Skip to main content

Let's Encrypt コネクタ

DigiCert​​®​​ Trust Lifecycle Manager を Let's Encrypt にリンクして、Let's Encrypt 認証局(CA)から証明書を登録および管理します。

Let's Encrypt は、有効期限が 90 日に定められた、最大 100 の SAN(Subject Alternative Names)を含むパブリック DV 証明書を発行します。

開始する前に

Let's Encrypt への接続を確立して管理するには、アクティブな DigiCert センサーが必要です。

  • センサーバージョン 3.8.62 以上が必要です。

  • センサーの通信間隔(ハートビート)を 5 秒に設定します。これは、Trust Lifecycle Manager のセンサー詳細ページの[高度な設定]で確認および編集できます。

Let's Encrypt コネクタを追加する

  1. Trust Lifecycle Manager メインメニューから、[Integrations > Connectors]を選択します。

  2. [コネクタの追加]ボタンを選択します。

  3. [認証局]セクションで、[Let's Encrypt]のオプションを選択します。

  4. フォームに情報を入力してコネクタ設定を構成します。

    • [名前]: このコネクタにフレンドリ名を割り当てます。

    • [事業部門]: このコネクタの事業部門を選択します。この事業部門に割り当てられたユーザーだけが、コネクタを管理できます。

    • [管理センサー]: このコネクタを管理する DigiCert センサーを選択します。Let's Encrypt の統合を成功させるために、選択するセンサーでは、通信間隔(ハートビート)が 5 秒に設定されている必要があります。

      注記

      通信間隔を調整するには、[Discovery & automation tools > Sensors]ページからセンサーにアクセスし、鉛筆(編集)アイコンを選択して通信間隔を編集します。通信間隔は、センサー詳細の[高度な設定]セクションで設定します。

    • [Let's Encrypt 環境]: 証明書を発行する Let's Encrypt CA 環境を選択します。

      • [本番]は、本番の Let's Encrypt CA からパブリックトラスト証明書を発行します。

      • [ステージング]は、レート制限が緩い非本番 CAを使用して証明書発行をテストします。

      警告

      コネクタの追加後に、対応する Let's Encrypt 環境は変更できません。両方の Let's Encrypt 環境を使用するには、環境ごとに個別のコネクタを追加します。

  5. [Add]を選択し、構成した設定で Let's Encrypt コネクタを作成します。

証明書を発行する

前提条件

Trust Lifecycle Manager で Let's Encrypt コネクタを通して証明書を発行するには、以下が必要です。

  • 証明書要求時のドメイン名の認証チェックを自動化するアクティブなDNS 統合

  • アカウントで利用可能なシートライセンスLet's Encrypt コネクタを介して発行された証明書ごとに 1 シートが消費されます。

注記

Let's Encrypt で証明書発行に対して課される本番レート制限を必ず理解しておいてください。詳細については、www.letsencrypt.org/docs/rate-limits/を参照してください。

ベーステンプレート

Let's Encrypt のパブリック証明書を発行するために、以下のベーステンプレートを使用して、Trust Lifecycle Manager証明書プロファイルを作成します。

テンプレート名

登録方法

Let's Encrypt Public Server Certificate

  • DigiCert エージェント

  • DigiCert センサー

  • サードパーティ ACME クライアント

プロファイルを作成する

上記のテンプレートから、Let's Encrypt の各証明書プロファイルを作成します。独自のビジネスニーズと Let's Encrypt 証明書の展開の計画に基づき、プロファイル作成ウィザードに情報を入力します。Let's Encrypt の主要なプロファイル設定には以下が含まれます。

  • [コネクタ]: Let's Encrypt CA 用のコネクタを選択します。

  • [DNS 統合]: ドメイン認証チェックを自動化するための DNS 統合を選択します。

  • [登録方法]: Let's Encrypt CA から証明書を登録する方法を選択します。

    • [DigiCert エージェント]: DigiCert 自動化エージェントを使用し、証明書を要求して Web サーバーに展開します。

    • [DigiCert センサー]: DigiCert センサーを使用し、証明書を要求して F5 BigIP ネットワークアプライアンス、AWS Elastic Load Balancer(ELBI)、または AWS CloudFront に展開します。A10 アプライアンスと Citrix ADC アプライアンスに対するサポートは、今後のリリースで追加されます。

    • [サードパーティ ACME クライアント]: Certbot などサードパーティ ACME クライアントを使用し、証明書を要求して Web サーバーに展開します。

      警告

      サードパーティ ACME クライアントの使用時に、5 件を超えるドメインの証明書要求では、ドメイン認証プロセスの長さが原因でタイムアウトが発生することがあります。この制限は、証明書を登録するために DigiCert エージェントまたはセンサーを使用しているときは適用されません。

  • [証明書有効期限]: Let's Encrypt ポリシーに従って、これは 90 日に設定されており、変更できません。

次の手順

  • Trust Lifecycle Manager[インベントリ]ページから証明書を監視および管理します。

  • Integrations > Connectors]ページに進み、コネクタを表示ステータス確認、管理します。

  • コネクタに関連付けられたデジタルトラスト資産の事前フィルタリング済みインベントリリストをロードするために、いずれかの表示アクションを選択します。

このセクションの内容: