Cloudflare Zero Trustの利用にあたり、エージェントソフトのCloucflare WARPを管理対象PCにインストールすることにより、PCの通信が保護されます。

また、URLのコンテンツフィルタリング等を行う場合、PC側にはCloucflare WARPのインストールのみでなく、ルート証明書のインストールが必要です。ルート証明書のPCへの配布を、MDM(Jamf と Intune)で行いましたので、記載します。

MDMで配布した理由

ルート証明書の配布は、大きく別けて以下二つの方法があります。
1. WARPがインストールされているPCへ、自動インストールする方法
2. 手動でインストールする方法（手作業でのインストール以外に、MDM等の利用も含む）

1.の方法は、WARPがインストールされていれば自動配布されるので効率的ですが、一つ考慮点があります。
1.のマニュアルに以下の記載があり、MacOS Ventura以降の場合は、手動で証明書を信頼する操作が必要とのことです。
macOS Ventura and newer do not allow WARP to automatically trust the certificate. To manually trust the certificate

証明書の配布は全て自動で行いたかったため、今回はMDM(MacはJamf、WindowsはIntune)を利用して行うこととしました。
MDMでの配布手順は上記2.の中の「Mobile device management (MDM) software」に記載されている内容をベースに進めました。

ルート証明書のダウンロード (Jamf , Intune共通)

まず最初は、Cloudflare Zero Trustの管理コンソールからルート証明書をダウンロードします。

管理コンソールの「Settings」->「Resources」->「Cloudflare certificates」->「Manage」と選択します。
Deployment Status が Activeの証明書を選択して、「Download .pem」を行い、PEM形式の証明書ファイルをダウンロードします。

ダウンロードした証明書ファイルは、マニュアルのこちらに記載のコマンドで、DER形式に変換します。
今回はMac端末でダウンロードしたため、Macで下記のコマンドで変換しました。

openssl x509 -inform PEM -in ~/Downloads/certificate.pem -outform DER -out ~/Downloads/certificate.cer

変換後のファイル（上記例だとcertificate.cer)は、Mac(Jamfから配布)とWindows(Intuneから配布)両方で利用します。

Jamf で Mac へのルート証明書配布

Jamfでは、構成プロファイルを使用することにより、証明書の配布を行います。

Jamfの管理画面より「コンピュータ」->「構成プロファイル」->「新規」と選択します。
最初に「一般」の項目が表示されるので、設定します。名称等は任意ですが、配布方法は「自動インストール」を選択します。（PC利用者側で何も操作させずにインストールさせたいためです）

次に、「オプション」タブから、「証明書」->「証明書を構成」->「構成」と選択し、以下のように設定します。

• 証明書の名称：任意の名称
• 証明書のオプション選択：アップロード
• 証明書のアップロード：上記でDER形式に変換した証明書ファイルをアップロード
• すべてのAppにアクセスを許可：有効
• キーチェーンからのエクスポートを許可：無効
  

最後に、Scopeタブで、配布対象のPCやユーザを設定します。（もし、全てのPCに配布する場合は、ターゲットコンピュータに「すべのコンピュータ」を設定します）

画面右下の保存をクリックすると設定が保存されて、PCへの証明書配布が開始されます。

PCへの配布状況は、構成プロファイルのトップ画面から確認できます。「ログ」列の「表示」より、どの端末が配布完了していて、どの端末が未完了なのかも確認できます。

尚、それぞれのMac PC上では、キーチェーンアクセスを起動し、システム->証明書の中に該当の証明書が存在することが確認できます。

Intune で Windows へのルート証明書配布

Intuneでは、デバイスの構成ポリシーより、証明書の配布を行います。
Intune管理画面から「デバイス」->「構成」->「ポリシー」->「作成」->「新しいポリシー」と選択します。

「プロファイルの作成」が表示されます。以下のように設定して「作成」をクリックします。

• プラットフォーム：Windows10以降
• プロファイルの種類：テンプレート
• テンプレート名：信頼された証明書
  
  次に、任意の名称と説明を入力して「次へ」をクリックします。
  
  Jamfへアップロードしたものと同じDER形式の証明書ファイルを選択します。
  保存ストアは「コンピューター証明書ストア- ルート」として「次へ」をクリックします。
  
  配布を行う対象のグループ(EntraIDのグループ)を追加して「次へ」をクリックします。
  
  今回は適用性ルールは何も設定せず、「次へ」をクリックします。
  
  最後に、設定値の確認画面が表示されます。設定値に問題ないことを確認して「作成」をクリックします。
  
  ポリシーが作成されます。
  作成されたポリシーをクリックすると、PCへの配布状況が確認できます。「レポートの表示」をクリックすると、PC毎の配布状況も確認できます。
  

尚、それぞれのWindows PC上では、検索ボックスから「certlm.msc」を実行し、「信頼されたルート証明機関」->「証明書」と選択すること該当の証明書が存在することが確認できます。

おわりに

Cloudflare Zero Trustでコンテンツフィルタリング等を行うために、PCへルート証明書をMDM(Jamf,Intune)で配布する手順を記載しました。この記事が皆様のお役に立てば幸いです。

アノテーション株式会社について

アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。

サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。

当社は様々な職種でメンバーを募集しています。

「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。