自動化イベントをスケジュールする
開始する前に
ACMEエージェントまたはセンサーがインストールされ、アクティブ化されていることを確認します。
ACMEエージェントまたはセンサーが自動化用に設定されていることを確認します。
自動化プロファイルを少なくとも1つ作成します。
証明書自動化イベントを作成する
CertCentralアカウントの左側にあるメインメニューで、[自動化]>[自動IP]の順に進みます。
[自動IP]ページで、自動化する証明書を見つけます。
[アクション]列で、ドロップダウンメニューから適切なオプションを選択します。
証明書を申請する
IP/ポートにまだ証明書が設定されていない場合に新しい証明書を申請します。
デジサートに切り替える
別の認証局(CA)から発行された証明書をデジサートの証明書に置き換えます。
更新
複数年以外のプラン:証明書の有効期限が切れた、または90日未満で有効期限切れになる場合。
複数年プラン:オーダーまたは複数年プランの有効期限が切れた、または90日未満で有効期限切れになる場合。
再発行
複数年以外のプラン:アクティブな証明書が失効した、または欠落している場合。
(注意:証明書は、元の証明書の有効期限までの残りの期間を使用して再発行されます。)
複数年プラン:アクティブな複数年プランから発行された証明書を置き換える必要がある、その証明書が失効した、または欠落している場合。
(注意:証明書は、許可される最大の証明書有効期限、または複数年プランの有効期限までの残りの期間を使用して再発行されます。)
次の証明書を取得する
複数年プラン:複数年プランのアクティブな証明書が、30日未満で有効期限切れになる場合。
(注意:複数年プランの有効期限が切れるまでは、証明書の有効期限が切れるたびに証明書の再発行または次の証明書の取得を無料で行うことができます。)
手動で申請を送信する
証明書を手動で申請する場合。
このイベントの自動化プロファイルを選択または作成します。
(オプション)[既存のオーダーを使用して複製証明書を発行する]を選択して、既存のオーダーで自動化されている証明書の複製を申請します。
証明書でセキュア化するコモンネームとサブジェクトの別名を入力します。
該当する場合は、現在のユースケースの追加オプションを選択します。下記のユースケースに関する注意を参照してください。
自動化の開始時間を設定して、即時に開始、または事前にスケジュールした時間に開始します。
(オプション)有効期限の終了間近に更新またはインストールされるように証明書を設定します。
契約書を最後まで読んでから、[証明書サービス契約に同意します]を選択します。
[自動化を開始する]、または[自動化をスケジュールする]を選択します。
ユースケースに関する注意:Citrix NetScalerロードバランサー
Citrix NetScaler証明書自動化の前提条件:
ステータスが「IP到達不能」になっている証明書は自動化できません。「IP到達不能」ステータスは、PFX証明書が存在する、アドレスを指定できない仮想サーバーを意味します。
Citrix NetScalerロードバランサーの証明書自動化イベントのスケジュール時:
選択する自動化プロファイルに関連付けられている組織に国、州、および地域(CSL:Country, State, and Locality)の詳細が含まれていることを確認してください。この情報は、CSRを生成し、ロードバランサーを自動化するために必要です。
HTTPポートで自動化をリクエストするときに、トラフィックを自動化の後でリダイレクトしたい場合は、仮想IPアドレスのHTTPインスタンスのHTTPSリダイレクトポートを入力してください。
注記
During automation, we create an HTTPS virtual server with a new certificate. When successful, automation redirects the traffic to the HTTPS instance on the specified port.
ユースケースに関する注意:F5 BIG-IPロードバランサー
F5 BIG-IPロードバランサーの証明書自動化イベントのスケジュール時:
(オプション)[秘密鍵のセキュリティタイプ]を選択し、秘密鍵のストレージを指定します。
標準:F5 BIG-IPロードバランサー自体に秘密鍵を保存します。
FIPS:F5 BIG-IPロードバランサーの連邦情報処理規格(FIPS)対応モジュールに秘密鍵を保存します。
NetHSM:F5 BIG-IPロードバランサーに接続されたハードウェアセキュリティモジュール(HSM)デバイスに秘密鍵を保存します。
(注意:この設定は、CertCentralの[自動化の管理]ビューから設定することもできます。「センサー設定を確認して確定する」を参照してください。)
ユースケースに関する注意:DV証明書自動化
DV証明書自動化の前提条件:
特定のドメインのドメイン検証設定を有効化するようにしてください。
CertCentralアカウントの左側にあるメニューで、[設定]>[ユーザー設定]の順に進みます。
[ユーザー設定]ページで、[詳細設定]を展開します。
[ドメイン名利用権の確認][検証範囲]セクションで、[認証のために正確なドメイン名を送信する]を選択します。
[設定を保存する]を選択します。
DV証明書は以下をサポートしません。
DNS統合が失敗した場合の一括証明書自動化の再試行
複製証明書の発行
DV証明書自動化イベントの作成時:
DV証明書にはサポートされないため、[既存のオーダーを使用して複製証明書を発行する]は選択しないでください。
(オプション)ドメインの所有権を証明するためのDNSチャレンジの検証に[DNS統合またはプロバイダー]を選択します。このリストには、センサーに追加されたすべての統合が含まれています。
重要
重大としてマークされたDNS統合またはプロバイダーは、DNSチャレンジの設定において過去に問題があったものです。これらは再度失敗する可能性があります。検証を正常に行うため、別の統合またはプロバイダーを選択することをお勧めします。
注記
デフォルトで、ロードバランサーでの自動化の対象となる証明書は関連付けられたDNS統合を継承します。この設定を上書きするには、異なるDNS統合を選択します。
スケジュールされた自動化向けに更新されたDNS統合は、直ちに有効になります。ただし、自動更新については、自動化から更新されたDNS統合が有効になるのは次回にスケジュールされた有効からになります。
Authkeyを使用したDV証明書発行のワークフロー
Authkeyが有効化されているアカウントでは、DV証明書自動化リクエストの送信後、CertCentralが直ちにリクエストを承認して証明書を発行します。その後、自動化が証明書をインストールします。
Authkeyを使用しないDV証明書発行のワークフロー
Authkeyが有効化されていないアカウントでは、DV証明書自動化リクエストの送信後、リクエストが承認保留中になります。CertCentralがDV証明書を発行する前に、リクエストのドメインに対するDCVを完了しておく必要があります。その後、自動化が証明書をインストールします。
トラブルシューティング
既知の問題とトラブルシューティングのヒント:
重要
CertCentralのマネージド自動化機能についてサポートが必要な場合、またはそれに関するエラーを報告する必要がある場合は、サポートまでご連絡ください。