Skip to main content

自動登録証明書プロファイルを作成する

API アクセスの設定と設定ユーティリティの準備ができたら、Autoenrollment Server が使用する証明書プロファイルを作成する必要があります。

注記

証明書プロファイルを作成するには、管理者権限に少なくとも証明書プロファイルマネージャーのユーザーロールが含まれている必要があります。

証明書プロファイルの作成

  1. DigiCert ONE にサインインし、DigiCert​​®​​ Trust Lifecycle Manager に移動します。

  2. メインメニューから [Policies > Certificate profiles]を選択します。

  3. [テンプレートからプロファイルを作成]を選択します。

  4. 必要な証明書タイプの証明書テンプレートを選択します。

  5. [一般情報]セクションで、プロファイルのニックネームを入力し [事業部門][発行 CA]を選択します。

  6. [登録方法]のドロップダウンから、Microsoft Autoenrollmentを選択します。

    注記

    : Microsoft Autoenrollment が登録方法として選択されている場合、認証方法はデフォルトでActive Directory になります。

  7. 必要な[登録モード]のラジオボタンを次から選択します。

    • サイレント — 証明書申請は完全に自動化され、ユーザーには表示されません。

    • ユーザーに通知 — Windows はユーザーに証明書登録の開始を促します。

  8. Select keystore provider options to set the cryptographic provider that can be used for requests. The available options are:

    • Requests can use any provider available on the subject's computer: Select this if you want to generate the CSR/Keys using any provider available on subject's computer.

    • Requests must use one of the following providers: Select this, if you want to generate the CSR/Keys using specified provider in a selected priority order.

      1. Select providers: This option appears only when Requests must use one of the following providers is selected. Choose the provider from the dropdown list.

        注記

        The Microsoft Platform Crypto Provider enables secure access to the machine’s Trusted Platform Module (TPM) 2.0 for generating user and device keys and certificates.

  9. ユーザーが証明書と秘密鍵をエクスポートできるようにするには、[秘密鍵のエクスポートを許可する]にチェックを入れます。

    注記

    Allow private key to be exported is not supported if Microsoft Platform Crypto Provider is selected.

  10. 証明書を Active Directory に公開するには、[証明書を Active Directory に公開する]にチェックを入れます。

    [はい]を選択した場合、証明書の公開を許可するために Autoenrollment Server に特別な権限を割り当てる必要があります。詳細については、「Active Directory への公開を許可する」を参照してください。

  11. [次へ]を選択します。

    Enrollment1.PNG

  12. [証明書]フィールドで、有効期間の単位(年数、月数、日数)を選択し、テキストボックスにその値を入力します。

    注記

    発行 CA の残存有効期間より有効期間の長いエンドエンティティ証明書は発行できません。発行 CA の有効期限は、このセクションでは参照用として表示されます。

  13. ドロップダウンリストから使用可能な[アルゴリズム]を選択します。使用可能なアルゴリズムは、プロファイルで選択された発行 CA に基づきます。

    image14.png

  14. ドロップダウンリストから[キータイプ]と[属性]を選択します。

    Key_size_24nov.PNG

    注記

    Support for larger key and curve sizes depends on the Trusted Platform Module vendor and version.

  15. 同一のシート ID に対して複数の証明書を発行する場合は、[複製証明書を許可する]チェックボックスを選択します。

  16. [更新]オプションでは、ドロップダウンリストから更新期間を選択します。デフォルト(推奨)値は 30 日間です。

  17. [Subject DN][SAN]の各フィールドをドロップダウンリストから選択します。証明書に必要なフィールドをすべて選択し、[フィールドを追加]を選択します。

    Subject_DN_SAN.png

  18. 選択した各フィールドについて、右側の[フィールドの値のソース]ドロップダウンリストはデフォルトで[Active Directory 属性]に設定されています。これが自動登録証明書プロファイルで現在対応している唯一のソースであるためです。

    注記

    注: 一部の[Subject DN]フィールドでは複数の値を追加できます。[追加]を選択し、追加する各エントリについて、[ソース]と[Active Directory 属性]の各フィールドを指定します。以下の例は[組織の部署]フィールドを示しています。

  19. [必須]チェックボックスを使用して、どの[証明書]フィールドが必須であるかを指定します。

    SubjectDN_OU.png

  20. [複数]チェックボックスを使用して、複数値の文字列を含む[Active Directory 属性]を指定します。

  21. [SAN]フィールドには、それぞれ複数の値を追加できます。[追加]リンクを選択し、各追加フィールドのソースと値を指定します。これは以下の[RFC822 名(電子メール)]に表示されますが、[その他の名前(UPN)]と[その他の名前(カスタム)]の各フィールドにも適用されます。

    SAN_RFC822.png

  22. キー使用(KU)のエクステンションの重要度と値を指定します。表示される KU オプションは使用する証明書テンプレートによって異なることに注意してください

    image19.png

  23. 拡張キー使用(EKU)のエクステンションの重要度と値を指定します。表示される EKU オプションは使用する証明書テンプレートによって異なることに注意してください

    image20.png

  24. [証明書の配布形式]では、使用する証明書の形式と証明書発行時に含める証明書チェーンを選択します。

  25. [電子メール設定と通知]では、証明書失効通知メールに使用するテンプレートを指定します。

  26. [管理者連絡先]では、証明書通知メールにデフォルトまたはカスタムの管理者連絡先を含めるかどうかを指定します。エンドユーザー向けの内部サポートの連絡先を含めることは任意ですが、これを推奨します。

  27. [シート ID のマッピング]では、シート ID として使用する証明書フィールドを選択します。これはライセンス目的で各登録エンティティを一意に識別します。

  28. [サービスユーザーバインディング]では、証明書プロファイルに紐付けるサービスユーザーの API トークンを選択します。ドロップダウンからサービスユーザーが選択されていない場合、アカウント内のすべての API トークンがこのプロファイルを管理できるようになります。

  29. [作成]を選択します。新規に作成した証明書プロファイルが証明書プロファイルリストに表示されます。

このセクションの内容: