Thales DPoD
Thales DPoD (Data Protection on Demand)は、シンプルなオンラインマーケットプレイスを通じて、さまざまなクラウド HSM および鍵の管理サービスを提供するクラウドベースのプラットフォームです。
DigiCert がホストするアカウントの場合、アカウントマネージャーに Thales DPoD 統合を有効にするよう依頼してください。自己ホスト型のアカウントの場合、システム管理者が以下の手順で Thales DPoD を有効にできます。
重要
DigiCert ONE が統合をサポートするのは、北米にホストされている Thales DPoD 環境に限ります。
DPoD の有効化
DPoD を有効にするには、以下の手順を実行します。
にサインインします。
[マネージャ]メニューアイコン(右上) > を選択します。
左側のナビゲーションメニューで、[HSM] > [DPoD]を選択します。
[Enable DPoD]アイコン(右上)を選択します。
注記
次のステップに進む前に、以下の手順を実行します。
次のコマンドを使用して、CA を再起動します。
kubectl rollout restart deployment certificate-authority -n dcone
すべての項目に「1/1」が表示されるまで待ちます。
Web ページを更新します。
DPoD HSM の追加
DPoD HSM を追加するには、以下の手順を実行します。
にサインインします。
[マネージャ]メニューアイコン(右上) > を選択します。
左側のナビゲーションメニューで、[HSM] > [DPoD]を選択すると、Dpod インスタンスのページが表示されます。
[HSM サーバー]セクションで、[HSM サーバーの追加]を選択します。
以下のフィールドに入力します。
フィールド
説明
Client nickname(オプション)
アカウント内で識別しやすいよう、HSM にわかりやすいラベルを設定します。
注記
推奨されるニックネーム: {アカウントの短縮名} DPoD
例: DC1 DPoD
クライアントシークレット
DPoD インスタンスのクライアントシークレットを入力します。
クライアント ID
DPoD インスタンスの クライアント ID を入力します。
URL
DPoD インスタンスのクライアント URL を入力します。
[Add instance]を選択します。
DPoD インスタンスが HSM サーバーリストに表示されるようになります。
注記
次のステップに進む前に、以下の手順を実行します。
次のコマンドを使用して、CA を再起動します。
kubectl rollout restart deployment certificate-authority -n dcone
すべての項目に「1/1」が表示されるまで待ちます。
Web ページを更新します。
DPoD パーティションの登録
DPoD パーティションを登録するには、以下の手順を実行します。
にサインインします。
[マネージャ]メニューアイコン(右上) > を選択します。
左側のナビゲーションメニューで、[HSM] > [DPoD]を選択します。
[パーティション]セクションで、[パーティションの登録]をクリックします。
以下のフィールドに入力します。
フィールド
説明
パーティション
未登録のパーティションがすべてドロップダウンメニューに表示されるので、1 つ選択します。
パスワード
DPoD パーティションのパスワードを入力します。
表示名
アカウント内で識別しやすいよう、パーティションに関連付けるわかりやすいラベルを設定します。
注記
推奨するパーティション名: {アカウントの短縮名} {パーティション番号}
例: DC1 Partition 1
許可された使用(オプション)
次から 1 つ以上を選択します。
新しい CA 鍵
証明書用の新しい鍵を生成できます。
新しい OSCP レスポンダの鍵
OCSP 用の新しい鍵を生成できます。
既存の CA 鍵
既存の鍵を保存できます。
既存の OSCP レスポンダの鍵
既存の鍵を保存できます。
鍵預託
鍵預託の生成および署名が可能です。 での鍵管理に必要になります。
ヒント
テスト目的では、すべての用途を追加してください。
セキュリティレベル
以下のセキュリティレベルのいずれかを選択します。
レベル 3
鍵は CA/B 準拠の HSM に保管されます。この保管方法は、FIPS 140-2 Level 2、コモンクライテリア EAL4+、または同等以上であるため、パブリックトラスト証明書またはプライベートトラスト証明書と互換性があります。
レベル 2
鍵は認定レベル 3 未満の HSM に格納されます。このストレージは、プライベートトラスト認証書のみに対応しています。
レベル 1
鍵は未認証だがセキュアな softHSM に保管されます。このストレージは、プライベートトラスト認証書のみに対応しています。
この HSM パーティションを使用できるアカウント
以下から 1 つ以上を選択します。
No accounts(デフォルト)
のすべてのユーザーが DPoD パーティションにアクセスする場合に推奨されます。
選択したアカウント
特定の組織が所有する DPoD パーティションの場合、その DPoD パーティションを使用する組織とユーザーに関連するアカウントを 1 つ以上選択します。
すべてのアカウント
注意
このオプションは使用しないでください。
[パーティションの登録]を選択します。
DPoD をデフォルト預託パーティションに設定(オプション)
デフォルト預託パーティションに設定可能なパーティションは 1 つのみです。パーティションが アカウントのすべてのユーザーのバックアップとして機能する場合、または接続されている唯一の HSM パーティションである場合、それをデフォルト預託パーティションとして設定します。デフォルト預託パーティションに指定されたパーティションは、特に指定がない限り、すべての預託機能に使用されます。
注記
GP2 上にホストされている DPoD はデフォルト預託パーティションにはなりません。この指定は DigiCert がホストするパーティションにのみ適用されます。
新しいパーティションをデフォルトとして設定するには、以下の手順を実行します。
にサインインします。
[マネージャ]メニューアイコン(右上) > を選択します。
左側のナビゲーションメニューで、[HSM] > [登録済みパーティション]を選択します。
デフォルトに設定するパーティションの表示名にカーソルを合わせると、[︙]アイコンが表示されます。
[Set as default escrow]を選択します。
マスター預託キーの作成
注記
マスター預託キーを作成し、パーティションの用途を「預託」に設定することで、そのパーティションを預託用として使用できるようになります。複数のマスター預託キーを設定できます。
マスター預託キーを作成するには、以下の手順を実行します。
にサインインします。
[マネージャ]メニューアイコン(右上) > を選択します。
左側のナビゲーションメニューで、[HSM] > [マスター預託キー]を選択します。
[マスター預託キーの作成]を選択します。
以下のフィールドに入力します。
フィールド
説明
アクティブにする
預託キーをアクティブにするには、このボックスにチェックを入れます。
ヒント
で鍵ペアを生成するには、預託鍵がアクティブである必要があります。
名前
アカウント内で識別しやすいよう、パーティションに関連付けるわかりやすいラベルを設定します。
HSM プロバイダ(オプション)
[DPoD]を選択します。
HSM パーティション
関連する DPoD パーティションを選択します。
注記
預託署名が許可されている DPoD パーティションを選択します。
[作成]を選択します。