DigiCert PKI Platform 8 PKI Client 移行ガイド
このガイドでは、DigiCert PKI Platform 8(PKI Client および Enterprise Gateway を使用)から DigiCert® ONE への移行に必要なすべての手順について説明します。これには、ID プロバイダの設定、クライアントアプリケーションの移行、証明書の移行、移行後のクリーンアップの完了が含まれます。DigiCert PKI Platform 8 で Enterprise Gateway を統合して PKI クライアントから DigiCert ONE へ移行するには、次の主要なプラットフォームの違いを認識する必要があります。
DigiCert PKI Platform 8 | DigiCert ONE | |
|---|---|---|
クライアントアプリケーション | DigiCert PKI Client | DigiCert Trust Assistant |
サーバーアプリケーション | Enterprise Gateway | SAML または OpenID コネクト(OIDC)に対応する ID プロバイダアプリケーション |
認証のメカニズム: | Kerberos - 全自動 | 初回ログイン時に ID プロバイダに対してシングルサインオン(SSO)を使用する SAML または OIDCログイン後、アプリケーションに保存されたクライアント認証証明書を使用して、必要な認証がすべて自動化されます。 |
DigiCert PKI Enterprise Gateway が ID プロバイダとして対応するのはオンプレミスの Active Directory に対してのみですが、DigiCert ONE は SAML または OIDC 互換のあらゆる ID プロバイダに対応します。次の表では、対応する ID プロバイダを各プラットフォームにおいて比較しています。
Enterprise Gateway を含む DigiCert PKI Platform 8 | DigiCert ONE |
|---|---|
オンプレミスの Active Directory | SAML または OIDC に対応する任意の ID プロバイダ(以下を含む):
|
SAML または OIDC に対応する任意の ID プロバイダを選択します。サードパーティの ID プロバイダでシングルサインオン(SSO)を既に使用している場合は、そのプロバイダを使用できます。それ以外の場合は、Windows Server で Active Directory Federation Service(AD FS)を設定し、ID プロバイダとして機能させる必要があります。管理が必要な AD FS 証明書の詳細については、「Certificate lifecycle management for on-premises Active Directory (AD FS)」を参照してください。
DigiCert ONE DigiCert® Trust Lifecycle Manager には、DigiCert PKI Platform 8 から証明書を移行できるコネクタが含まれています。このコネクタは、鍵預託済み(秘密鍵を含む)の証明書と鍵預託していない証明書の両方の移行に対応します。詳細については、『DigiCert PKI Platform 8 コネクタガイド』を参照してください。
移行を開始する前に、既存の全証明書を移行する必要があるかどうかを判断するため、デジサート担当者にお問い合わせください。
承認済みユーザーリストを確認する
DigiCert ONE Trust Lifecycle Manager で証明書プロファイルを作成する前に、プロファイルに設定された承認済みユーザーリストを確認します。このリストは、証明書を発行できる Active Directory ユーザーグループを決定するものであり、通常は
<NETBIOS_name/group_name>.の形式です。DigiCert ONE で証明書プロファイルを設定する際には、この情報が必要となります。注記
DigiCert PKI Platform 8 PKI Manager で承認済みユーザーリストの詳細を表示するには、[ユーザーと証明書]セクションの[承認済みユーザーリストの管理]を選択します。
DigiCert ONE Login の証明書プロファイルを作成する
証明書プロファイルを作成し、初期テストを完了するには、次の手順を実行します。
DigiCert ONE Login を理解する: プロファイル作成前に、ログインプロセスと DigiCert ONE が外部の ID プロバイダとどのように統合するかをよく理解しておいてください。詳細については、「About DigiCert ONE login profile」を参照してください。
ID プロバイダと DigiCert ONE との統合を設定する: 前提条件の詳細については、「Prerequisites for DigiCert ONE Login」を参照してください。ID プロバイダに基づき、次の統合に関する詳細を参照してください。
Entra ID(Azure): Microsoft Entra ID(Azure Active Directory)による統合
証明書プロファイルを作成する: 詳細については、「About DigiCert ONE login profile」を参照してください。プロファイル作成時には、次のオプションを使用して、従来 Enterprise Gateway 経由で使用可能であった機能に対応させます。
証明書の自動登録/更新: Enterprise Gateway で証明書の自動発行を使用している場合は、このオプションを有効にします。
IdP メタデータに基づくユーザーアクセスの制限: DigiCert PKI Platform 8 の承認済みユーザーリストを使用して、グループベースのアクセスを設定します。
<NETBIOS_name/group_name> とは形式が異なります。IdP が SAML または OIDC 経由でグループ情報を送信する方法によって形式が異なります。たとえば、AD FS では、キーは
http://schemas.xmlsoap.org/claims/Groupで、値は完全な AD 識別名(例: CN=DigiCert Test Users、CN=Users、DC=test、DC=digicert、DC=com)となります。設定をテストする: 設定が完了したら、ユーザー作成と証明書発行を検証するためのテスト手順を参照してください。
DigiCert PKI Platform 8 では、現在 DigiCert PKI Platform 8でユーザーに証明書を発行するために使用されている証明書プロファイルをすべて停止し、それ以上発行されないようにします。ユーザーが新しいプラットフォームから証明書の発行を開始する前にこの手順を実行し、重複を防止することが極めて重要です。
この手順は、企業のドメインコントローラで PKI Client のグループポリシーオブジェクト(GPO)設定が構成されている場合にのみ必要です。次の操作を実行します。
PKI Client 用に GPO 設定を構成している場合は停止します。
GPO 設定が無効化されているかを確認するには、ドメインコントローラ管理者に問い合わせるか、「DigiCert PKI Client 管理者ガイド」(PKI Manager ポータルの[リソース]から入手可能。第 3.6.5 章、第 3.8 章、第 4 章を参照)を参照してください。
GPO 設定が正常に無効化されたら、管理者としてコマンドプロンプトを起動し、次のコマンドを実行して GPO 設定の変更をすべてのエンドユーザーマシンに適用します。
$ gpupdate /force
これは任意の手順であり、要件に基づいて飛ばしても差し支えありません。次の条件にすべて当てはまる場合、PIK Client から手動で証明書をエクスポートし、DigiCert Trust Assistant にインポートします。
証明書が DigiCert PKI Platform 8 で鍵預託されていない。
証明書がソフトウェアキーストアに保存されている。
ユーザーがこれらの証明書を引き続き使用する必要がある。
新しい証明書は DigiCert ONE から発行されるため、暗号化されたデータの復号化が必要な場合を除き、古い証明書は通常不要です。さらに説明が必要な場合は、デジサートアカウント担当者にお問い合わせください。
証明書のエクスポート方法の詳細については、「How to export certificates stored in the DigiCert PKI client」を参照してください。
DigiCert PKI Client をユーザーのマシンからアンインストールするには、次のいずれかの方法を使用します。
オペレーティングシステムのアプリケーションのアンインストール
一括アンインストールの場合、GPO またはデバイス管理ソリューションを使用します。詳細については、ベンダーのドキュメントを参照してください。
注記
アンインストール後の必ずマシンを再起動してください。
グループポリシーを使用してユーザーに DigiCert Trust Assistant を配布するには、「グループポリシーを使用して DigiCert Trust Assistant を配布する」を参照して詳細を確認してください。
注記
DigiCert Trust Assistant がまだインストールされていない場合、初回のサインイン時にユーザーがブラウザから直接ダウンロードしてインストールできるため、この手順は任意です。DigiCert Trust Assistant はユーザー単位のインストールに対応しているため、管理者権限は不要です。
手順 5: 「Export Certificates from PKI Client」の結果によっては、この手順を飛ばしても差し支えありません。DigiCert Trust Assistant への証明書のインポートについては、「Import a certificate」を参照してください。
ユーザーへのサインインアクセスの提供に関する詳細については、「Deliver DigiCert ONE login URL to the users」を参照してください。
注記
DigiCertは、GPO 経由で配布される extra-conf.json の使用を推奨します。
extra-conf.json の設定に関する詳細については、「Configure via GPO or Device Management solution」を参照してください。extra-conf.json のサインイン設定に関する詳細は、「Sign in configuration」セクションに記載されています。
ユーザーが ID プロバイダの認証を使用して DigiCert Trust Assistant にサインインすると、DigiCert Trust Assistant はユーザーに割り当てられたプロファイルをすべて確認し、次のアクションを実行します。
証明書プロファイルで「証明書の自動登録/更新:」が有効になっている場合、DigiCert Trust Assistant は、自動的に証明書を発行し、その結果をユーザーに通知します。
証明書プロファイルで「証明書の自動登録/更新」が無効になっている場合、DigiCert Trust Assistant は、証明書が発行可能であることをユーザーに通知し、ユーザーはアプリケーションの[登録]ページから手動で登録できます。
証明書が正常に発行され、プロファイルで後処理スクリプトが設定されている場合、スクリプトが実行されます。詳細については、「Post-processing scripts」を参照してください。
アンインストール後、ドメインから PKI Enterprise Gateway Group を削除することもできます。これは Enterprise Gateway のインストール時に作成される特別なセキュリティグループで、Enterprise Gateway を起動するサービスに割り当てられ、ユーザーに対する証明書情報の書き込みを行います。
Enterprise Gateway を実行するために専用のユーザーアカウントまたはサービスアカウントを作成した場合、そのアカウントは不要になるため削除できます。
さらに、デフォルトのインストールディレクトリの C:\Program Files\DigiCert\PKIEnterpriseGateway にログが残ります。
このディレクトリが不要になった場合は削除することも可能です。
移行プロセスが完了したら、次のクリーンアップタスクを実行して、残存する DigiCert PKI Client のコンポーネントを削除します。