証明書の自動化プロファイルを作成する
利用可能なベーステンプレート
注記
Trust Lifecycle Manager には、Istio サービスメッシュでプライベート相互 TLS(mTLS)の認証証明書を自動化できるように、CA Manager Private mTLS Certificate という追加のベーステンプレートも用意されています。このユースケースの詳細については、「Istio connector guide」を参照してください。
登録方法
管理下の自動化
Trust Lifecycle Manager Web コンソールから、管理下の自動化ツールを使用して証明書を登録して管理するには、以下の登録方法からいずれかを選択します。
登録方法 | 説明 |
|---|---|
| シンプルな Web ベースのフォームを使用して新しい証明書を要求し、サーバー、Vault、Google Cloud、または AWS Certificate Manager(ACM)へ自動配信します。Trust Lifecycle Manager は、それぞれ DigiCert エージェント、Azure Key Vault コネクタ、GCP 統合コネクタ、または AWS 統合コネクタを介して、選択したシステムに証明書を配信します。 |
| Web サーバー上の証明書を自動化します。各サーバー上の DigiCert エージェントが、証明書登録プロセスを調整し、最終的な証明書をターゲットエンドポイントにダウンロードしてインストールします。 |
| ネットワークアプライアンスおよびクラウドサービス上の証明書を自動化します。ネットワーク上の DigiCert センサーが証明書登録プロセスを調整し、最終的な証明書を、管理対象であるアプライアンス/サービスのターゲットエンドポイントにインストールします。 |
追加のユースケース
証明書管理には、自動化関連の登録方法がこのほかにもあります。
登録方法 | 説明 |
|---|---|
| Trust Lifecycle Manager の ACME サービスを使用して、Web サーバー上のコマンドラインインターフェース(CLI)から証明書を管理します。詳細については、「Third-party ACME client integration guide」を参照してください。 |
| Trust Lifecycle Manager の ACME サービスを使用して、Istio サービスメッシュの相互 TLS(mTLS)認証証明書を自動化します。詳細については、「Istio connector guide」を参照してください。 |
| Trust Lifecycle Manager のREST API サービスを使用して証明書を要求し、管理します。 |
自動更新
自動更新オプションを有効にすると、機能停止を防ぎ、有効な証明書が常にシステムにインストールされていることを保証できます。
有効期限の何日前に更新要求を送信するかを指定しておけば、その時点で Trust Lifecycle Manager が各証明書を自動的に更新し、インストール先に展開します。
自動更新は、プロファイル設定ウィザードの[証明書オプション]>[更新オプション]セクションで有効化します。自動更新は、次のようにスケジュールを設定できます。
証明書有効期限の 30 日前: これがデフォルトのオプションです。
カスタムスケジュール: 証明書更新の有効期限までの日数と、要求を送信する具体的な時刻を指定します。
通知
アカウント全体の通知を設定すると、アカウントで自動化された証明書ライフサイクルイベントすべてについてメールでアラートを送信できます。
特定の証明書自動化プロファイルに対してカスタムの通知を設定することもできます。その場合は、プロファイル設定ウィザードの[追加オプション]>[電子メール設定および通知]セクションを使用します。プロファイルに対してカスタム通知を設定するには:
次の手順
自動ライフサイクル管理の対象となる各証明書には、対応する自動化プロファイルがあります。いずれかのシステムに新しい証明書を展開する必要がある場合は、必要な証明書のタイプと登録方法に基づいて自動化プロファイルを選択します。