Skip to main content

DigiCert Trust Assistant で証明書プロファイルを作成する

適切な権限を持つアカウント管理者は、DigiCert Trust Assistant 用の証明書プロファイルを設定できます。プロファイルの作成に関する詳細については、「Create certificate profiles」を参照してください。

プロファイルを作成するには、各入力について以下を選択します。

発行 CA

DigiCert Trust Assistant を使用するには、RSA または ECDSA ベースの発行 CA を選択します。

登録方法

[DigiCert Trust Assistant]を選択し、次のうちから対象のキーストアオプションを選択します。

  • オペレーティングシステムキーストア - 証明書は、macOS ではキーチェーンに、Windows では証明書ストアにインストールされます。

    注記

    Firefox ブラウザ経由でインストールされた証明書も、Firefox に組み込まれた証明書ストアではなく、オペレーティングシステムキーストアを使用します。

  • DigiCert Software KeyStore – 証明書は、PIN で保護された DigiCert 独自のソフトウェアキーストアにインストールされます。

    注記

    DigiCert Software KeyStore に保存されたキーや証明書をブラウザやその他のアプリケーションから使用するには、事前にプロバイダ/トークンの登録が必要です。これにより、DigiCert Software KeyStore がオペレーティングシステムに登録されます。Windows の場合、プロバイダのインストールと登録にはローカル管理者権限が必要です。macOS の場合、管理者権限は不要です。

    詳細については、「DigiCert Software KeyStore」を参照してください。

    キーストアとして[オペレーティングシステムキーストア]または[DigiCert Software KeyStore]を選択する場合、[秘密鍵のエクスポートを許可]オプションをチェックすることで、秘密鍵のエクスポートを許可できます。

  • Trusted Platform Module - Certificate is installed in the Trusted Platform Module (TPM).

    注記

    TPM is supported on Windows 11. The keys are stored in the Microsoft Platform Crypto Provider. You can view the certificates by using the certutil command-line tool or the certmgr.msc application.

  • ハードウェアトークン - 証明書は選択したハードウェアトークンにインストールされます。

    • キーストアとして[ハードウェアトークン]を選択する場合、1 つまたは複数の特定のハードウェアトークンを使用するように指定できます。[任意]オプションを選択した場合、現在エンドユーザーのワークステーションに挿入され、DigiCert Trust Assistant が認識しているトークンは、登録フローでは選択項目として表示されます。

    • DigiCert Trust Assistant が認識するのは正式に認定されたトークンのみです。ただし、ユーザーのホームディレクトリ内の digicert-trust-assistant\config.json ファイルを変更することで、認定されていないハードウェアトークンを追加で認識させることができます。設定ファイルのカスタマイズに関する詳細については、「Keystore settings」を参照してください。

認証方法

組織のニーズに応じた認証要件に応じて、次の認証方法のうちいずれか 1 つを選択します。

  • DigiCert ONE Login - Account Manager で有効にしたシングルサインオンサービスでユーザーを認証します。この方法では、登録と更新は手動と自動のいずれにも対応しています。詳細については、「DigiCert ONE Login プロファイルについて」を参照してください。

    • 証明書の自動登録/更新 - 選択すると、証明書の自動発行と自動更新を許可します。

    • ID プロバイダ(IdP)メタデータに基づくユーザーアクセスの制限 - 許可されたユーザーグループを設定するにはこのオプションを選択します。

注記

DigiCert ONE LoginSAML IdP は、いずれも認証のメカニズムとしてフェデレーションプロトコルを使用する点では似ていますが、大きな違いがあります。DigiCert ONE Login は、ユーザーの介入を最小限に抑えながら証明書の発行と更新を自動化できるようにするために追加されました。SAML IdP では、ユーザーが証明書を登録または更新するたびに、ユーザークレデンシャルの入力が必要です。

DigiCert ONE Login の詳細については、「DigiCert ONE Login プロファイルについて」を参照してください。

マッチング登録申請のために預託された証明書を配布する

このオプションは、クラウドキーエスクロー機能を使用し、[Allow duplicate certificates] 設定が無効になっている証明書プロファイルに表示されます。このチェックボックスを有効にすると、ユーザーが同じ SDN 値を使用して証明書の登録を新たに試みた場合、事前に発行済みの有効な証明書の復元が可能になります。

セキュリティ識別子(SID)エクステンションを含める

SID エクステンションは、Microsoft Active Directory 環境における強力な証明書マッピングに対応します。DigiCert Trust Assistant の証明書に SID エクステンションを含めるには、次のベーステンプレートのうちいずれか 1 つから証明書プロファイルを作成します。

  • Adobe CDS

  • Generic User Certificate

プロファイルウィザードの[エクステンション]>[標準エクステンション]セクションで、ドロップダウンを使用して[セキュリティ識別子]エクステンションを追加します。[フィールドの値のソース]については、次のうちいずれか 1 つを選択します。

値のソース

説明

ユーザーによる入力

ユーザーは、申請を確認する際に値を入力するよう求められます。

現在の SID を確認するために、ユーザーは Windows コマンドラインから whoami /user コマンドを実行できます。

: プロファイルが DigiCert ONE Login 認証方法を使用している場合、ユーザーによる入力は、[証明書の自動申請/更新]オプションが有効になっていない場合にのみ使用可能です。

固定値

プロファイルから発行されるすべての証明書に同じ SID 値を追加します。

証明書プロファイルで、指定された入力欄に SID 値を入力します。OID を入力してはなりません。

ユーザー情報

選択すると、システムは Active Directory や Microsoft Entra ID などの ID プロバイダ(IdP)からユーザーの SID を自動的に使用し、ユーザーは値の入力を求められません。

プロファイルが DigiCert ONE Login 認証方法で設定され、SID 属性が IdP に明示的にマッピングされている場合に、このオプションが使用可能です。DigiCert ONE Login の詳細については、「About DigiCert ONE Login profile」を参照してください。

SID エクステンションの設定方法に関する詳細については、「プロファイルにセキュリティ識別子(SID)エクステンションを設定」を参照してください。

使用方法をアップロードする

証明書の使用方法を含むファイルを 1 つアップロードできます。この使用方法をダウンロードできる場所は、選択した認証方法により異なります。

認証方法

場所

  • 登録コード

  • 手動承認

  • SAML IdP

ブラウザで証明書発行が正常に完了すると、ダウンロード可能になります。

DigiCert ONE Login

DigiCert® Trust Assistant 内において、次の複数の場所からダウンロード可能DigiCert Trust Assistant:

証明書のインストール後

このセクションは、設定タスクを自動化し、エンドユーザーエクスペリエンスを向上させる後処理オプションを有効にすることで、証明書のデプロイの効率化に役立ちます。

  • このプロファイルで使用可能なスクリプト - このオプションは、プロファイルに後処理スクリプトが使用可能な場合にのみ表示されます。証明書の登録または更新後に自動的に実行するスクリプトを 1 つまたは複数選択します。これらのスクリプトは、アプリケーションが証明書を適切に使用できるように設定するためのものです。DigiCert の後処理スクリプトの詳細については、「Post-processing actions and scripts」を参照してください。

  • 非アクティブな証明書の削除 - このオプションを有効にすると、証明書の登録または更新後に非アクティブな証明書が自動的に削除されます。削除対象の証明書ステータスを次のうちから選択できます。

    • 失効 – 有効期限前に明示的に無効化された証明書。

    • 期限切れ – 有効期間が終了したため無効になった証明書。

    • 破棄 – 新しいバージョンに差し替えられた証明書。

    • すべて – 失効、期限切れ、破棄のいずれかのステータスに該当するすべての証明書を削除します。

    注記

    • 非アクティブな証明書の削除オプションを有効にするには、次の機能を無効にする必要があります。

      • キーエスクローフロー

      • キー暗号化エクステンションにおけるキー使用

      • キーアグリーメントエクステンションにおけるキー使用

      • データ暗号化エクステンションにおけるキー使用

    • 削除操作により、証明書とその関連する秘密鍵および公開鍵もシステムから削除されます。

後処理のスクリプトとアクションの詳細については、「Post-processing actions and scripts」.を参照してください。

預託された証明書の手動および自動キーリカバリ

バージョン 1.2.2 以降、DigiCert クラウドで発行および預託された証明書の(手動または自動)リカバリが可能です。詳細については、「預託された証明書の手動および自動リカバリ」を参照してください。

このセクションの内容: