API 経由での証明書インポートを開始するための事前準備

最善の結果を得るために、DigiCert® Trust Lifecycle Manager の REST API サービスを使用して証明書をインポートする前に、以下の前提条件を確認してください。

注記

DigiCert® Private CA 構成ステップは任意ですが、強化された管理オプションの使用は推奨されます。これらのステップを完了することで、インポートされた証明書を Trust Lifecycle Manager から監視、ダウンロード、検証、失効、停止/再開できます。これらのステップを完了しない場合は、証明書の監視とダウンロードのみが可能となります。

DigiCert® ONE へのアクセス

DigiCert® Account Manager で、少なくとも以下の 2 つのユーザーロールを持つ通常ユーザーまたはサービスユーザーの API アクセスを設定します。

DigiCert Private CA: 読み取り専用
Trust Lifecycle Manager: インポートマネージャー

DigiCert® Private CA の設定

最善の管理オプションを設定するために、DigiCert Private CA を使用して発行 CA をインポートし、CRL（Certificate Revocation List: 証明書失効リスト）、AIA（Authority Information Access: 機関情報アクセス）、OSCP（Online Certificate Status Protocol）のパラメータを、証明書の内容と一致するように設定します。

この前提条件が満たされたら、証明書をインポートした後に、Trust Lifecycle Manager から監視、ダウンロード、検証、失効、停止/再開できます。

注記

アカウントでレガシーライセンスモデルを使用している場合は、この前提条件を満たすことで、アップロードされた証明書を、インポートされたシートタイプに自動的に割り当て可能となります。これには強化された管理機能も含まれます。この前提条件を満たさなければ、証明書は代わりにディスカバリーシートに割り当てられます。

重要

必要なステップの一部は、インポートする証明書に応じて異なります。たとえば、証明書に AIA エクステンションが含まれていない場合は、DigiCert Private CA で証明書に AIA を設定する必要はありません。

以下のタスクのほとんどは、十分な権限を持つ管理者のみが実行できます。

ホストされている DigiCert ONE アカウントの場合は、デジサートのアカウント担当者にお問い合わせください。
オンプレミスの DigiCert ONE デプロイメントの場合は、ローカルのデジサートのシステム管理者にお問い合わせください。

ステップ 1: ルート CA と中間 CA を設定する

ルート CA と、発行 CA の中間 CA へのアクセスを取得する
ルート CA と中間 CA を DigiCert Private CA にインポートするか、ルート CA と中間 CA の秘密鍵と証明書が保管されている HSM に DigiCert ONE がアクセスできるように構成します。
DigiCert Private CA でドメインを設定する
DigiCert Private CA のドメイン機能を使用して、1 つ以上のドメインが発行 CA 証明書の CRL、AIA、または OCSP フィールドと一致するように設定します。
ドメインタイプを AIA issuer、CRL、および/または OCSP に設定して発行 CA 証明書での用途と一致させます。
DigiCert Private CA で CRL を作成する
発行 CA 証明書に CRL 配布ポイント（CDP）フィールドが含まれている場合は、DigiCert Private CA で一致する CRL を作成します。
1. DigiCert Private CA の［CRL］ページから、［Create CRL］ボタンを選択します。
2. ［Issuer］ドロップダウンで、対応するルート CA または中間 CA を選択します。
3. ［ファイル名］および［ファイルパス］フィールドを、発行 CA 証明書の CDP フィールドの値と一致するように設定します。
DigiCert Private CA で AIA を作成する
発行 CA 証明書に AIA issuer フィールドが含まれている場合は、DigiCert Private CA で一致する AIA を作成します。
1. DigiCert Private CA の［AIA］ページから、［Create AIA］ボタンを選択します。
2. ［Issuer］ドロップダウンで、対応するルート CA または中間 CA を選択します。
3. ［ファイル名］および［ファイルパス］フィールドを、発行 CA 証明書の AIA issuer フィールドの値と一致するように設定します。

ステップ 2: 発行 CA を設定する

発行 CA へのアクセスを取得する
発行 CA を DigiCert Private CA にインポートするか、発行 CA の秘密鍵と証明書が保管されている HSM に DigiCert ONE がアクセスできるように構成します。
DigiCert Private CA でドメインを設定する
DigiCert Private CA のドメイン機能を使用して、1 つ以上のドメインがエンドエンティティ証明書の CRL、AIA、または OCSP フィールドと一致するように設定します。
ドメインタイプを AIA issuer、CRL、および/または OCSP に設定してエンドエンティティ証明書での用途と一致させます。
DigiCert Private CA で CRL を作成する
エンドエンティティ証明書に CRL 配布ポイント（CDP）フィールドが含まれている場合は、DigiCert Private CA で一致する CRL を作成します。
1. DigiCert Private CA の［CRL］ページから、［Create CRL］ボタンを選択します。
2. ［Issuer］ドロップダウンで、発行 CA を選択します。
3. ［ファイル名］および［ファイルパス］フィールドを、エンドエンティティ証明書の CDP フィールドの値と一致するように設定します。
注: ［有効な生成］チェックボックスを選択しないでください。CRL 生成は、すべてのエンドエンティティ証明書のアップロードが完了するまで、有効にしてはいけません。
DigiCert Private CA で AIA を作成する
エンドエンティティ証明書に AIA issuer フィールドが含まれている場合は、DigiCert Private CA で一致する AIA を作成します。
1. DigiCert Private CA の［AIA］ページから、［Create AIA］ボタンを選択します。
2. ［Issuer］ドロップダウンで、発行 CA を選択します。
3. ［ファイル名］および［ファイルパス］フィールドを、エンドエンティティ証明書の AIA issuer フィールドの値と一致するように設定します。

ステップ 3: エンドエンティティ証明書と CRL をアップロードする

エンドエンティティ証明書をアップロードする
エンドエンティティ証明書を、古いシステムから API またはデジサートが提供するツールを介してアップロードします。
API によるインポートについては、「証明書を REST API 経由でインポートする」を参照してください。
最終 CRL を古いシステムから DigiCert Private CA にアップロードする
エンドエンティティ証明書で CRL が使用されている場合は、最後に生成された CRL を古いシステムから DigiCert Private CA にインポートします。それにより、どの CRL 番号を使用すべきかがわかり、番号の重複を回避できます。
1. DigiCert Private CA の［CRL］ページで、CRL を選択すると、その詳細が表示されます。
2. ［blob のインポート］ボタンを選択して署名付き CRL ブロブをインポートします。

ステップ 4: 設定を確定する

DNS サービスを更新する
DNS レコードを追加して、DigiCert ONE インスタンスでエンドエンティティ証明書の CDP、AIA、OCSP フィールドをポイントします。
ホストされている DigiCert ONE アカウントでは、one.digicert.com ドメインの対応するホストで、これらのフィールドをポイントします。オンプレミスデプロイメントの場合は、ローカルドメインのホストで、これらのフィールドをポイントします。
たとえば、ホストされている DigiCert ONE のお客様で、インポートした証明書に CDP フィールドの値 crl.example.com が含まれている場合は、crl.one.digicert.com で crl.example.com をポイントする CNAME レコードを追加します。
使用するホストの検定についてサポートが必要な場合は、デジサートのの担当者またはローカルのシステム管理者にお問い合わせください。
DigiCert Private CA
エンドエンティティ証明書で CRL が使用されている場合は、DigiCert Private CA で CRL 生成と公開を有効にします。
1. DigiCert Private CA の［CRL］ページで、CRL を選択すると、その詳細が表示されます。
2. CRL 詳細の［ベース設定］セクションで、［有効な公開］と［有効な生成］の両方が［はい］に設定されていることを確認します。これらのフィールドを編集するには、鉛筆アイコンを選択します。

警告

証明書失効リスト（CRL）を使用する発行 CA の場合、上記すべてのステップに従わないと、失効したすべての証明書が CRL に含まれない、または CRL 番号が古い（もしくは順番になっていない）CRL が生成される可能性があります。

OCSP（Online Certificate Status Protocol）を使用する発行 CA では、インポートされた証明書を継続的に検証するために OCSP レスポンダの追加設定が必要になる場合があります。サポートが必要な場合は、デジサートの担当者またはローカルのシステム管理者にお問い合わせください。

次の手順

前提条件が満たされたら、証明書を REST API 経由でインポートする準備が整います。

このセクションの内容: