証明書管理ポリシーの作成
開始する前に
これらの手順を完了するには、以下の点を確認してください。
DigiCert® Device Trust Manager で証明書管理ポリシーを作成するには、以下の手順に従います。このトピックでは、証明書管理ポリシーの作成ウィザードの各手順を含め、証明書管理ポリシーを作成する方法の概要を説明します。
証明書管理ポリシーの作成
ソリューション管理者として DigiCert® ONE にサインインします。
DigiCert ONE の[マネージャ]メニュー(右上のグリッド)で、[Device Trust]を選択します。
[証明書管理ポリシーの作成]を選択します。
証明書管理ポリシーの作成ウィザードの各ステップに従って、新しいポリシーを設定します。
証明書管理ポリシーの[名前]を入力します。
ポリシーを割り当てる[ディビジョン]を選択します。
必要な[証明書管理モデル]を選択します。
このポリシーでサポートされる[証明書の管理方法]を選択します。
ポータルおよび REST API を通じた単一の証明書リクエストで単一のデバイス証明書を登録する: 単一のデバイスに対して、ポータルまたは REST API を通じて一度に 1 つずつ証明書をリクエストまたは更新できます。
ポータルや REST API を通じたバッチ証明書リクエストで、多数のデバイスを登録: 1 回の操作で複数の証明書をリクエストできるため、ポータルや REST API を通じて複数のデバイスの証明書管理が合理化します。
DigiCert TrustEdge エージェント: 証明書の自動プロビジョニングおよび管理が可能になります。
EST(Enrollment over Secure Transport): EST を使用したセキュアな証明書申請が可能になります。
CMPv2(Certificate Management Protocol version 2): CMPv2 を使用する証明書の発行、更新、失効が可能になります。
SCEP(Simple Certificate Enrollment Protocol): SCEP を使用した大規模な自動証明書申請が可能になります。
ACME(Automatic Certificate Management Environment): 証明書の要求と取得のプロセスを自動化でき、手作業の必要性が低減します。
EST、SCEP、CMPv2、または ACME の各手法に必要な場合は、[認証ポリシー]を選択します。
注記
選択した方法ごとの設定は、「証明書管理方法の設定」のステップで行います。
[次へ]を選択して証明書の設定に進みます。
サブジェクトフィールド、エクステンション、有効期限などの証明書構造を定義する[エンドエンティティ証明書プロファイル]を選択します。
利用可能なオプションから[中間証明書プロファイル]を選択します。この中間 CA は、このポリシーに基づいて発行される証明書に署名します。
利用可能なオプションから[発行 CA]を選択します。このポリシーに基づいて発行される証明書に署名する認証局。
鍵ペア生成の環境を設定します。
ローカル鍵ペア生成: 証明書リクエストで要求者が CSR または公開鍵を指定する場合は、これを選択します。デバイスは証明書発行のためにローカルで鍵ペアを生成します(これは、TrustEdge 管理ベースの運用証明書では推奨です)。
サーバー側の鍵ペア生成: デジサートが鍵ペアを生成し、暗号化された秘密鍵を証明書とともに返却する場合は、これを選択します。このオプションを選択した場合は、RSA 2048 や P-256 など、デフォルトの鍵タイプおよびサイズを指定します。
証明書リクエスト時に、申請者がローカルまたはサーバ側の鍵ペア生成を選択できるようにします: 証明書リクエストのプロセスで柔軟性が必要な場合は、これを選択します。このオプションを選択した場合は、RSA 2048 や P-256 など、デフォルトの鍵タイプおよびサイズを指定します。
[次へ]をクリックします。
重要
このステップで使用できるオプションは、「一般設定」ステップで選択した証明書の管理方法によって異なります。関連する設定オプションにアクセスするには、「一般設定」で適切な方法を選択していることを確認してください。
有効な場合は、[ポータルおよび API を通じた単一の証明書リクエスト]を構成します。
デジサートのサーバー側で生成された秘密鍵の暗号化方式を設定します。
秘密鍵を保護するために TLS セッション暗号化を使用する: TLS セッションベースの暗号化を使用するときは、このオプションを選択します。
アルゴリズムごとに、[API を用いた証明書リクエストのレスポンスとして渡される秘密鍵ファイルのシンタックス]を選択します。
暗号化証明書で秘密鍵を暗号化する: クライアントが提供する暗号化証明書を使って秘密鍵を暗号化するには、この方法を選択します。次の選択肢があります。
[証明書リクエスト時に、申請者に暗号化証明書の提出を求める]
[暗号化証明書のアップロード]
[プロファイルから認証証明書を使用する]
パスワードで保護された PKCS12 形式のファイルで秘密鍵を暗号化する: 秘密鍵を PKCS12 ファイル形式でパッケージ化するには、これを選択します。
パスコードを入力するか、空白の場合は証明書リクエストのたびにパスコードを設定する必要があります。
[API 証明書リクエスト - レスポンスで返される証明書 - ルート CA への証明書チェーンを含む]を選択します。
レスポンスに完全な証明書チェーンが含まれるように、CA およびルート CA の完全なチェーンを含めます。
中間 CA のみを戻す場合は、発行 CA を含めます。
レスポンスにチェーンの一部を含めるべきでない場合は、CA を含めないでください。
該当する場合は、[証明書のみで応答する - 追加の証明書情報を削除する]を有効にして、補足情報を含まない証明書のみに応答を限定します。
[デフォルトの証明書ファイル形式]を選択して返します。
API が異なる証明書コンポーネント(たとえば、証明書とチェーンなど)を個別に返す必要がある場合は、[レスポンスを分割する]を有効にします。
有効な場合は、[ポータルおよび API を通じたバッチ証明書リクエスト]を設定します。
[バッチ証明書リクエストで生成された秘密鍵を保護するために使用される暗号化証明書]で、以下のオプションのいずれかを選択します。
証明書リクエスト時に、申請者に暗号化証明書の提出を求める: このオプションでは、バッチリクエスト中に要求者が暗号化証明書を提供することが必須になります。
暗号化証明書のアップロード: 秘密鍵の保護にデフォルトで使用される暗号化証明書をアップロードする場合に選択します。
プロファイルから認証証明書を使用する: このオプションは、プロファイルに関連付けられている既存の認証証明書を使用して、秘密鍵を暗号化します。
アルゴリズムごとに、[API を用いた証明書リクエストのレスポンスとして渡される秘密鍵ファイルのシンタックス]を選択します。
[リクエストは、CSV(Comma Separated Value)ファイルを使用して提出されます]で、以下の操作を実行します。
バッチ証明書を要求する場合、証明書の要求に必要な値を含む CSV ファイルが提供されます: これは、デバイス固有のデータを含む CSV ファイルがバッチ処理に使用されることを示します。
バッチリクエストでの証明書の一般名には、MAC アドレスの範囲が指定されます: この設定では、開始 MAC アドレス、証明書の数、および各証明書の増分値を使用して、コモンネームが自動的に割り当てられます。
[証明書フォーマットと証明書エクステンション]を次のように設定します。
[デフォルトの証明書ファイル形式](例: PEM などの利用可能な形式)を選択します。
[証明書のバッチを含むファイルのフォーマット]を選択します(証明書を含む zip ファイルなど)。
必要に応じて、[証明書ファイルの拡張子]を指定します。
秘密鍵で証明書と同じ拡張子を使用させる場合は、[秘密鍵の証明書ファイルの拡張子に合わせる]を有効にします。
[証明書チェーンのオプション]を設定します。
ルート証明書と中間証明書を別ファイルとしてのみダウンロードパッケージに含めます: このオプションは、ルート証明書と中間証明書のみをスタンドアロンファイルとしてパッケージ化します。
また、各エンドエンティティの証明書に中間証明書をパッケージ化します: 各エンドエンティティの証明書に中間証明書を含めます。
また、ルート証明書と中間証明書を各エンドエンティティ証明書とともにパッケージ化します: ルート証明書と中間証明書を各エンドエンティティ証明書とともにバンドルします。
[バッチ結果ログのフォーマット]を選択します。
バッチでの各証明書リクエストの結果を含むログファイルの形式として、CSV または JSON を選択します。
[バッチリクエストが終了したら、以下の連絡先に E メールを送信します]で、バッチ処理が完了したときに通知を受け取るメールアドレスを指定します。
[証明書のバッチをダウンロードできる人物のオプションを選択します]で、以下の操作を実行します。
自分のアカウントに割り当てられた DigiCert ONE ユーザーアカウントを持ち、適切な権限を持つユーザーのみが、証明書のバッチをダウンロードすることができます: ダウンロードを DigiCert ONE 正規ユーザーに制限します。
DigiCert ONE のユーザーアカウントを持たないユーザーにバッチ証明書のダウンロードを許可します: DigiCert ONE 以外のユーザーによる証明書のダウンロードを許可します。
有効な場合は、[TrustEdge エージェント]設定を構成します。
[リクエストフォーマットの種類]を選択します。リクエストフォーマットの種類は、TrustEdge エージェントが証明書リクエストをどう構成するかを決定します。
PKCS10: 公開鍵と要求者の識別子情報を含む標準的な証明書署名要求(CSR)フォーマット。
CMC: さまざまな証明書管理機能をサポートする柔軟な証明書リクエストフォーマット。このタイプの発行 CA を選択します。
オプションで、リクエストフォーマットの仕様を選択します:
TPM2_ATTEST
: このオプションでは、TPM(Trusted Platform Module)2.0 を使用してデバイスを認証し、デバイスが ID と完全性を証明できるようにします。SKG
: SKG(Secure Key Generation)は、デバイスのセキュアハードウェアモジュールを採用して鍵を生成し、デバイスの ID を検証します。TRUSTED_SIGNER
: このオプションでは、デバイスは事前に承認された信頼できる鍵を使用して証明書リクエストに署名します。
任意の証明書属性キーのエイリアスを入力します。証明書属性キーのエイリアスは、TrustEdge エージェントが証明書を要求する際に使用する鍵を指定するために使用される一意の識別子です。この仕組みで、デバイスに保存されている複数の鍵を区別することができ、証明書の操作中に正しい鍵が参照されるようになります。
TrustEdge エージェント経由でリクエストされた証明書に使用する鍵アルゴリズムを選択します。
[CSR で渡される証明書の属性]では、証明書署名要求(CSR)に含まれるカスタム属性を指定できます。
[任意の証明書属性フィールドを追加する]を選択し、サポートされる属性を追加します。
[Key source]を選択します。ここで鍵が生成されます。
有効な場合は、CMPv2(証明書管理プロトコルバージョン 2)の詳細を設定します:
デフォルトでは、[明示的なクライアント確認]が選択されています。不要な場合は選択を解除します。
[明示的クライアント確認]を選択している場合は、要求の有効期限を定義します。
[次へ]を選択して、使用上の制限のステップに進みます。
証明書管理ポリシーに、いつ、どこで使用できるかに関する制限を設定できます。
必要に応じて、個々の使用上の制限を切り替えて、証明書管理ポリシーの使用を制限します:
許可された IP アドレス: 切り替えて、各 IP アドレス、IP アドレス範囲、またはワイルドカード IP アドレスを追加および入力し、証明書リクエストが許可される IP アドレスまたはアドレス範囲を指定します。単一の IP、範囲、またはワイルドカード IP を指定できます。
稼働時間: [タイムゾーン]を選択し、証明書リクエストが許可される[時間]を定義して、稼働時間の設定に切り替えます。
稼働日: 証明書管理ポリシーを使用できる開始日と終了日(有効期間開始日と有効期間終了日)を設定します。
[終了]を選択して、証明書管理ポリシーを作成します。