Go to Qiita Advent Calendar Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@T_Yashima

Jamf AD CS Connectorでリバースプロキシーを使う時の注意点 - 構成編 -

Last updated at Posted at 2025-10-30

はじめに

Jamf AD CS Connectorはjamfが公式で公開しているツールです。このツールはjamf cloudからプライベートCA(ここではwindows serverのAD CS)に対して証明書の発行を要求したり、発行した証明書をjamf管理のモバイル機器に配布することが可能です。

通常AD CS ConnectorはDMZ上に構築し、Jamf CloudとAD CS間の通信をプロキシーするような構成となります。しかし、この構成ではDMZ-Internal間でHTTPS、DCOM通信に必要なポート(TCP 135、443、49152-65535)を開放する必要があります。
(General Requirementsを参照)

通常の構成(Jamf Cloud with Jamf AD CS Connector in the DMZ)
Jamf_Cloud_with_AD_CS_Connector_in_the_DMZ.png
(図は公式サイトから引用)

何らかの理由(例えばお客様要件上、DMZ-Internal間でDCOM関連のポート解放が難しい等)で上記の構成が許されない場合、以下のようにDMZ上にリバースプロキシーを配置することで、HTTPSのポート解放(TCP 443)のみでAD CS Connectorを利用することが可能です。

今回取り上げる構成(Jamf Cloud with a DMZ reverse proxy layer)
AD_CS_Jamf_Cloud_Reverse_Proxy_Communication.png
(図は公式サイトから引用)

しかし、上記構成を構築するために必要なリバースプロキシーの設定方法や、構成における制約が公式ドキュメントに詳細には記載されておりません。

本記事では、筆者が上記の構成を構築する上でのドキュメントに記載されていないポイントをご紹介します。

構成編

ポイントとなる要件

前提条件の詳細は以下の公式ドキュメントをご参照ください。

まず、赤線で囲った通信を実現する必要があります。
AD_CS_Jamf_Cloud_Reverse_Proxy_Communication_要件.png

ポイントとなる要件は以下です。

  1. まず始めに各コンポーネント間で通信できる必要があります。それぞれURLを指定する必要があるため、コンポーネント間で名前解決、疎通が取れる構成にする必要があります。DMZやセキュアゾーンについてはDNSの向き先に注意が必要です。
    リバプロの図_双方で名前解決.drawio.png

  2. Jamf Cloudとリバースプロキシー、リバースプロキシーとAD CS Connector間の通信は、クライアント認証付きのHTTPS通信となります。そのため、各通信向けにサーバー証明書とクライアント証明書両方をそれぞれ用意する必要があります。各証明書のホスト名も注意した上での証明書作成が必要です。
    リバプロの図.drawio (1).png

  3. AD CS Connectorは、AD CSと同じドメインに所属しているwindows serverを用意する必要があります(そもそもwindows server向けのインストーラーしかないため)。そのため、セキュアゾーンにAD DSがない場合は、別途構築、としてAD CS ConnectorとAD CSをドメイン登録する必要があります。

Windows Server 2019 or 2022 joined to a domain that has a trust relationship with the domain of the certificate authority

4.AD CS ConnectorとADCS間でDCOM通信が成功すること。DCOM通信が成功するよう、windows server上のfirewallの設定状況を確認・変更し、ポート解放する必要があります。

実際にどう構築したか?

最終的な構成

以下のような構成を取りました。

qiita_構成図.drawio (1).png

各コンポーネントの構成は以下です。

  • リバースプロキシー
    • apache導入のLinux(CentOS)
    • apacheの利用モジュール
      • mod_proxy
      • ssl_mod
  • AD CS Connector
    • Windows Server 2019
    • ADDS/DNS機能も同居
  • ADCS
    • Windows Server 2019

構成のポイント

  1. AD CSとjamf AD CS Connectorは別々のwindows serverに構築し、AD CSとAD DSを同居する構成としました。jamf AD CS Connector自体はソフトウェアのサイズが小さいため、AD CSとの同居を検討される場合があるかと思いますが、そもそもJamf Cloudでの設定時にAD CSをホストするサーバーのFQDNと、jamf AD CS ConnectorのURLをそれぞれ別々に設定する必要があるため、基本的にはFQDNを分ける必要があります。そのため、今回自分はAD CSとjamf AD CS Connectorは別々のwindows serverに構築しました。

  2. DNSの構成を以下のようにしました。

  • AD CS Connecotor - AD CS間
    • ADDSが動作するwindows serverにてDNSを起動し、そのDNSにてAD CS ConnectorとAD CSのURLを作成、かつ名前解決を行う設定としました。
  • リバースプロキシー - AD CS Connector間
    • AD CS Connector - リバースプロキシーの名前解決のため、DNSに対してDNSフォワーダーの設定や、hostsの登録を実施しました。

DNSについては、要件に合うように各自の環境に合わせて設定してください。

次に実際の設定時の注意点を別記事にて紹介します。
(現在作成中)

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?