Skip to main content

パート 2: Device Trust Manager の設定

To perform this action, you must have a user role that contains the Solution administrator permission.

初期アクセスを設定したので、次のステップでは、セキュアなデバイス管理のために DigiCert® Device Trust Manager を設定します。このセクションでは、ディビジョンの作成、認証ポリシーの定義、および証明書プロファイルの設定について説明します。

目的

  • ディビジョンを作成して、ビジネスニーズごとにデバイスを整理する。

  • 認証ポリシーを設定してデバイスアクセスを管理する。

  • 証明書プロファイルと証明書発行管理ポリシーを設定する。

開始する前に

Device Trust Managerの初期設定を開始するには、以下の手順に従います。

ステップ 1: ディビジョンの作成とランデブーゾーンの設定

ディビジョンでは、Device Trust Managerアカウント内に サブテナント を作成できます。そのため、場所、機能、事業部門などの基準に従ってデバイスを管理することができます。

注記

Device Trust Manager Rendezvous は、デバイスランデブーゾーン(DRZ)と呼ばれる明確なゾーンを世界中に展開し、デバイスの近接性に基づいてレイテンシーを短縮して応答時間を改善します。ディビジョンを作成すると、Rendezvous 用のプライマリゾーンとセカンダリゾーンを設定できます。

  1. In the Device Trust Manager menu, go to Divisions.

  2. Click Create division.

  3. [名前]と、オプションで説明を入力します。

  4. [プライマリゾーン]タブで、ドロップダウンから[ランデブーゾーン]を選択し、[ゾーンの追加]を選択します。

  5. (オプション)[セカンダリゾーン]タブでバックアップの[ランデブーゾーン]を選択し、[ゾーンの追加]を選択します。

  6. Click Create division.

ステップ 2: 認証ポリシーの作成

認証ポリシーは、パスコード、認証証明書、認証 CA など、複数のクレデンシャルをサポートします。

ヒント

1 つの認証ポリシーを複数のデバイスグループや証明書管理ポリシーに割り当てることができます。

  1. In the Device Trust Manager menu, go to Authentication management > Authentication policies.

  2. Click Create authentication policy.

  3. [名前]と、オプションで説明を入力します。

  4. [新しい認証ポリシーの作成]を選択して保存します。

ステップ 3: 認証ポリシーへのパスコードの追加

パスコードは、SCEP、EST、CMPv2 などのプロトコルを使用したデバイス認証および証明書リクエストに使用できる方法のひとつです。

  1. In the Device Trust Manager menu, go to Authentication management > Passcodes.

  2. Select Create passcode.

  3. [名前]と、オプションで説明を入力します。

  4. 「認証ポリシーの割り当てまたは作成」で、ステップ 2: 認証ポリシーの作成 で作成したポリシーを選択します。

  5. 必要に応じて、使用制限など追加のパスコード設定を行います。

  6. パスコードの作成]を選択して保存します。

    Alternatively, you can also select your authentication policy from the Authentication policies list and add a passcode.

重要

API 認証にパスコードを使用する場合は、ヘッダーを x-api-key ではなく x-passcode に設定してください。

ステップ 4: 証明書プロファイルの作成

証明書プロファイルは、証明書発行に不可欠な設定を定義します。必要に応じて、サブジェクト識別名のデフォルトを設定する、証明書の有効期限をカスタマイズする、特定のエクステンションを有効または無効化するなどが可能です。

  1. In the Device Trust Manager menu, go to Certificate management > Certificate profiles.

  2. Click Create certificate profile.

  3. 証明書プロファイルの[名前]を入力します。

  4. CA ソースとして DigiCert ONE を使用するか、リストから選択します。

  5. [テンプレート]で、要件に応じて[エンドエンティティ]または[中間 CA]を選択します。

  6. 証明書プロファイルが使用する証明書テンプレートを選択します。設定可能なカスタムフィールドオプションは、選択したテンプレートに基づいて読み込まれます。

    注記

    証明書テンプレートがない場合は、DigiCert アカウント担当者に連絡し、ニーズに合わせたカスタムテンプレートを要求してください。

  7. 証明書プロファイルを使用できるのが、[すべてのディビジョン][特定のディビジョン]のみかを選択します。

  8. 必要に応じてカスタムフィールドオプションを設定します。たとえば、デフォルト値や更新設定などです。

  9. Enable at least one subject attribute from the available list or mark the SAN extension in the template as critical.

    The available list of subject attributes includes Common name, Organization name, Organization unit, and address fields.

  10. [作成]を選択して証明書プロファイルを保存します。

ステップ 5: 証明書管理ポリシーの作成

証明書管理ポリシーは、証明書の発行と管理設定を決定するコンポーネントとプロトコルをリンクします。

Devices must use a bootstrap certificate to authenticate with the Rendezvous service. The bootstrap certificate allows the devices to request short-lived X.509 operational certificates.

While bootstrap and operational certificates are typically obtained through the certificate management method, other approved methods and protocols are also used for certificate issuance and management. For details, see 証明書管理ポリシー.

ブートストラップ証明書の証明書管理ポリシーの作成

開始する前に

これらの手順を完了するには、以下の点を確認してください。

  1. In the Device Trust Manager menu, go to Certificate management > Certificate management policies.

  2. [証明書管理ポリシーの作成]を選択します。

  3. [一般的な証明書管理ポリシーの設定]ページで、以下の操作を実行します。

    1. ブートストラップ証明書ポリシーの[名前]を入力します。

    2. 作成した[ディビジョン]を選択します。

    3. 必要な証明書管理モデルを選択します。

    4. [証明書の管理方法]で、[Single certificate request through portal and REST API and register a single device]を選択します。

    5. ドロップダウンメニューから[認証ポリシー]を選択します(オプション)。

      You can use the credentials defined in an authentication policy to authenticate API requests. When you assign a certificate management policy to a device group, you can also link it to an authentication policy. For devices in that group, the authentication policy set at the device group level always overrides the one associated with the certificate management policy.

  4. [次へ]をクリックします。

  5. [証明書の設定]ページで、以下の操作を実行します。

    1. ドロップダウンメニューから、[エンドエンティティ証明書プロファイル]または[中間証明書プロファイル]を選択します。

    2. ドロップダウンメニューから[発行 CA]を選択します。

    3. [鍵ペア生成設定]セクションで、[サーバー側の鍵ペア生成]を選択します。

      DigiCert​​®​​ が証明書発行用の鍵ペアを生成します。このオプションを選択する場合は、RSA 2048 や P-256 など、デフォルトの鍵タイプとサイズを指定します。

    4. (オプション)必要に応じて、[Allow the request to select the key and key size at the time of their certificate request]チェックボックスを選択します。

    5. (オプション)必要に応じて、[Allow the requestor to select local or server-side keypair generation at the time of their certificate request]チェックボックスを選択します。

  6. [次へ]をクリックします。

  7. [証明書管理方法の設定]ページで、以下の操作を実行します。

    1. [ポータルおよび API を通じた単一の証明書リクエスト]セクションを展開します。

      注記

      選択した証明書の管理方法は、証明書プロファイルでの設定と一致していなければなりません。選択したプロトコルをサポートする証明書プロファイルがない場合、証明書管理ポリシーは作成できません。

    2. 画面の指示に従って、必要な項目を選択します。

  8. [終了]をクリックして、ブートスラップ証明書の証明書管理ポリシーを作成します。

運用証明書の証明書管理ポリシーの作成

開始する前に

これらの手順を完了するには、以下の点を確認してください。

  1. In the Device Trust Manager menu, go to Certificate management > Certificate management policies.

  2. [証明書管理ポリシーの作成]を選択します。

  3. [一般的な証明書管理ポリシーの設定]ページで、以下の操作を実行します。

    1. 運用証明書ポリシーの[名前]を入力します。

    2. 作成した[ディビジョン]を選択します。

    3. [Policy will be used for secure device lifecycle management]を選択します。[Requires an Advanced license][Select the certificate management model]セクションで選択します。

    4. [証明書の管理方法][DigiCert TrustEdge エージェント]を選択します。

    5. ドロップダウンメニューから[認証ポリシー]を選択します(オプション)。

  4. [次へ]をクリックします。

  5. [証明書の設定]ページで、以下の操作を実行します。

    1. ドロップダウンメニューから、[エンドエンティティ証明書プロファイル]または[中間証明書プロファイル]を選択します。

    2. ドロップダウンメニューから[発行 CA]を選択します。

    3. [鍵ペア生成設定]セクションで、[ローカル鍵ペア生成]を選択します。

      要求者は、鍵ペアをローカルで生成し、証明書署名要求(CSR)に公開鍵を含めます。これは、TrustEdge 管理ベースの運用証明書のときに推奨されます。

  6. [次へ]をクリックします。

  7. [証明書管理方法の設定]ページで、以下の操作を実行します。

    1. [DigiCert TrustEdge エージェントを使用した証明書の管理]セクションを展開します。

    2. ドロップダウンメニューから必要な証明書リクエストフォーマットを選択します。

    3. (オプション)ドロップダウンメニューから[リクエストフォーマットの仕様]を選択します。

    4. (オプション)テキストボックスに証明書の秘密鍵エイリアスを指定します。

      エイリアスはデバイス上の鍵の一意識別子であり、複数の鍵を区別して、特定の操作に正しい鍵が使用されるようにするために使用されます。

    5. (オプション)ドロップダウンリストから適切な [鍵アルゴリズム]を選択します。

    6. [エージェントが証明書の値を生成する方法を定義します]から、任意の式を選択する([TrustEdge エージェントによって評価される式を使用して、証明書の値を提供します])か、証明書のデフォルト値を指定します。

      注記

      使用する目的。選択されたこれらの属性を使用して、デバイスの ID 属性が作成されます。デバイスのこの ID 属性は、信頼できるデバイス識別と管理を保証するために、フリート全体で一意でなければなりません。詳しくは「 Attributes」を参照してください。

    7. [秘密鍵の生成]ドロップダウンメニューから、[クライアント側ソフトウェア]を選択します。

  8. [終了]をクリックして、運用証明書の証明書管理ポリシーを作成します。

進行状況の確認

この段階で、Device Trust Manager は、ディビジョン、認証ポリシー、および証明書管理ポリシーで構成されます。以下が完了しているはずです。

  • デバイスその他のエンティティを組織するために設けられているディビジョン。

  • セキュアなアクセスに必要な認証ポリシーとパスコードの設定

  • 証明書発行管理のために定義された証明書プロファイルおよび管理ポリシー

次の手順

続いて、「パート 3: デバイス管理の設定」に進んで、デバイス管理構造を構成します。

このセクションの内容: