証明書管理ポリシー
証明書の管理方法
証明書管理ポリシーは、証明書を発行して管理する際に許可される方法とプロトコルを定義します。
手法 | 説明 |
---|---|
ポータルおよび API を通じた単一の証明書リクエスト | ポータルや API を通じて、1 つずつ証明書を要求または更新できます。 |
ポータルおよび API を通じたバッチ証明書リクエスト | 1 回の操作で複数の証明書をリクエストできるため、証明書管理が効率化されます。 |
TrustEdge エージェント | 証明書の自動プロビジョニングと管理が可能です。 |
EST(Enrollment over Secure Transport) | EST を使用したセキュアな証明書申請が可能です。 |
CMPv2 | CMPv2 を使用して、証明書を発行、更新、失効できます。 |
SCEP(Simple Certificate Enrollment Protocol) | SCEP を使用した大規模な自動証明書申請が可能になります。 |
ACME(Automated Certificate Management Environment Protocol) | ACME を使用した証明書の自動プロビジョニング、更新、失効が可能になります。 |
鍵ペア生成設定
証明書管理ポリシーは、証明書リクエストプロセスにおける鍵ペアの生成方法を定義します。鍵ペアは、リクエスト元がローカルで生成することも、DigiCert® によってサーバー側で生成することもできます。
鍵生成の設定 | 説明 |
---|---|
ローカル鍵ペア生成 | 要求者は、鍵ペアをローカルで生成し、証明書署名要求(CSR)に公開鍵を含めます。 |
サーバー側の鍵ペア生成 | DigiCert® は、証明書がリクエストされたとき、要求者に代わって鍵ペアを生成します。 |
カスタマイズ可能な鍵ペア生成 | 管理者は、リクエスト時に要求者がローカルまたはサーバー側の鍵ペア生成を選べるようにすることができます。 |
デフォルトの鍵タイプとサイズ | 管理者は、サーバー側で鍵ペアを生成する際のデフォルトの鍵タイプとサイズ(RSA 4096 など)を設定できます。 |
鍵タイプとサイズの選択 | 証明書リクエストプロセスでは、要求者自身が鍵タイプとサイズを選択できます。 |
使用上の制限
証明書管理ポリシーにおける使用制限により、証明書をいつ、どこから要求するかが制限されます。この制限のため、管理者は特定の運用パラメータを定義することができ、証明書発行の厳密な管理が可能になります。
デバイスグループの関連付け
証明書管理ポリシーは デバイスグループに適用されます。そのため、Device Trust Manager では大規模なデバイス群に対する証明書の発行と更新を管理できます。デバイスのオンボーディング時にブートストラップ証明書を発行するには、デバイスグループに少なくとも 1 つの証明書管理ポリシーが必要です。デバイスがプロビジョニングされ、グループに割り当てられると、そのグループにアタッチされたポリシーに従って証明書を受け取ります。
証明書プロファイルと発行 CA
証明書管理ポリシーに基づいて発行された各証明書は、証明書プロファイルにリンクされます。証明書プロファイルは、サブジェクト識別名(DN)、有効期限、発行組織が要求する追加証明書エクステンションなど、証明書の特定の側面を定義します。
発行 CA(認証局)は、証明書に署名する責任を負います。この認証局によって、通常は署名権限を持つ中間 CA を使用して、証明書が信頼され検証可能であることを保証します。発行 CA は証明書管理ポリシーに明記され、すべての証明書が組織の確立した信頼階層構造に従うことを保証します。