Skip to main content

クライアント認証証明書を取得する

クライアント認証証明書(登録局(RA)証明書と呼ばれる)を使用して、DigiCert ONE に対する Autoenrollment Server の申請を認証できます。Windows Hello for Business と統合する場合は、API トークンの代わりにこの方法を使用します。

RA 証明書は、ハードウェアセキュリティモジュール(HSM)または PFX 形式のソフトウェアキーストアに保存できます。選択した RA 証明書の保存オプションによって、RA 証明書の登録方法が決まります。

注記

デジサートでは、RA 証明書とその対応する秘密鍵のセキュリティを確保するため、ハードウェアセキュリティモジュールの使用を推奨します。RA 証明書と秘密鍵にアクセスできれば誰でも組織の代表として行動できるため、証明書とキーの安全な保管が重要です。

RA 証明書を取得して HSM に保存する

詳細については、『HSM ガイド』を参照してください。

RA 証明書をソフトウェアファイルとして取得する

次の手順に従って、サービスユーザー(アカウントユーザーに紐付けられていないクレデンシャル)を作成し、Autoenrollment Server で使用する認証証明書を紐付けます。

サービスユーザーと認証証明書を作成する

  1. Account Manager に移動します。

  2. 左側のナビゲーションメニューから[アクセス][サービスユーザー]の順に選択します。

  3. サービスユーザーの作成を選択します。

  4. [サービスユーザーの詳細]ページで、次の詳細を入力します。

    • フレンドリ名: サービスユーザーのニックネーム。

    • 説明(任意): サービスユーザーの目的に関する説明。

    • 終了日(任意): サービスユーザーの有効期限。

    • E メール: サービスユーザーに関する通知の送信先。

    • このサービスユーザーを使用できるアカウント: サービスユーザーのアカウントアクセス。

    • DigiCert ONE Manager へのアクセス: [CA][Trust Lifecycle]を選択します。

  5. [次へ]を選択します。

  6. [ロールと権限]ページで、次のユーザーロールを割り当てます。

    • DigiCert Private CA の場合: 読み取り専用

    • Trust Lifecycle Manager の場合: ユーザーおよび証明書マネージャー証明書プロファイルマネージャー

    注記

    または、最低限次の権限を含むカスタムユーザーロールを作成して割り当てることもできます。

    DigiCert Private CA の場合: View CA および View CA configuration.Trust Lifecycle Manager の場合: Certificate management: Manage create および Profiles & templates: Manage enrollment および Manage profile.

  7. [ユーザーの追加]を選択します。

  8. 各サービスユーザーには、デフォルトで関連付けられた API トークンがあります。トークン ID は、サービスユーザーの作成時にポップアップボックスに表示されます。このサービスユーザーを使用して API 申請を行う場合、トークン ID の値をコピーし、安全な場所に保管してください。この値は一度だけ表示されます

  9. [サービスユーザー]セクションに移動し、手順 7 で作成したサービスユーザーを選択します。

  10. [認証証明書]セクションで、[認証証明書の作成]を選択します。

  11. [認証証明書の生成]ページで、次の詳細を入力します。

    • ニックネーム

    • 終了日

  12. [証明書の生成]を選択します。

  13. 証明書のインストール用のパスワードがポップアップボックスに表示されます。パスワードをコピーして安全な場所に保存してください。この値は一度だけ表示されます

  14. [証明書のダウンロード]を選択します。

  15. Autoenrollment Server を実行しているマシンにダウンロードした証明書を移動します。

このセクションの内容: