。
    
16. [CA の種類] を [発行元 CA] を選択し、[ルート CA ソース] を [Intune] に選択し、作成した [ルート CA] を選択します。
    
17. [有効期間] を選択します。この有効期間はルート CA 作成の際に選択した有効期間よりは長く出来ない点をご注意ください。
    
18. [拡張キー使用法] にて、[発行元 CA] (Issuing CA) で発行する証明書の EKU (Extended Key Usage) を選択します。
    
19. [件名の属性] にて、[発行元 CA] (Issuing CA) の [共通名 (CN)] 等を入力します。
    [暗号化] はルート CA に依存するため、グレーアウトしています。
    
20. スコープ タグは、[Default] のまま、進みます。
    
21. [確認と作成] にて、設定内容が正しいことを確認し、[作成] を選択します。
    
22. 正常に、[発行元 CA] (Issuing CA) が作成出来ると、下記のように表示されます。
    
23. 作成した、[発行元 CA] (Issuing CA) を選択すると、詳細情報を確認出来ます。
    
    
24. これで、Cloud PKI の CA の作成は終わりです。

CA 側の設定は上記で終わりですが、では実際に証明書はどう発行するかですが、Simple Certificate Enrollment Protocol (SCEP) のプロファイルを用いて発行します。

<Cloud PKI 経由で証明書を発行する>

1. まず、ルート CA を配布するプロファイルを作成します。
   [デバイス] > [構成] > [作成] – [新しいポリシー] を選択します。
2. [プラットフォーム] を適宜選択し、[プロファイルの種類] を [テンプレート] を選択し、[信頼済み証明書] を選択します。
3. 構成設定にて、下記の画面が表示されます。
   
4. ここで、[ルート CA] および [発行元 CA] (Issuing CA) のプロパティ ページに記載がある、[証明書のダウンロード] から証明書をダウンロードします。
   
   
5. 上記のダウンロードした証明書を項番 3 の [有効な .cer ファイルを選択] にてファイルをアップロードします。
   
6. 次に、[SCEP 証明書] のプロファイルを作成します。
   [デバイス] > [構成] > [作成] – [新しいポリシー] を選択します。
7. [プラットフォーム] を適宜選択し、[プロファイルの種類] を [テンプレート] を選択し、[SCEP 証明書] を選択します。
8. [構成設定] にて必要事項を入力します。
9. [ルート CA] は、項番 5 でインポートした “ルート CA” の方を選択します。
10. [SCEP サーバーの URL] ですが、私の環境の Cloud PKI はまだ正しい URL を示していないため、後日この部分はケアしますね。
    

<まとめ>

ついに、皆さん待望の Cloud PKI がリリースされました！

リリースされたばかりということもあり、まだ不具合等がありますが、是非今後に期待したいと思います。本ブログにても今後の動向を掲載出来ればと思います。

是非、皆さんも Cloud PKI に触れてみてください！