DigiCert CertCentral コネクタ
DigiCert CertCentral® アカウントにリンクし、DigiCert® Trust Lifecycle Manager プラットフォームと管理ツールスイートを使用して、DigiCert パブリック証明書を発行、インポート、管理します。
注記
CertCentral は、DigiCert の単一のアカウント内で個々の証明書を管理することに重点を置いているのに対し、Trust Lifecycle Manager は、組織全体のさまざまな CA の証明書を含めて証明書を管理し、証明書の健全性とコンプライアンスを包括的に可視化します。
統合を計画する
CertCentral コネクタを追加する前に、以下のオプションについて理解し、適切に統合を計画するようにしてください。
CertCentral アカウントから証明書を Trust Lifecycle Manager にインポートするには、以下の手順に従います。
競合を回避するために、Trust Lifecycle Manager で複数のコネクタから同じ CertCentral アカウントへのインポートを有効にしないでください。
インポート中に、CertCentral アカウントの既存の部門を、Trust Lifecycle Manager の特定事業部門にマッピングするには、コネクタの追加前に、対応する事業部門を作成します。マッピングされていない証明書は事業部門に割り当てられません。
CertCentral で証明書を発行するチームが組織に 1 つしかない場合は、CertCentral アカウントからの証明書のインポートと発行の両方に、単一のコネクタを使用できます。
CertCentral で証明書を発行するチームが組織に複数ある場合は、以下の手順に従います。
最善の結果を得るために、CertCentral アカウントからのインポート用に、専用コネクタを 1 つ作成します。このインポート用コネクタから証明書を発行しないでください。
CertCentral から証明書を発行する必要があるチームごとに、個別のコネクタを作成します。これらの発行用コネクタでは、インポート機能をオフにしておきます。
各コネクタに、それぞれの目的を明確に反映する名前を付けます(インポートと発行の区別、特定の発行先チーム)。
CertCentral にリンクするためのオプションは、Trust Lifecycle Manager アカウントが DigiCert® account と Account Manager のどちらでセットアップされているかに応じて異なります。リンクを確立するには、以下のいずれかが必要です。
[API キーの制約]が[なし]に設定された CertCentral API キー。キーはマネージャーまたは管理者ユーザー用でなければなりません。
CertCentral アカウントへのアクセス権を持つ管理者ユーザー用の DigiCert シングルログインクレデンシャル、または管理者ロールを持つ CertCentral ユーザー用の CertCentral サインインクレデンシャルリンクを確立したら、CertCentral ではコネクタに使用する API キーが自動的に生成されます。
CertCentral コネクタを追加する
Trust Lifecycle Manager のメインメニューから[Integrations > Connectors]を選択します。
[コネクタの追加]ボタンを選択します。
[認証局]セクションで[CertCentral]オプションを選択します。
次の手順に従って、フォームのすべての項目に入力します。
フォームの一番上のセクションで一般プロパティを設定します。
名前: 簡単に識別できるように、コネクタにフレンドリ名を割り当てます。
[事業部門]: このコネクタの事業部門を選択します。この事業部門に割り当てられたユーザーだけが、コネクタを管理できます。
[アカウントのリンク]: CertCentral アカウントの[地域]と、その地域にリンクするために使用可能ないずれかのオプションを選択します。
ここでのオプションは、Trust Lifecycle Manager アカウントが DigiCert® account と Account Manager のどちらでセットアップされているかに応じて異なります。
[DigiCert シングルログイン](DigiCert® account ユーザー専用): リンクする CertCentral アカウントを、ドロップダウンを使用して選択します。ドロップダウンには、DigiCert シングルログインアカウント内で使用可能な CertCentral アカウントが含まれています。
[Link using CertCentral sign-in credentials](Account Manager ユーザー専用): マネージャーまたは管理者ロールを持つユーザーの CertCentral アカウントのアクティブなユーザー名とパスワードを入力します。
[Link using CertCentral API key]: Manager または管理者ロールを持つユーザーに関連付けられた、無制約の CertCentral アカウントのアクティブな API キーを入力します。
Important
コネクタのインポートオプションを設定するには、CertCentral アカウントの詳細を入力する必要があります。CertCentral アカウントの詳細を入力すると直ちに、Trust Lifecycle Manager ではリンクの確立が試みられます。
アカウントのリンクが確立されると、以下のインポートの切り替えオプションがアクティブになります。
リンクの確立に問題がある場合は、有効なアカウントの詳細を入力するよう求められます。
[属性のインポート]: 監視および管理しようとする証明書を CertCentral アカウントから DigiCert® Trust Lifecycle Manager アカウントにインポートするためのオプションを選択します。
[このコネクタからの証明書のインポート]: 証明書をインポートするかどうかを選択します。インポートする場合は、どの証明書をインポートするかについてのオプションを選択します。
[CertCentral の部門を事業部門にマッピングする(任意)]: CertCentral のさまざまな部門からインポートされた証明書を、Trust Lifecycle Manager の事業部門に割り当てる方法についてのオプションを選択します。選択した事業部門に割り当てられたユーザーのみが、インポートされた証明書を管理できます。証明書を事業部門にマッピングしない場合は、Trust Lifecycle Manager アカウントユーザー全員が証明書を管理できます。
マッピングする部門を選択: CertCentral の部門を 1 つずつマッピングする場合は、このオプションを選択します。各部門をマッピングしたら、[マッピングの追加]リンクを選択して、別の部門をマッピングします。
利用可能なすべての部門をマッピングする: アカウントでまだマッピングされていない CertCentral 部門を一覧表示する場合は、このオプションを選択します。利用可能な部門ごとに、Trust Lifecycle Manager で証明書を割り当てる事業部門を選択します。
Important
Trust Lifecycle Manager の特定事業部門にすでにマッピングされた CertCentral の部門を、既存のコネクタを通して再マッピングすることはできません。インポートされた証明書のマッピングを変更するには、既存のコネクタを削除し、新しいマッピングを含む新しいコネクタを追加する必要があります。
[タグ]: (任意)証明書の分類と管理に役立つ、もう一つの方法として、インポートされた証明書にタグを割り当てます。
[証明書割り当て規則]: (任意)インポートされた証明書にメタデータを自動的に割り当てるための割り当て規則を選択します。
[インポート頻度]: 証明書をインポートする場合に、継続的なインポート操作のためにスケジューリングオプションを選択します。リンクされた CertCentral アカウントから新しい証明書をチェックしてインポートする頻度について、値を入力して単位(分、時間、または週)を選択します。
[Add]を選択し、構成した設定で CertCentral コネクタを作成します。
コネクタを編集する
CertCentral コネクタを更新するには、[Trust Lifecycle Manager Integrations > Connectors]ページからコネクタを選択し、コネクタ詳細ページから鉛筆(編集)アイコンを選択します。[Edit]画面で、以下の操作ができます。
コネクタの名前を変更する。
CertCentral アカウントクレデンシャルが有効でない場合に更新する。クレデンシャルが検証され、アカウントがリンクされたら、クレデンシャルは編集できなくなります。別の CertCentral アカウントにリンクしたい場合は、新しいコネクタを作成する必要があります。
証明書インポート設定を更新し、Trust Lifecycle Manager の事業部門にまだマッピングされていない CertCentral の部門について新しいマッピングを追加する。新しいマッピングを追加する場合、CertCentral の該当する部門から新しいデータをインポートするための追加オプションが表示されます。デフォルトでは、コネクタの更新後にインポートされる証明書は、最後のインポート操作以降に発行された証明書のみです。
重要
[すべてのデータをインポート]フラグは、[Update]ボタンを選択した後にワンタイムオプションとして実行されます。さらにフルデータのインポートを実行する必要がある場合は、コネクタ詳細ページ上のアクション(3 点)メニューから、このオプションを選択できます。
CertCentral からインポートを管理する
コネクタで使用される CertCentral アカウントでは、どの証明書がインポートに使用可能かが判別されます。Trust Lifecycle Manager は、CertCentral 内のアクセス可能な証明書を、コネクタの[インポート頻度]の設定に従ってチェックし、最後のインポート操作以降に新たに発行された証明書をインポートします。
関連付けられた CertCentral ユーザーアカウントまたはAPI キーのロールとスコープの変更後に、コネクタからすべての証明書をインポートするには、コネクタ詳細ページのアクションメニューから[すべてのデータをインポート]を選択します。このオプションは、コネクタで証明書インポートが有効になっている場合にのみ、使用できます。
証明書を発行する
使用可能なベーステンプレート
コネクタを介して CertCentral から証明書を登録するために、以下のベーステンプレートを使用して、Trust Lifecycle Manager で証明書プロファイルを作成します。各テンプレートの説明とユースケースのリストについては、Trust Lifecycle Manager の[Policies > Base templates]ページを参照してください。
テンプレート名 | トラストタイプ | 登録方法 |
|---|---|---|
| プライベート |
|
| パブリック |
|
| パブリック |
|
| パブリック |
|
| パブリック |
|
| パブリック |
|
プロファイルを作成する
上記のいずれかのテンプレートから、CertCentral の各証明書プロファイルを作成します。独自のビジネスニーズと証明書の登録と展開の計画に基づき、プロファイル作成ウィザードに情報を入力します。CertCentral の主要なプロファイル設定には以下が含まれます。
[事業部門]: Trust Lifecycle Manager で証明書を割り当てる事業部門
[コネクタ]: リンクされた CertCentral アカウントが証明書の取得に使用するコネクタ
[CertCentral 部門]: CertCentral アカウントで証明書を割り当てる部門
[証明書タイプ]: 発行する CertCentral 証明書製品Trust Lifecycle Manager を通して登録する証明書タイプごとに個別のプロファイルが必要です。
[発行 CA]: CertCentral アカウントで証明書を発行する CA
[組織]: OV/EV 証明書の組織