AWS プライベート CA コネクタ
DigiCert® Trust Lifecycle Manager を AWS アカウントにリンクして AWS プライベート CA の認証局から証明書をインポート、登録、管理します。
開始する前に
Amazon AWS アカウントへの接続を確立して管理するために、アクティブな DigiCert センサーが必要です。詳細については、「センサーを展開および管理する」を参照してください。
「Available AWS authentication methods」のセクションに記載されているとおり、AWS クレデンシャルを使用してセンサーシステムを構成しておくか、またはコネクタの構成に使用する AWS アクセスキーと秘密鍵を手元に用意しておきます。
接続に使用する AWS クレデンシャルが、「Minimum required AWS permissions」のセクションにリストされた権限を含む AWS アカウントのものであることを確認します。
重要
Before connecting to any private CA system, upload the certificates for the private root CA and any intermediate CAs into Trust Lifecycle Manager using the Root CAs function in your account. This ensures that Trust Lifecycle Manager can identify each private CA as the origin of any end-entity certificates it discovers or imports.
利用可能な AWS 認証方法
Trust Lifecycle Manager で AWS プライベート CA コネクタを構成するときは、以下のいずれかの認証方法を使用して AWS アカウントクレデンシャルを提供します。
必要な AWS の最小権限
Trust Lifecycle Manager との統合を有効にするために、AWS アカウントには以下の権限が必要です。
Permission | Purpose |
|---|---|
AWS Private CA | |
| Fetch available certificate authorities (CAs) from AWS Private CA. |
| Issue certificates via CAs in AWS Private CA. |
| Get certificate data from AWS Private CA. |
| Revoke AWS Private CA certificates. |
| Generate AWS Private CA audit reports to use for discovery. |
AWS S3 | |
| Create an S3 bucket if needed to store CA audit reports during discovery. |
| Download CA audit reports to use for discovery. |
| Remove CA audit reports from the S3 bucket when no longer needed for discovery. |
AWS プライベート CA コネクタを追加する
Trust Lifecycle Manager メインメニューから、[Integrations > Connectors]を選択します。
[コネクタの追加]ボタンを選択します。
[認証局]セクションで、[AWS プライベート CA]のオプションを選択します。
次の手順に従って、フォームのすべての項目に入力します。
フォーム上部のセクションで、コネクタの一般的なプロパティを設定します。
[名前]: このコネクタにフレンドリ名を割り当てます。
[事業部門]: このコネクタの事業部門を選択します。この事業部門に割り当てられたユーザーだけが、コネクタを管理できます。
[管理センサー]: 統合を管理するアクティブな DigiCert センサーを選択します。
[アカウントのリンク]セクションで、AWS アクセスの詳細を設定します。
[アカウント ID]: AWS アカウント ID 番号を入力します。
[AWS リージョン]: AWS プライベート CA デプロイメントの AWS リージョンを入力します。
[認証方法]: 「Available AWS authentication methods」のセクションに記載されたとおり、AWS アカウントの認証に利用可能な 3 つの方法の中から 1 つを選択します。
AWS プライベート CA から既存の証明書をインポートする場合は、[属性のインポート]セクションに情報を入力します。
[このコネクタからの証明書のインポート]: 証明書をインポートするかどうかを選択します。インポートする場合は、どの証明書をインポートするかについてのオプションを選択します。
[Amazon S3 バケット名]: 既存の S3 バケットの名前を入力するか、新しいバケット名を入力しオプションを選択してバケットを作成します。S3 バケットは、証明書を Trust Lifecycle Manager にインポートする前の一時的な保管場所として使用されます。
注記
この S3 バケットは、リンクされた AWS プライベート CA デプロイメントと同じ AWS リージョンに配置されている必要があります。S3 バケット名はグローバルで一意でなければなりません。S3 バケットを作成する場合、別のアカウントに存在する可能性が低い名前を選択します。
[事業部門]: (任意)インポートされた証明書に事業部門を割り当てます。この事業部門に割り当てられたユーザーだけが、インポートされた証明書を管理できます。
[証明書割り当て規則]: (任意)インポートされた証明書にメタデータを自動的に割り当てるための割り当て規則を選択します。
[スケジュール設定されたインポートの頻度]: 継続的なインポート操作のためにスケジューリングオプションを選択します。AWS から証明書をインポートする頻度について、値を入力して単位(分、時間、または週)を選択します。
注記
AWS プライベート CA コネクタについて許容されるインポートの最小頻度は、30 分おきです。
[Add]を選択し、構成した設定で AWS プライベート CA コネクタを作成します。
証明書を発行する
接続された AWS アカウントの CA からプライベート証明書を登録するために、次のベーステンプレートを使用して、Trust Lifecycle Manager で証明書プロファイルを作成します。
テンプレート名 | 登録方法 |
|---|---|
|
|
証明書プロファイルで、AWS 発行の証明書を展開する方法に基づき、登録方法を選択します。
[管理者ウェブ要求]: 証明書と Web サーバー、ヴォールト、クラウドサービスへの自動配信を要求します。
[DigiCert エージェント]: DigiCert エージェントを使用して Web サーバーに証明書をインストールします。
[DigiCert センサー]: DigiCert センサーを使用してネットワークアプライアンスやクラウドサービスに証明書をインストールします。
[サードパーティ ACME クライアント]: Certbot などサードパーティ ACME クライアントを使用して Web サーバーに証明書をインストールします。