Thales DPoD
Thales DPoD (Data Protection on Demand)は、シンプルなオンラインマーケットプレイスを通じて、さまざまなクラウド HSM および鍵の管理サービスを提供するクラウドベースのプラットフォームです。
DigiCert がホストするアカウントの場合、アカウントマネージャーに Thales DPoD 統合を有効にするよう依頼してください。自己ホスト型のアカウントの場合、システム管理者が以下の手順で Thales DPoD を有効にできます。
重要
DigiCert ONE が統合をサポートするのは、北米にホストされている Thales DPoD 環境に限ります。
DPoD の有効化
DPoD を有効にするには、以下の手順を実行します。
DigiCert ONE にサインインします。
[マネージャ]メニューアイコン(右上) > Private CA を選択します。
左側のナビゲーションメニューで、[HSM] > [DPoD]を選択します。
[Enable DPoD]アイコン(右上)を選択します。
注記
次のステップに進む前に、以下の手順を実行します。
次のコマンドを使用して、CA を再起動します。
kubectl rollout restart deployment certificate-authority -n dcone
すべての項目に「1/1」が表示されるまで待ちます。
DigiCert ONE Web ページを更新します。
DPoD HSM の追加
DPoD HSM を追加するには、以下の手順を実行します。
DigiCert ONE にサインインします。
[マネージャ]メニューアイコン(右上) > Private CA を選択します。
左側のナビゲーションメニューで、[HSM] > [DPoD]を選択すると、Dpod インスタンスのページが表示されます。
[HSM サーバー]セクションで、[HSM サーバーの追加]を選択します。
以下のフィールドに入力します。
フィールド
説明
Client nickname(オプション)
アカウント内で識別しやすいよう、HSM にわかりやすいラベルを設定します。
注記
推奨されるニックネーム: {アカウントの短縮名} DPoD
例: DC1 DPoD
クライアントシークレット
DPoD インスタンスのクライアントシークレットを入力します。
クライアント ID
DPoD インスタンスの クライアント ID を入力します。
URL
DPoD インスタンスのクライアント URL を入力します。
[Add instance]を選択します。
DPoD インスタンスが HSM サーバーリストに表示されるようになります。
注記
次のステップに進む前に、以下の手順を実行します。
次のコマンドを使用して、CA を再起動します。
kubectl rollout restart deployment certificate-authority -n dcone
すべての項目に「1/1」が表示されるまで待ちます。
DigiCert ONE Web ページを更新します。
DPoD パーティションの登録
DPoD パーティションを登録するには、以下の手順を実行します。
DigiCert ONE にサインインします。
[マネージャ]メニューアイコン(右上) > Private CA を選択します。
左側のナビゲーションメニューで、[HSM] > [DPoD]を選択します。
[パーティション]セクションで、[パーティションの登録]をクリックします。
以下のフィールドに入力します。
フィールド
説明
パーティション
未登録のパーティションがすべてドロップダウンメニューに表示されるので、1 つ選択します。
パスワード
DPoD パーティションのパスワードを入力します。
表示名
アカウント内で識別しやすいよう、パーティションに関連付けるわかりやすいラベルを設定します。
注記
推奨するパーティション名: {アカウントの短縮名} {パーティション番号}
例: DC1 Partition 1
許可された使用(オプション)
次から 1 つ以上を選択します。
新しい CA 鍵
証明書用の新しい鍵を生成できます。
新しい OSCP レスポンダの鍵
OCSP 用の新しい鍵を生成できます。
既存の CA 鍵
既存の鍵を保存できます。
既存の OSCP レスポンダの鍵
既存の鍵を保存できます。
鍵預託
鍵預託の生成および署名が可能です。Software Trust Manager での鍵管理に必要になります。
ヒント
テスト目的では、すべての用途を追加してください。
セキュリティレベル
以下のセキュリティレベルのいずれかを選択します。
レベル 3
鍵は CA/B 準拠の HSM に保管されます。この保管方法は、FIPS 140-2 Level 2、コモンクライテリア EAL4+、または同等以上であるため、パブリックトラスト証明書またはプライベートトラスト証明書と互換性があります。
レベル 2
鍵は認定レベル 3 未満の HSM に格納されます。このストレージは、プライベートトラスト認証書のみに対応しています。
レベル 1
鍵は未認証だがセキュアな softHSM に保管されます。このストレージは、プライベートトラスト認証書のみに対応しています。
この HSM パーティションを使用できるアカウント
以下から 1 つ以上を選択します。
No accounts(デフォルト)
DigiCert ONE のすべてのユーザーが DPoD パーティションにアクセスする場合に推奨されます。
選択したアカウント
特定の組織が所有する DPoD パーティションの場合、その DPoD パーティションを使用する組織とユーザーに関連するアカウントを 1 つ以上選択します。
すべてのアカウント
注意
このオプションは使用しないでください。
[パーティションの登録]を選択します。
DPoD をデフォルト預託パーティションに設定(オプション)
デフォルト預託パーティションに設定可能なパーティションは 1 つのみです。パーティションが DigiCert ONE アカウントのすべてのユーザーのバックアップとして機能する場合、または接続されている唯一の HSM パーティションである場合、それをデフォルト預託パーティションとして設定します。デフォルト預託パーティションに指定されたパーティションは、特に指定がない限り、すべての預託機能に使用されます。
注記
GP2 上にホストされている DPoD はデフォルト預託パーティションにはなりません。この指定は DigiCert がホストするパーティションにのみ適用されます。
新しいパーティションをデフォルトとして設定するには、以下の手順を実行します。
DigiCert ONE にサインインします。
[マネージャ]メニューアイコン(右上) > Private CA を選択します。
左側のナビゲーションメニューで、[HSM] > [登録済みパーティション]を選択します。
デフォルトに設定するパーティションの表示名にカーソルを合わせると、[︙]アイコンが表示されます。
[Set as default escrow]を選択します。
マスター預託キーの作成
注記
マスター預託キーを作成し、パーティションの用途を「預託」に設定することで、そのパーティションを預託用として使用できるようになります。複数のマスター預託キーを設定できます。
マスター預託キーを作成するには、以下の手順を実行します。
DigiCert ONE にサインインします。
[マネージャ]メニューアイコン(右上) > Private CA を選択します。
左側のナビゲーションメニューで、[HSM] > [マスター預託キー]を選択します。
[マスター預託キーの作成]を選択します。
以下のフィールドに入力します。
フィールド
説明
アクティブにする
預託キーをアクティブにするには、このボックスにチェックを入れます。
ヒント
Software Trust Manager で鍵ペアを生成するには、預託鍵がアクティブである必要があります。
名前
アカウント内で識別しやすいよう、パーティションに関連付けるわかりやすいラベルを設定します。
HSM プロバイダ(オプション)
[DPoD]を選択します。
HSM パーティション
関連する DPoD パーティションを選択します。
注記
預託署名が許可されている DPoD パーティションを選択します。
[作成]を選択します。