自動配信付きで新しい証明書を要求する

外部システムへの自動配信付きで新しい証明書を登録するには、Inventory > Enrollments ページで管理者ウェブ要求機能を使用します。

DigiCert® Trust Lifecycle Manager でこの機能を使用すると、さまざまな発行 CA からの証明書を登録し、発行された証明書を以下の 1 つ以上の宛先に同時に配信することができます。

サーバーシステム（DigiCert エージェントを介して）
AWS Certificate Manager（ACM）インスタンス
Azure Key Vault
Google Cloud Platform（GCP）Certificate Manager のインスタンスまたは証明書マップエントリ

開始する前に

お使いの Trust Lifecycle Manager アカウントで、自動化機能を有効にする必要があります。この機能の確認や有効化については、デジサートのアカウント担当者にお問い合わせください。
以下の宛先に証明書を配信する必要条件:
- サーバーシステムに配信する場合: 各システムに DigiCert エージェントがインストールされている必要があります。
- AWS Certificate Manager（ACM）インスタンスに配信する場合: AWS 統合コネクタが必要です。
- Azure Key Vault に配信する場合: ヴォールトコネクタが必要です。
- GCP Certificate Manager のインスタンスまたは証明書マップエントリに配信する場合: GCP 統合コネクタが必要です。
登録方法が Admin web request の場合には、1 つ以上の証明書プロファイルが必要です。
- 自動配信用の証明書プロファイルを作成するときは、［ユースケース］列に［ヴォールト配信］がリストされている証明書テンプレートを探します。このテンプレートは、必要な Admin web request の登録方法をサポートしています。
- CertCentral 証明書プロファイルの場合、配信を要求できるのは OV/EV 証明書製品のみです。登録方法として Admin web request を使用するときは、［証明書タイプ］ドロップダウンで必ず OV または EV 製品を選択してください。

証明書の登録と配信

Inventory > Enrollments ページで、上部にある［管理者ウェブ要求］ボタンを選択します。
フォームに以下のような必要事項を入力します。
プロファイル: 新しい証明書の登録に使用する証明書プロファイルを選択します。このドロップダウンメニューに表示されるのは、登録方法として Admin web request を指定したプロファイルのみです。［詳細の表示］リンクを使用して、選択した証明書プロファイルのプロパティを確認します。
証明書情報:
- コモンネーム: 新しい証明書のコモンネーム（CN）を入力します。
- その他のホスト名（SAN）: 新しい証明書に含めるサブジェクト別名（SAN）を 1 つずつ入力します。代わりに SAN のリストを CSV ファイルからインポートする場合は、［Import CSV］ボタンを選択します。
  このフィールドはオプションで、選択した証明書プロファイルによってサポートされている場合にのみ表示されます。
  ［登録の詳細］＞［サブジェクトの別名（SAN）］セクションでは、DNS 名として IP アドレスを使用できます。
追加オーダーオプション: オーダー処理情報を入力します。これは、証明書自体には含まれません。このセクションはオプションで、選択した証明書プロファイルによってサポートされている場合にのみ表示されます。

証明書の配信: 発行した証明書の配信先をチェックボックスで選択してから、開いたサイドバーでオプションを選択します。配信先のタイプに応じた詳細な手順は、以下の各セクションを参照してください。

各システムにインストールされた DigiCert エージェントを介してサーバーに証明書を配信する場合は、［エージェント］チェックボックスを選択し、サイドバーには次のように入力します。

DigiCert エージェント: 配信先のエージェントを 1 つ以上選択します。

証明書の配信形式: 次のいずれかの形式を選択します。

配信形式によっては、追加の設定も必要です。

Delivery format	Description	Additional configuration
`.crt`	Deliver the end-entity certificate as a CRT file.	—
`.jks (update existing)`	Deliver the certificate and any associated materials to an existing Java KeyStore (JKS).	JKS file location: Enter the full path for the JKS keystore file to add the certificate to. Key store password: Enter the password for the JSK keystore. Trust store password: Enter the password for the trust store for adding any CA certificates.
`.jks (new)`	Create a new Java KeyStore (JKS) for delivering the certificate.	Key store password: Enter a password for the new JSK keystore. Trust store password: Enter the password for the trust store for adding any CA certificates.
`CAPI`	Deliver the certificate and any associated materials to the Windows Certificate Store (CAPI). Note: Available for Windows agents only.	Store location: Select `LocalMachine` (all users) or `CurrentUser` (current user only). Certificate store: Select the name of the store to add the certificate to.
`GSK`	Deliver the certificate and any associated materials to an IBM Global Security Kit (GSK) keystore. Prerequisites: For Windows agents, the GSK executable bin directory must be included in the system `PATH` environment variable on the host system. For Linux agents, specify the full file path to the GSK executable bin directory in the agent configuration, under Admin request delivery location.	Keystore type: Select `KDB` or `PKCS12`. Keystore file path: Enter the full path for the keystore file to add the certificate to. The keystore file will be created if it doesn't already exist. Keystore password: Enter the password for the GSK keystore. Certificate label: Enter a unique label for the certificate in the GSK keystore. Delete and replace existing: Select this option to enable deleting and replacing any existing certificate with the same label as this one. Otherwise, the new certificate will not be delivered if there's an existing certificate with the same label.
`.pem`	Deliver the certificate and any associated materials in PEM format.	Enter a password for encrypting the private key.
`.pkcs12`	Deliver the certificate and any associated materials in PKCS#12 (PFX) format.	Enter a password for protecting the PFX file.
`.p7b`	Deliver the certificate and certificate chain as a PKCS#7 (P7B) file.	—

配信後スクリプトの実行（オプション）: 選択したエージェントで、証明書配信後にスクリプトを実行する場合は、このオプションを選択します。
- ここでこのオプションを選択するには、先に［Discovery & automation tools > Agents］でスクリプトを追加する必要があります。
- エージェントごとに、実行する配信後スクリプトを選択し、スクリプトに渡すパラメータをコマンド引数として入力します。
- スクリプトに渡すパラメータ/引数は最大 5 つまで入力できます。各パラメータを指定の入力ボックスに入力します。別のパラメータを追加する場合は、［パラメータの追加］リンクを選択します。
- ローカルの DigiCert エージェントは、証明書配信関連データを Base64 エンコードされた JSON 形式で DC1_POST_SCRIPT_DATA 環境変数に保存します。したがって、配信後スクリプトではこの環境変数を使って参照できます。この環境変数の詳細とサンプルスクリプトについては、「Agent script types」を参照してください。
設定したエージェント配信先を登録要求に追加するには、サイドバーの下部にある［追加］ボタンを選択します。
注記
デフォルトでは、証明書はホストシステムのエージェントインストールディレクトリ以下にある .secrets サブディレクトリに配信されます。別のディレクトリに証明書を配信するには、Trust Lifecycle Manager でエージェントを編集し、［管理要求の配信場所］という設定を構成します。

接続されている AWS アカウントの AWS Certificate Manager（ACM）に証明書を配信する場合は、［AWS Certificate Manager］チェックボックスを選択し、サイドバーには以下のように入力します。

コネクタ: 使用する AWS 統合コネクタを選択します。
配信オプションは、選択したコネクタに［ACM 再インポートの有効化］オプションがあるかどうかによって、以下のように異なります。
- コネクタにこのオプションがない場合:
  1. AWS リージョン: 配信先のアカウントの AWS リージョンを選択します。
  2. AWS アカウント: 配信先の AWS アカウントを選択します。証明書はこれらのアカウントの ACM に追加されます。
- コネクタにこのオプションがある場合は、表の列を使って AWS のアカウント、リージョン、ACM 再インポートオプションを入力します。
  1. AWS アカウント: 各 AWS アカウントを選択します。
  2. AWS リージョン: 選択した AWS アカウントごとに AWS リージョンを選択します。同一アカウントの複数リージョンに配信する場合は、アカウントを複数回選択してください。
  3. 再インポートのスキップ: （オプション）選択した AWS アカウントとリージョンについて再インポートをスキップします。配信される証明書には新しい ARN が割り当てられます。既存の証明書の場合は、ACM でサービスバインディングを再構成する必要があります。
  4. ARN 固有 ID: （オプション）再インポートを試行するには、ACM での証明書に割り当てる既存の ARN を入力します。成功すると、既存の証明書に対する ACM サービスバインディングが保持されます。
    重要
    ACM 再インポートが機能するのは、新しい証明書が少なくとも 1 つのドメイン名を持ち、鍵用途および拡張鍵用途エクステンション値と一致し、鍵タイプと鍵サイズが元の証明書と同じ場合に限られます。詳細については、『AWS の公式ドキュメント』を参照してください。
自動配信する追加の AWS 統合コネクタを選択するには、下部にあるリンクを使用します。
設定済みの AWS 配信先とオプションを登録要求に追加するには、サイドバーの下部にある［追加］ボタンを選択します。

接続されている Azure アカウントのキーヴォールトに証明書を配信する場合は、［Azure Key Vaults］チェックボックスを選択し、サイドバーには以下のように入力します。

ヴォールトコネクタ: 使用する Azure Key Vault コネクタを選択します。
キーヴォールト: 選択したコネクタを介して配信する特定のキーヴォールトを選択します。
追加の Azure Key Vault にも配信する場合は、下部にあるリンクを使用します。
設定した Azure Key Vault 配信先を登録要求に追加するには、サイドバーの下部にある［追加］ボタンを選択します。

接続されている GCP プロジェクトの Google Certificate Manager に証明書を配信する場合は、［GCP Certificate Manager］チェックボックスを選択し、サイドバーには以下のように入力します。

コネクタ: 使用する GCP 統合コネクタを選択します。
［証明書マネージャに証明書を追加］を選択します。
リージョン: 配信先のプロジェクトの GCP リージョンを選択します。
プロジェクト ID: 配信先の GCP プロジェクトを選択します。証明書は、ここで選択したプロジェクトの証明書マネージャーに追加されます。
設定した GCP 配信先を登録要求に追加するには、サイドバーの下部にある［追加］ボタンを選択します。

接続されている GCP プロジェクトの証明書マップエントリに証明書を配信する場合は、［GCP Certificate Manager］チェックボックスを選択し、サイドバーには以下のように入力します。

コネクタ: 使用する GCP 統合コネクタを選択します。
［証明書マップエントリに証明書を追加］を選択します。
リージョン: これはグローバルに設定され、変更はできません。GCP 証明書マップはグローバル証明書しかサポートしないからです。
プロジェクト ID: 配信先の GCP プロジェクトを選択します。ここで選択したプロジェクトの新規または既存の証明書マップエントリに証明書を追加できます。
証明書の添付: 証明書を新規と既存どちらの証明書マップエントリに追加するか、いずれかのオプションを選択します。
- 既存の証明書マップと証明書マップエントリ: 既存の証明書マップの既存エントリに証明書を追加します。
- 既存の証明書マップと新しい証明書マップエントリ: 既存の証明書マップの証明書に対して新しい証明書マップエントリを作成します。
- 既存の証明書マップと新しい証明書マップエントリ: 新しい証明書マップと、その証明書の新しい証明書マップエントリを両方作成します。
証明書マップ名: 証明書を追加する証明書マップの名前を入力します。
- 既存の証明書マップに配信する場合、入力する名前は既存のマップと完全に一致する必要があります。
- 新しい証明書マップに配信する場合、入力した名前は新しいマップの作成に使用されます。
証明書マップエントリ名: 証明書を追加する特定の証明書マップエントリの名前を入力します。
- 既存の証明書マップエントリに配信する場合、入力する名前は既存のエントリと完全に一致する必要があります。
- 新しい証明書マップエントリに配信する場合、入力した名前は新しいエントリの作成に使用されます。
設定した GCP 配信先を登録要求に追加するには、サイドバーの下部にある［追加］ボタンを選択します。
重要
注:
- 配信済みの証明書に対して新しい証明書マップエントリを追加する場合、Trust Lifecycle Manager によってマップエントリのホスト名値は証明書のコモンネームに基づいて設定されます。
- 証明書マップエントリに追加された証明書を更新、自動更新、または再発行する場合、Trust Lifecycle Manager によって新しい証明書は同じマップエントリに追加され、既存の証明書は置き換えられます。
- 証明書マップへの証明書追加でエラーが発生した場合でも、Trust Lifecycle Manager は選択されたプロジェクトの Certificate Manager に証明書を配信します。エラーの詳細については、［Reporting > Audit logs］ページを参照してください。

自動更新: 有効期限より前にこの証明書を自動更新し、新しい証明書を同じ配信先に配信するには、［スケジュールの自動更新］チェックボックスを選択します。更新要求をいつ送信するか（有効期限までの日数）に関してオプションを選択します。
注: ここで選択した内容は、証明書プロファイルで設定されている自動更新オプションを上書きします。自動更新のイベント時には、新しい証明書が元の証明書と同じ場所に配信されます。
タグ（任意）: 発行された証明書を Trust Lifecycle Manager で監視・管理しやすいように、タグを適用します。
カスタム属性（オプション）: 必要なカスタム属性を選択します。
注記
カスタム属性オプションは、選択した証明書プロファイルにカスタム属性が設定されている場合に表示されます。
リンクを選択して証明書のサービス契約を読み、同意/承諾するチェックボックスにチェックを付けます。
［要求の送信］を選択すると、フォームに入力した値に基づいて証明書登録要求が送信されます。

次の手順

発行された証明書は選択した場所に配信され、Trust Lifecycle Manager の一元化されたインベントリから監視と管理が可能になります。
証明書の自動更新を有効にしている場合、有効期限が近づいたとき、Trust Lifecycle Manager は元の証明書と同じ場所に新しい証明書を自動的に配信します。
管理下の自動化の機能を使用して、Inventory から証明書を更新または再発行すると、Trust Lifecycle Manager は新しい証明書を元の証明書と同じ場所に配信します。

このセクションの内容:

自動配信付きで新しい証明書を要求する

開始する前に

証明書の登録と配信

注記

重要

重要

注記

次の手順