ホスト自動化にサードパーティーACMEクライアントを使用する
CertCentralでは、希望するサードパーティーACMEクライアントを使用して証明書デプロイメントを自動化し、TLS管理のオーバーヘッドを削減することができます。
CertCentralのACMEサポートは、短期有効期限または複数年デプロイメントのためにパブリックおよびプライベートのOV証明書とEV証明書を自動化することを可能にします。また、Signed HTTP Exchange証明書プロファイルオプションもサポートされるため、Signed HTTP Exchange証明書デプロイメントを自動化することができます(「Signed HTTP Exchange証明書用のACMEディレクトリURL」を参照してください)。
CertCentralのマネージド自動化との比較
CertCentralのマネージド自動化は、デジサートのターンキー自動化ソリューションです。このソリューションは、CertCentralのウェブコンソールからすべての自動化を管理できるようにして、ACMEおよびその他ソフトウェアのコンポーネントが常に最新状態であることを確実にします。
サードパーティーACMEクライアントを使用するときは、マネージド自動化外で作業を行います。証明書を調達するための基本的な認証情報はCertCentralから取得しますが、独自のACMEソフトウェアをインストールして維持し、各システムでローカルに自動化アクションを開始する必要があります。
注記
CertCentralのマネージド自動化ソリューションを使用するには、アカウントでこのソリューションを有効にする必要があります。自動化が有効化されていない場合は、CertCentralの[自動化]メニューに[ACMEディレクトリURL]と[APIキー]のみが表示されます。
サードパーティーACMEクライアントの場合は、ACMEディレクトリURL機能を使用して自動化オプションを設定し、デジサート証明書の調達に必要な認証情報を取得します。
開始する前に
開始前に、これらの前提条件が満たされていることを確認してください。
CertCentralで証明書申請の自動承認を有効にします。
証明書を取得するドメインと組織の事前検証を行います。これは、即時的な証明書発行に必要になります。
警告
CertCentral handles all validation checks itself, independent of the ACME protocol. The FQDN must be prevalidated in the CertCentral platform and be active and within the validation reuse period.
During an ACME automation event, no authorization is performed by the ACME protocol itself even though requested. All authorization checks are performed out of band by CertCentral's enterprise registration authority (RA) services.
ワークフロー
以下は、サードパーティーACMEクライアントでデジサート証明書を自動化するために必要となる一般的なワークフローです。
サードパーティーACMEクライアントソフトウェアをインストールする
サードパーティープロバイダーからACMEソフトウェアをダウンロードし、自動化クライアントとして機能するシステムにインストールします。
サードパーティープロバイダーのガイドラインに従って、各システムでインストールされたACMEソフトウェアを設定します。
CertCentralの[ACMEディレクトリURL]メニューから、許可されるサードパーティーACME自動化を定義します。
最後に、サードパーティープロバイダーのガイドラインに従って、[ACMEディレクトリURL]メニューで取得した認証情報を使用してACMEクライアントでの証明書自動化イベントを開始します。
サードパーティーACMEクライアントソフトウェアをインストールする
CertCentralからの証明書の調達には、業界標準のACMEプロトコルをサポートするすべてのサードパーティー自動化クライアントを使用できます。その例として、EFFのCertbotを参照してください。
ソフトウェアプロバイダーのガイドラインに従ってサードパーティーACMEクライアントをダウンロードし、インストールします。例えば、EFFはそのCertbotソフトウェアに関するインストールガイドを提供しています。
ACMEクライアントソフトウェアは、証明書自動化を実行する各システムで個別にインストールする必要があります。
サードパーティーACMEクライアントを設定する
自動化を実行する各システムで、サードパーティーACMEクライアントソフトウェアを個別に設定します。
ソフトウェアプロバイダーのガイドラインに従って、必要な設定パラメータを判断します。各ACMEクライアントが以下を実行できることを確認してください。
HTTPS(ポート443)にアウトバウンドで接続する。
パブリックIPアドレス216.168.244.42にアウトバウンドで接続する(
acme.digicert.com
の場合)。DNS、またはローカル「hosts」ファイルを通じて、ローカルサーバーの完全修飾ドメイン名(FQDN)を解決する。
1つ、または複数のACMEディレクトリURLを作成する
CertCentralのACMEディレクトリURL機能を使用して、自動化オプションを設定し、希望するACMEクライアントがDigiCert Cloudと通信するために必要な認証情報を取得します。
CertCentralアカウントの左側にあるメインメニューで、[自動化]>[ACMEディレクトリURL]の順に選択します。
[ACMEディレクトリURL]ビューで、[ACMEディレクトリURLを追加する]を選択します。
[ACMEディレクトリURLを追加する]ポップアップウィンドウで、URLの識別しやすい[名前]を入力します。
[製品]ドロップダウンで、発行する証明書タイプを選択します。
[管理グループ]ドロップダウンで、このACMEディレクトリURLから発行される証明書に関連付ける管理グループを選択します。
[組織]ドロップダウンで、発行される証明書向けに事前検証された組織を選択します。
ACMEディレクトリURLから発行される証明書の[有効期限]を選択します。
複数年アカウントのみ:まず、ドロップダウンから[複数年のプラン期間]を選択します。
希望する証明書[有効期限]オプションを選択します。
[カスタム長]の有効期限の場合は、希望する日数を入力します。
(オプション)Signed HTTP Exchange証明書プロファイルオプションを有効にするには、[追加の証明書オプション]を展開して、[証明書にCanSignHttpExchangesエクステンションを含めます]を選択します。このオプションの詳細については、「Signed HTTP Exchange証明書用のACMEディレクトリURL」を参照してください。
[ACMEディレクトリURLを追加する]を選択します。
[新しいACMEディレクトリURL]ポップアップウィンドウで、外部アカウントバインディング情報とともに一意のACME URLをコピーして、保存します。
この情報は、ACMEクライアントがCertCentralから証明書を調達するために必要で、一度しか表示されません。
この情報をコピーして安全な場所に保存したら、[私は、これが再度表示されないことを理解します]を選択してウィンドウを閉じます。
新しいACMEディレクトリURLは、[ACMEディレクトリURL]ページのURLのリストに追加されます。
For details about certificates issued via the ACME URL, select the information icon next to the URL Description.
To revoke the ACME URL credentials, select the Revoke link on the right.
警告
Store your ACME URL credentials in a secure location to prevent malicious actors from issuing certificates for your prevalidated domains.
If you ever lose your ACME URL credentials or suspect they have been compromised, revoke the existing ACME URL immediately and then create a new ACME URL to use.
When you revoke an ACME URL, the old credentials get permanently disabled and can no longer be used by any ACME clients to request certificates.
自動化イベントを開始する
希望するサードパーティーACMEクライアントをインストールして設定し、そのACMEディレクトリURLをCertCentralで定義したら、デジサート証明書を調達するためにACMEクライアントの使用を開始する準備が整います。
サードパーティーACMEクライアントの場合、自動化アクションはシステムごとに個別に開始される必要があります。ソフトウェアプロバイダーのガイドラインに従って、CertCentralでセットアップしたACMEディレクトリURLから取得された認証情報を使用してください。
EFF Certbotクライアントを使用した自動化アクションの開始例については、「サードパーティーACMEクライアントを使用した自動化例」を参照してください。