2023.3.6

MDMのPUSH通知証明書の更新方法と注意点

MDM導入時に最も気をつけなければならないのは、MDM用のPUSH証明書の確実な更新です。

PUSH通知はMDMの技術的な基盤。PUSH通知証明書の更新漏れはMDMが事実上機能しなくなることを意味します。ですから、エンドユーザも、導入を提案したSIerやアプリ開発会社も、MDMのPUSH通知証明書が遅滞なく確実に更新されるよう最大限の注意を払う必要があります。

(MDMはPUSH通知で端末を叩き起こし、MDMから命令を受信させることで動作する)

予めPUSH通知証明書の更新の仕方や注意点を知っておけば、いざその時が来ても戸惑うことはありません。そこで本稿ではMDMのPUSH通知証明書をどのように更新するのか紹介します。

 

MDM用PUSH通知証明書を更新する手順

以前の投稿でMDM導入初期にPUSH通知証明書の取得が必要になると書きました。が、初期だけではなく毎年更新が必要となります。

通常、PUSH通知証明書の更新時期が迫ってくると、MDMサービス側から担当者宛に連絡が届いたり、MDMサービスのログイン後画面の一番目立つ位置にその旨が警告表示されたりします。

(上図は期限切れしてしまった場合の BizMobile Go! のダッシュボード。この状態になってはいけない)

MDMのPUSH通知証明書は以下の手順に沿って更新します。上図のようにならないよう、有効期限が切れる前に必ず行って下さい。具体的な画面はMDMサービスによって異なりますが、基本的にやることは一緒です。

(1) MDMサービスにログインしてCSRファイルを取得する

(2) Apple Push Certificates Portal に、PUSH通知証明書を新規取得した時と同じAppleIDでサインインする。

(3) 証明書一覧が表示されるので複数個ある場合は “Vendor” や “Expiration Date” の欄を参考にして特定して [Renew] をクリックする。

(4) 次の画面でMDMサービス側から取得したCSRファイルをアップロードする。Notes欄には日付等のメモを書いておくと良い。

(5) 新しい証明書が発行されるのでダウンロードする。

(6) MDM側に(4)で取得した新たな証明書をアップロードする。

(BizMobile Go! でPUSH証明書の更新アップロードに成功した様子。次の証明書期限が表示される)

このようにMDMサービス側に受理されたら更新完了です。11ヶ月後ぐらいに再び関係者に通知が飛ぶよう、社内カレンダー等でリマインダー登録しておくことをオススメします。

なお、Apple Push Certificates Portal でのPUSH通知証明書の発行には回数制限等がありません。３ヶ月毎や半年毎といった短期更新をしても技術的には問題ありませんが、意味も余りありませんのでやはり11ヶ月程度の周期が良いでしょう。

 

MDM用のPUSH証明書更新時に一番間違えやすいこと

PUSH通知証明書の更新に失敗する原因のほぼ100%が、Apple Push Certificates Portal に対する理解不足にあります。Apple Push Certificates Portal で証明書が取得できれば何でも良いわけではない点に注意して下さい。

(更新用のPUSH証明書を取得してもMDM側にアップロードできないことがある)

MDM用のPUSH証明書には識別子があります。更新に際しては、その識別子が一致していなければ例えApple Push Certificates Portalで正しく取得した証明書であっても、MDM側がアップロードを受け付けてくれないのです。

識別子はMDMサービスからダウンロードする .csr ファイルと Apple Push Ceritificates Portal にサインインする AppleID に紐づきます。必ず、

• 最初にPUSH証明書を作成した時と同じAppleIDでサインイン
• 初めて作成した時のPUSH証明書を明示的に選択してCSRをアップロード

この2点を守りましょう。PUSH通知証明書がうまく更新できない場合、これができてないことがほとんどです。

(研修資料より。適切なCSRファイルでもAppleIDが違えば取得した証明書は不正となる)

繰り返しになりますが、MDM用のPUSH通知証明書更新の際は必ず初回取得時のAppleIDでサインインしましょう。

もし読者がまだMDM未導入の方なら、MDMのPUSH通知証明書の初回取得時AppleIDは、決して個人のAppleIDにしないようにして下さい。その個人が退職した時に非常に面倒くさいことになります。

 

正しいPUSH通知証明書を確実に取得する方法

MDM用PUSH通知証明書を更新する手順の(3)で [Renew] ボタンをクリックすると書きました。

この一覧の [Renew] ボタンの左側にある情報ボタンをクリックすると、以下のように証明書の詳細がポップアップ表示されます。

ここに記載されている Serial Number や Subject DN が証明書の識別子。MDMサービス側ではこれを使って同一性をチェックしています。MDMサービス側にもこれらの情報が表示されている場合は、両者の一致を確認することで、正しい証明書更新になっているのか確認することができます。

(上図はBizMobile Go!のPUSH通知証明書詳細画面)

また、PUSH通知証明書を発行してダウロードした後でも、証明書ファイルそのものから識別子を確認することもできます。

macOS環境ならFinderのQuicklook機能を使うと良いでしょう。PUSH通知証明書(.pemファイル)を選択してスペースキーを押すと、以下のような表示が現れます。

一番上の Subject Name の値がMDMサービス側の証明書情報の値と一致していれば問題なくアップロードできる筈です。

もしターミナルでが使える環境なら、openssl x509 コマンドで証明書ファイルの中身を以下のように確認することもできます(-inでファイルを指定、-noout -subject オプションで出力指定)。普段からコマンドライン操作に慣れている方はこの方法が楽でしょう。

PUSH通知証明書の更新でエラーが出たりうまくいかない場合は、ここで紹介したように証明書が持っている固有の値を参照して照らし合わせると問題の原因を特定し易いです。

 

以上、MDMのPUSH証明書の更新方法について紹介しました。遅滞なく証明書を正しく更新し、MDMを安定稼働させられるようにしましょう。