Skip to main content

プロファイル構成ウィザードの使用

新しい証明書プロファイルを作成すると、必要なすべての証明書オプションを簡単に設定できるステップバイステップのウィザードが DigiCert​​®​​ Trust Lifecycle Manager に表示されます。表示されるウィザードの画面とオプションは、新しい証明書プロファイルを作成する際の基準として使用するベーステンプレートによって異なります。

このページでは、プロファイル構成ウィザードを使用して証明書プロファイルを作成するための一般的なワークフローと使用可能なオプションを説明します。

開始する前に

証明書プロファイルを作成するのに最適な証明書テンプレートを特定します。証明書テンプレートによって決定されるものは次のとおりです。

  • 使用できる証明書プロパティとユースケース

  • 発行認証局(CA)、申請方法、自動化オプション

重要

Trust Lifecycle Manager アカウントで従来のライセンスモデル(さまざまなシートタイプがある)が使用されている場合は、ベーステンプレートごとに、それに対応したシートタイプがあります。アカウント内に該当するタイプの使用可能なシートが必要であり、使用可能なシートがないと、ベーステンプレートが無効になるため、そのテンプレートから証明書プロファイルを作成することができません。詳細については、「Legacy seat types」を参照してください。

証明書プロファイルの作成を開始

次のいずれかの方法を使用して、新しい証明書プロファイルを作成するためのプロファイル構成ウィザードを起動します。

  • 証明書テンプレートビュー([Policies > Base templates])で、証明書テンプレートの名前を選択して、そのテンプレートから証明書プロファイルの作成を開始します。また、証明書テンプレート名の横にあるアクション(3 つのドット)メニューを開いて、[テンプレートからプロファイルを作成]を選択することもできます。

  • 証明書プロファイルビュー([Policies > Certificate profiles])で、表の上にある[プロファイルの作成]ボタンを選択して、証明書プロファイルの作成を開始します。これで、証明書テンプレートビューが表示されます。証明書テンプレートの名前を選択して、そのテンプレートから証明書プロファイルの作成を開始します。

新しい証明書プロファイルのカスタマイズと保存

ウィザードの指示に従って、証明書プロファイルをカスタマイズして保存します。入力する詳細は、開始した証明書テンプレートと、このプロファイルで発行された証明書に固有のビジネスニーズによって異なります。

ウィザード画面

説明

プライマリオプション

プロファイル名、事業部門、発行 CA、申請方法、認証方法を設定します。

証明書オプション

オプションとして、有効期間、アルゴリズム、鍵タイプと鍵サイズ、更新オプション、サブジェクト識別名(DN)、サブジェクト別名(SAN)フィールドなどがあります。

  • 一部のプロファイルタイプと申請方法は、複数の鍵サイズに対応しています。証明書で許可する鍵サイズをすべて選択します。最終的な鍵サイズは、各申請の CSR で送信される内容に基づいて決定されます。

  • 3 つの汎用ベーステンプレートを使用して設定されたプロファイルの証明書シリアル番号の長さをカスタマイズできます。このためには、[証明書シリアルナンバーの長さのカスタマイズ]チェックボックスを有効にする必要があります。選択できるオプションは次のとおりです。

    • 16 バイト(16 進数の 32 文字)

    • 17 バイト(16 進数の 34 文字)

    • 18 バイト(16 進数の 36 文字)

    • 19 バイト(16 進数の 38 文字)

    • 20 バイト(16 進数の 40 文字)(デフォルト)

    注記

    安全性が高く、シリアル番号の衝突の可能性が低いことから、20 バイトのオプションを使用することを推奨しています。

  • サポートされている証明書オプションの技術的な詳細については、「証明書の属性とエクステンション」を参照してください。

エクステンション

証明書内のエクステンションフィールドの追加オプション(鍵用途や拡張鍵用途など)。一部のプライベート証明書タイプは、カスタムエクステンションにも対応しています。

追加オプション

オプションとして、証明書の提供形式、管理担当者オプション、通知オプション、LDAP 検索、タグ、カスタム属性などがあります。

  • タグを適用すると、Trust Lifecycle Manager での追跡と管理のために、特定のプロファイルから発行されたすべての証明書を識別できるようになります。

  • 一部のテンプレートには、カスタム属性オプションが用意されています。これらのフィールドは、[設定]で設定されたビジネス固有の情報を保存するユーザー定義のメタデータフィールドです。

    注記

    選択した申請方法に基づいてカスタム属性が表示されます。たとえば、申請方法が Admin web requestDigiCert agent、または DigiCert sensor の場合は、設定済みのカスタム属性が表示されます。一方で、申請方法が CSRREST API、または 3rd-party ACME client の場合は、固定値を含むカスタム属性だけが表示されます。

高度な設定

オプションとして、シート ID にバインドする証明書フィールドを選択できるシート ID マッピングがあります。これは、ライセンス供与の目的でシステムに対するエンティティ(ユーザー、デバイス、またはサーバーシート)を一意に識別するために使用されます。

  • Web ベースの申請方法(Browser PKCS12CSR、または DigiCert Trust Assistant)と認証方法(Enrollment CodeManual Approval、または DigiCert ONE Login)が設定されているプロファイルの証明書を使用する方法に関する使用方法ファイルをアップロードできます。

  • また、猶予期間を有効にすることもできます。これにより、更新された証明書の有効期限までの日数を追加できるようになります。このオプションを選択しないと、更新された証明書には、上記で設定した証明書有効期限の値に基づいて厳密な有効期間が適用されます。

  • 一部のテンプレートには、セルフサービスポータルオプションが用意されています。このオプションを有効にすると、エンドユーザーは Web ベースのセルフサービスポータル([設定]で有効になっている場合)を介して各自の証明書を管理できるようになります。

  • SCEP 方法が設定されている Microsoft CA プロファイルの場合は、Microsoft CA で証明書が発行される前に、ソリューションで使用される RA 証明書を再生成して SCEP を復号化しておくことができます。これにより、次のことが確保されます。

    • RA 証明書の有効期限が切れる問題や RA 証明書が Trust Lifecycle Manager で自動更新されない問題がすべて回避されます。

    • RA 鍵が最新の状態に維持され、RA 証明書がプロファイルに常にバインドされるため、セキュリティポリシーを遵守できます。

    RA 証明書を再生成するには、このウィザードの最後にある[RA 証明書の再生成]ボタンをクリックします。

各画面の入力が終了したら、[次へ]ボタンを選択して、次の画面に進みます。前の画面に戻って、内容を確認したり、変更を加えたりする場合は、[戻る]ボタンを選択します。

準備が完了したら、最後の画面で[作成]を選択して、新しい証明書プロファイルを保存します。

このセクションの内容: