Skip to main content

カスタムアプリケーションの管理下の自動化を設定する

DigiCert​​®​​ Trust Lifecycle Manager の自動化ソリューションは、特に一般的な Web サーバーアプリケーションを標準でサポートしています。

デジサートは、そのほかにも Linux または Windows のアプリケーションに証明書管理を柔軟に拡張できるように、独自のカスタム自動化スクリプトを Certbot ACME クライアントと組み合わせて使用します。

カスタムサーバーアプリケーションの証明書管理を自動化するには、以下の手順で Trust Lifecycle Manager の使用を開始してください。

ステップ 1: DigiCert エージェントをインストールする

カスタム自動化には、サーバー上にアクティブな DigiCert エージェントが必要です。エージェントには、以下の機能があります。

  • Trust Lifecycle Manager 経由で送信される各自動化要求を、要求された証明書のタイプやプロパティといった詳細まで含めて調整する。

  • サーバー上でカスタムシェルスクリプトを呼び出し、要求を完了して、アプリケーションに必要な証明書をインストールする。

DigiCert エージェントをサーバーにインストールして有効化する詳細な手順については、「エージェントを展開および管理する」を参照してください。

重要

カスタムスクリプトを追加して割り当てるには、各エージェントがソフトウェアバージョン 3.1.2 以降を実行している必要があります。

ステップ 2: Certbot ACME クライアントをインストールする

DigiCert エージェントに加え、サーバーには Certbot ACME クライアントがインストールされている必要があります。

カスタムシェルスクリプトは、各要求を完了して、カスタムの Linux または Windows アプリケーションに必要な証明書をインストールするために、Certbot を呼び出すからです。

Certbot クライアントをダウンロードしてインストールする詳細な手順については、『Certbot の公式な手順』を参照してください。

ステップ 3: シェルスクリプトを作成する

カスタムアプリケーションに必要な証明書を管理するには、シェルスクリプトが必要です。

このシェルスクリプトには、アプリケーションに必要な証明書を Trust Lifecycle Manager の ACME サービス経由で要求してインストールする Certbot コマンドが含まれています。以下に Linux 用と Windows 用のサンプルシェルスクリプトを示します。

サンプルスクリプト

1. Linux
# Define variables
host=$1
emailaddress=$2
eabkeyidentifier=$3
eabkeyhmac=$4
key=$5
directoryuri=$6

# Remove double quotes from ACME URL
value=$directoryuri
value=${value#\"}
directoryuri=${value%\"}

# Run Certbot
certbot certonly --server $directoryuri --config-dir ./acme/ --eab-kid $eabkeyidentifier --eab-hmac-key $eabkeyhmac --force-renew --agree-tos --no-redirect --expand -d $host --email $emailaddress --no-autorenew --preferred-challenges http --standalone --key-type $key -n --no-verify-ssl

# Complete script
returnCode=$?
echo "The command exit status : ${returnCode}"
exit $returnCode

2. Windows
directoryuri=%1
host=%2
emailaddress=%3
eabkeyidentifier=%5
eabkeyhmac=%6
acmeConfigDirectory="./%eabkeyidentifier%"
certbot --server %directoryuri% --config-dir %acmeConfigDirectory% --eab-kid %eabkeyidentifier%  --eab-hmac-key %eabkeyhmac% -m %emailaddress% --force-renew --agree-tos --no-redirect --expand -d %host% --no-verify-ssl --no-autorenew 
set returnCode=%errorlevel%
EXIT /B %returnCode%

使用上の注意

各シェルスクリプトの先頭にある変数定義では、必要な ACME 要求パラメータを設定します。

  • このパラメータは、Trust Lifecycle Manager でカスタムアプリケーション用に設定する ACME 引数(後述)と一致している必要があります。

  • 自動化イベントの実行時、これらの引数の値はローカル DigiCert エージェントからシェルスクリプトに指定されます。

シェルスクリプトで使用するコマンドに関する条件:

  • 必須パラメータはすべて指定する必要がある。

  • 512 文字を超えてはならない。

  • rm -rfrmdir などの特殊なディレクティブは指定できない。

シェルスクリプトのファイル名に関する条件:

  • .sh または .bat で終わること。

  • 255 文字を超えてはならない。

ステップ 4: Trust Lifecycle Manager でスクリプトを追加する

Trust Lifecycle Manager でカスタム自動化スクリプトを追加するには:

  1. Trust Lifecycle Manager メニューから、[Discovery & automation tools > Scripts > DigiCert agents]に移動します。

  2. 右上にある[次のもののスクリプトを追加]ドロップダウンを開き、[DigiCert エージェント]を選択します。

  3. [Add new script]サイドバーに以下の必要事項を記入します。

    • 名前: スクリプトを参照しやすいフレンドリ名を入力します。

    • オペレーティングシステム: 該当するオペレーティングシステム(Linux または Windows)を選択します。

    • スクリプトタイプ: [カスタム自動化]を選択します。

    • [スクリプトのアップロード]: アップロード対象のスクリプトをドラッグ&ドロップするか、参照して選択します。スクリプトがアップロードされたら、スクリプトの名前がウィジェットの下に表示されます。

    • 説明: (オプション)Trust Lifecycle Manager でスクリプトを識別しやすくなるような説明を入力します。

    • コマンドライン引数: カスタム自動化スクリプトで使用する一般的な ACME パラメータを、スペース区切りで入力します。

      以下はその例です。

      {acmeDirectoryUrl} {hosts} {email} {keyType} {extActKid} {extActHmac}

      以下に注意してください。

      • 各引数は、ここに記載されているとおり正確に入力する必要があります。

      • 引数の順序は、シェルスクリプトで使用される順序と一致する必要があります。

      • Trust Lifecycle Manager から証明書自動化要求を送信すると、これらのパラメータに必要な値は、選択した証明書プロファイルと入力した要求詳細に基づいて指定されます。

      DigiCert​​®​​ で使用される ACME パラメータの説明:

      • {acmeDirectoryUrl}: ACME ディレクトリの URL。

      • {hosts}: 証明書のドメイン名。

      • {email}: 証明書に追加するメールアドレス。

      • {keyType}: 鍵アルゴリズム(RSA または ECC)。

      • {extActKid}: 外部アカウントバインディング(EAB)の鍵識別子。

      • {extActHmac}: EAB 用の HMAC キー。

  4. [スクリプトの追加と検証]を選択し、Trust Lifecycle Manager でスクリプトを検証します。検証が完了すると、スクリプトを割り当てられるようになります。

注記

Trust Lifecycle Manager でエージェントスクリプトを追加する方法と管理する方法の詳細については、「エージェントスクリプト」を参照してください。

ステップ 5: 該当するエージェントの IP/ポートターゲットにスクリプトを割り当てる

カスタム自動化の設定を完了するには、カスタムアプリケーションの証明書を管理する DigiCert エージェントにスクリプトを割り当てます。

  1. Trust Lifecycle Manager メニューから、Discovery & automation tools > Agentsに移動します。

  2. 詳細を表示するエージェントを名前で選択します。

  3. 詳細ページで、右側にある鉛筆アイコンを選択してエージェント設定を編集します。

  4. エージェントの[IP/ポートターゲット]セクションで、カスタムアプリケーションが実行されている IP/ポートターゲットを見つけ、以下のように設定します:

    • アプリケーション: [カスタム]を選択します。

    • カスタム自動化スクリプト: カスタム自動化スクリプトを、Trust Lifecycle Manager で割り当てた名前で選択します。

  5. 下部にある[更新]ボタンを選択して変更を保存します。

次の手順

カスタムアプリケーションの管理下の自動化を有効化すると、他のサーバーアプリケーションの場合と同様に、Trust Lifecycle Manager でそのアプリケーションの証明書の展開を管理できます。

カスタムアプリケーションに新しい証明書が必要な場合:

  1. Trust Lifecycle Manager Web コンソールまたは REST API を通じて要求を送信します。

  2. ローカルシステム上の DigiCert エージェントがその証明書要求を処理し、必要なパラメータを指定してカスタムシェルスクリプトを呼び出します。

  3. 呼び出したカスタムシェルスクリプトが Certbot ACME クライアントを呼び出して要求を完了し、カスタムアプリケーションに必要な新しい証明書をインストールします。

このセクションの内容: