自動配信付きで新しい証明書を要求する

外部システムへの自動配信付きで新しい証明書を登録するには、Inventory > Enrollments ページで管理者ウェブ要求機能を使用します。

DigiCert® Trust Lifecycle Manager でこの機能を使用すると、さまざまな発行 CA からの証明書を登録し、発行された証明書を以下の 1 つ以上の宛先に同時に配信することができます。

AWS Certificate Manager（ACM）インスタンス
Azure Key Vault
Google Cloud Platform（GCP）Certificate Manager のインスタンスまたは証明書マップエントリ
サーバーシステム（DigiCert エージェントを介して）
Custom targets (via certificate delivery plugins or custom post-scripts)

開始する前に

Prerequisities

お使いの Trust Lifecycle Manager アカウントで、自動化機能を有効にする必要があります。この機能の確認や有効化については、デジサートのアカウント担当者にお問い合わせください。
登録方法が Admin web request の場合には、1 つ以上の証明書プロファイルが必要です。
- 自動配信用の証明書プロファイルを作成するときは、［ユースケース］列に［ヴォールト配信］がリストされている証明書テンプレートを探します。このテンプレートは、必要な Admin web request の登録方法をサポートしています。
- CertCentral 証明書プロファイルの場合、配信を要求できるのは OV/EV 証明書製品のみです。登録方法として Admin web request を使用するときは、［証明書タイプ］ドロップダウンで必ず OV または EV 製品を選択してください。
以下の宛先に証明書を配信する必要条件:
- AWS Certificate Manager（ACM）インスタンスに配信する場合: AWS 統合コネクタが必要です。
- Azure Key Vault に配信する場合: ヴォールトコネクタが必要です。
- GCP Certificate Manager のインスタンスまたは証明書マップエントリに配信する場合: GCP 統合コネクタが必要です。
- Custom network-based targets using a DigiCert sensor to manage delivery, you need a Certificate delivery plugin.
- サーバーシステムに配信する場合: 各システムに DigiCert エージェントがインストールされている必要があります。
  注記
  Custom post-delivery scripts for agents enable you to deploy certificates for custom applications. DigiCert provides the following GitHub repository with production-ready reference scripts for integrating different vendors and platforms:
  https://github.com/digicert/product-solutions

証明書の登録と配信

Step 1: Initiate the request and configure basic settings

Start by initiating the request and configuring basic settings for the certificate to enroll and deliver.

In the Trust Lifecycle Manager menu, go to Inventory.
Select the Admin web request button at top.
On the Certificate setup screen, configure the basic certificate options:
1. Profile: Select a certificate profile to enroll from. Only profiles with the Admin web request enrollment method are included in this dropdown menu. Use the Show details link to verify the properties for the selected certificate profile.
2. Certificate information:
  コモンネーム: 新しい証明書のコモンネーム（CN）を入力します。
  その他のホスト名（SAN）: 新しい証明書に含めるサブジェクト別名（SAN）を 1 つずつ入力します。代わりに SAN のリストを CSV ファイルからインポートする場合は、［Import CSV］ボタンを選択します。
3. Lifecycle & fulfillment controls:
  Issue duplicate certificate if available: For CertCentral orders, issue a duplicate certificate if the selected profile supports it and the requested common name and SANs match an existing certificate.
  Enable auto-renew schedule: Enable this option to automatically renew the certificate before expiration and deliver the new certificate to the same delivery locations. Select options for when to submit the renewal request (number of days before expiration). Selections you make here override any auto-renewal options in the certificate profile. During an auto-renewal event, the new certificate gets delivered to the same locations as the original one.
4. Certificate-level settings:
  Certificate owners (optional): Select any certificate owners for the certificate. If the selected certificate profile allows it, you can add new owners as part of the request.
  Tags (optional): Apply tags to the issued certificate to help monitor and manage it in Trust Lifecycle Manager.
  Custom attributes (optional): Select any custom attributes for the certificate. This option only appears if the selected certificate profile includes the configured attributes.
5. Additional order options: Enter order handling information, not to be included in the certificate itself. This section is optional and only appears if supported by the selected certificate profile.
Select Next.

Step 2: Configure the delivery targets

On the Delivery integrations screen, select the delivery locations for the issued certificate and configure options for each.

Select the Add button to enable specific target types.
1. In the sidebar that opens, use the checkboxes to enable individual target types or Select all to enable all of them.
2. Select Apply to add the selected delivery targets to your certificate request.

The delivery targets you added appear on the left. Select each one and configure delivery options for it on the right.

各システムにインストールされた DigiCert エージェントを介してサーバーに証明書を配信する場合は、［エージェント］チェックボックスを選択し、サイドバーには次のように入力します。

DigiCert エージェント: 配信先のエージェントを 1 つ以上選択します。

証明書の配信形式: 次のいずれかの形式を選択します。

Format	Description	Delivery options
`.crt`	Deliver the end-entity certificate as a CRT file.	Target path: Enter the full pathname for the directory to deliver the certificate to.
`.jks (update existing)`	Deliver the certificate and any associated materials to an existing Java KeyStore (JKS).	Target path: Enter the full path for the JKS keystore file to add the certificate to. Key store password: Enter the password for the JSK keystore. Trust store password: Enter the password for the trust store for adding any CA certificates.
`.jks (new)`	Create a new Java KeyStore (JKS) for delivering the certificate.	Target path: Enter the full path where the new JKS keystore file should be created. Key store password: Enter a password for the new JSK keystore. Trust store password: Enter the password for the trust store for adding any CA certificates.
`.pem`	Deliver the certificate and any associated materials in PEM format.	Target path: Enter the full pathname for the directory to deliver the certificate to. Password for certificate files: Enter a password for encrypting the private key.
`.pkcs12`	Deliver the certificate and any associated materials in PKCS#12 (PFX) format.	Target path: Enter the full pathname for the directory to deliver the certificate to. Password for certificate files: Enter a password for protecting the PFX file.
`.p7b`	Deliver the certificate and certificate chain as a PKCS#7 (P7B) file.	Target path: Enter the full pathname for the directory to deliver the certificate to.
`CAPI`	Deliver the certificate and any associated materials to the Windows Certificate Store (CAPI). Note: Available for Windows agents only.	Store location: Select `LocalMachine` (all users) or `CurrentUser` (current user only). Certificate store: Select the name of the store to add the certificate to.
`GSK`	Deliver the certificate and any associated materials to an IBM Global Security Kit (GSK) keystore. Prerequisites: For Windows agents, the GSK executable bin directory must be included in the system `PATH` environment variable on the host system. For Linux agents, specify the full file path to the GSK executable bin directory in the agent configuration, under Admin request delivery location.	Keystore type: Select `KDB` or `PKCS12`. Keystore file path: Enter the full path for the keystore file to add the certificate to. The keystore file will be created if it doesn't already exist. Password for certificate files: Enter the password for the GSK keystore. Certificate label: Enter a unique label for the certificate in the GSK keystore. Delete and replace existing: Select this option to enable deleting and replacing any existing certificate with the same label as this one. Otherwise, the new certificate will not be delivered if there's an existing certificate with the same label.

配信後スクリプトの実行（オプション）: 選択したエージェントで、証明書配信後にスクリプトを実行する場合は、このオプションを選択します。
- ここでこのオプションを選択するには、先に［Discovery & automation tools > Agents］でスクリプトを追加する必要があります。
- エージェントごとに、実行する配信後スクリプトを選択し、スクリプトに渡すパラメータをコマンド引数として入力します。
- スクリプトに渡すパラメータ/引数は最大 5 つまで入力できます。各パラメータを指定の入力ボックスに入力します。別のパラメータを追加する場合は、［パラメータの追加］リンクを選択します。
- ローカルの DigiCert エージェントは、証明書配信関連データを Base64 エンコードされた JSON 形式で DC1_POST_SCRIPT_DATA 環境変数に保存します。したがって、配信後スクリプトではこの環境変数を使って参照できます。この環境変数の詳細とサンプルスクリプトについては、「Agent script types」を参照してください。
(Optional) To configure additional delivery locations on the same agent, select Add destination.

接続されている AWS アカウントの AWS Certificate Manager（ACM）に証明書を配信する場合は、［AWS Certificate Manager］チェックボックスを選択し、サイドバーには以下のように入力します。

コネクタ: 使用する AWS 統合コネクタを選択します。
配信オプションは、選択したコネクタに［ACM 再インポートの有効化］オプションがあるかどうかによって、以下のように異なります。
- コネクタにこのオプションがない場合:
  1. AWS リージョン: 配信先のアカウントの AWS リージョンを選択します。
  2. AWS アカウント: 配信先の AWS アカウントを選択します。証明書はこれらのアカウントの ACM に追加されます。
- コネクタにこのオプションがある場合は、表の列を使って AWS のアカウント、リージョン、ACM 再インポートオプションを入力します。
  1. AWS アカウント: 各 AWS アカウントを選択します。
  2. AWS リージョン: 選択した AWS アカウントごとに AWS リージョンを選択します。同一アカウントの複数リージョンに配信する場合は、アカウントを複数回選択してください。
  3. 再インポートのスキップ: （オプション）選択した AWS アカウントとリージョンについて再インポートをスキップします。配信される証明書には新しい ARN が割り当てられます。既存の証明書の場合は、ACM でサービスバインディングを再構成する必要があります。
  4. ARN 固有 ID: （オプション）再インポートを試行するには、ACM での証明書に割り当てる既存の ARN を入力します。成功すると、既存の証明書に対する ACM サービスバインディングが保持されます。
    重要
    ACM 再インポートが機能するのは、新しい証明書が少なくとも 1 つのドメイン名を持ち、鍵用途および拡張鍵用途エクステンション値と一致し、鍵タイプと鍵サイズが元の証明書と同じ場合に限られます。詳細については、『AWS の公式ドキュメント』を参照してください。
自動配信する追加の AWS 統合コネクタを選択するには、下部にあるリンクを使用します。

接続されている Azure アカウントのキーヴォールトに証明書を配信する場合は、［Azure Key Vaults］チェックボックスを選択し、サイドバーには以下のように入力します。

ヴォールトコネクタ: 使用する Azure Key Vault コネクタを選択します。
キーヴォールト: 選択したコネクタを介して配信する特定のキーヴォールトを選択します。
追加の Azure Key Vault にも配信する場合は、下部にあるリンクを使用します。

接続されている GCP プロジェクトの Google Certificate Manager に証明書を配信する場合は、［GCP Certificate Manager］チェックボックスを選択し、サイドバーには以下のように入力します。

コネクタ: 使用する GCP 統合コネクタを選択します。
［証明書マネージャに証明書を追加］を選択します。
リージョン: 配信先のプロジェクトの GCP リージョンを選択します。
プロジェクト ID: 配信先の GCP プロジェクトを選択します。証明書は、ここで選択したプロジェクトの証明書マネージャーに追加されます。

To deliver certificates to a certificate map entry in a connected GCP project, configure the following options.

コネクタ: 使用する GCP 統合コネクタを選択します。
［証明書マップエントリに証明書を追加］を選択します。
リージョン: これはグローバルに設定され、変更はできません。GCP 証明書マップはグローバル証明書しかサポートしないからです。
プロジェクト ID: 配信先の GCP プロジェクトを選択します。ここで選択したプロジェクトの新規または既存の証明書マップエントリに証明書を追加できます。
証明書の添付: 証明書を新規と既存どちらの証明書マップエントリに追加するか、いずれかのオプションを選択します。
- 既存の証明書マップと証明書マップエントリ: 既存の証明書マップの既存エントリに証明書を追加します。
- 既存の証明書マップと新しい証明書マップエントリ: 既存の証明書マップの証明書に対して新しい証明書マップエントリを作成します。
- 既存の証明書マップと新しい証明書マップエントリ: 新しい証明書マップと、その証明書の新しい証明書マップエントリを両方作成します。
証明書マップ名: 証明書を追加する証明書マップの名前を入力します。
- 既存の証明書マップに配信する場合、入力する名前は既存のマップと完全に一致する必要があります。
- 新しい証明書マップに配信する場合、入力した名前は新しいマップの作成に使用されます。
証明書マップエントリ名: 証明書を追加する特定の証明書マップエントリの名前を入力します。
- 既存の証明書マップエントリに配信する場合、入力する名前は既存のエントリと完全に一致する必要があります。
- 新しい証明書マップエントリに配信する場合、入力した名前は新しいエントリの作成に使用されます。
重要
注:
- 配信済みの証明書に対して新しい証明書マップエントリを追加する場合、Trust Lifecycle Manager によってマップエントリのホスト名値は証明書のコモンネームに基づいて設定されます。
- 証明書マップエントリに追加された証明書を更新、自動更新、または再発行する場合、Trust Lifecycle Manager によって新しい証明書は同じマップエントリに追加され、既存の証明書は置き換えられます。
- 証明書マップへの証明書追加でエラーが発生した場合でも、Trust Lifecycle Manager は選択されたプロジェクトの Certificate Manager に証明書を配信します。エラーの詳細については、［Reporting > Audit logs］ページを参照してください。

After configuring options for each deliver target, it shows as Configured on the left. When all targets are configured, select Next to proceed.

Step 3: Review and submit the request

On the Review & Submit screen, review all the options you selected and submit the request.

次の手順

発行された証明書は選択した場所に配信され、Trust Lifecycle Manager の一元化されたインベントリから監視と管理が可能になります。
証明書の自動更新を有効にしている場合、有効期限が近づいたとき、Trust Lifecycle Manager は元の証明書と同じ場所に新しい証明書を自動的に配信します。
管理下の自動化の機能を使用して、Inventory から証明書を更新または再発行すると、Trust Lifecycle Manager は新しい証明書を元の証明書と同じ場所に配信します。

このセクションの内容: