Skip to main content

証明書の自動登録と自動更新

注記

この機能はバージョン1.2.0 以降で使用可能です。

DigiCert​​®​​ Trust Assistant にサインインすると、管理者が個別のトークンに割り当てたプロファイルに基づき、証明書が自動的に発行および更新されます。

前提条件

自動登録と自動更新の前提条件は次のとおりです。

  • DigiCert ONE Login を通じて DigiCert Trust Assistant にログインします。詳細については、「User sign-in」を参照してください。

  • 証明書の自動登録/自動更新機能付き証明書プロファイルを作成します。設定済みの場合、承認済みユーザーグループに所属している必要があります。詳細については、「Create DigiCert ONE login profile」を参照してください。

  • DigiCert Software KeyStore を使用しながら、PIN を使用してトークンを初期化します。詳細については、「Initialize token」を参照してください。

  • ハードウェアトークンを使用しながら、ドライバをインストールして PIN を設定します。詳細については、「対応するハードウェアトークン」を参照してください。

登録と更新のタイミング

DigiCert​​®​​ Trust Assistant は、登録と更新を定期的にチェックします。

DigiCert​​®​​ Trust Assistant の初回起動後、初回チェックを実行する時刻(登録と更新で別々の時刻)が最初の 1 時間以内にランダムに選択されます。その後、毎日同じ時刻にチェックが実行されます。

さらに、証明書をすぐに発行できるようにするために、サインイン成功直後に初回の登録チェックが実行されます。

登録/更新チェックの再試行メカニズム

注記

この機能は、DigiCert® Trust Assistant バージョン 1.2.3 以降で使用可能です。

DigiCert​​®​​ Trust Assistant は、実行中にネットワーク問題が発生した場合に更新チェック登録チェックを自動的に再試行することで、証明書の更新と登録を合理化します。DigiCert​​®​​ Trust Assistant更新チェックまたは登録チェックの自動実行中にネットワーク問題を検出した場合、失敗を示すアプリケーションレベルの通知が表示されます。

DigiCert​​®​​ Trust Assistant は、ネットワーク接続が回復するまで 300 秒ごとに自動的に更新チェックまたは登録チェックのプロセスをサイレントで再試行します。いずれかの再試行が成功すると、通知が消え、デフォルトのスケジュールに従って今後の実行が継続されます。

即時解決するには、通知内の[再試行]ボタンをクリックすることで、いつでも手動で再試行を開始できます。

自動登録

DigiCert​​®​​ Trust Assistant が割り当てられたプロファイルを検出した場合、設定済みのトークンに対して自動的に証明書を登録および発行します。トークンの要件に応じて、アクセス PIN またはログインパスワードの入力が必要になる場合があります。

PIN の要件

次の表では、登録時における各トークンの PIN パスワードの要件を示しています。

1. PIN の要件

トークン

PIN パスワードの要件 *

DigiCert Software KeyStore

PIN が必要です

MacOS キーチェーン(ナビゲーションメニューでは「MacOS Crypto」と表示)

ログインパスワードが必要です

Windows 証明書ストア(ナビゲーションメニューでは「Windows CryptoAPI」と表示)

不要

ハードウェアトークン

PIN が必要です


* トークンに既にログインしている場合、セッション設定によってはこれが不要となる場合もあります。セッション管理の詳細については、「Key storage management」を参照してください。

ハードウェアトークンの使用

バックグラウンドで自動登録チェックが実行されている際にハードウェアトークンがマシンに接続されていない場合、DigiCert Trust Assistant は通知を送信します。この通知は「Notifications」で確認して、手動で登録を開始するためのトークンとリンクを接続できます。

複数マシンの使用

複数のマシンを同時に管理する場合、同じプロファイルから各マシンに同じ サブジェクト DN の証明書を発行できます。これは、DigiCert Trust Assistant を別のマシンにインストールしてサインインすると自動的に発生します。この機能は、プロファイルで[複製証明書の許可]オプションが選択されていると有効になります。

注記

ハードウェアトークンで構成されたプロファイルでは、複数マシンへの自動登録は行われません。

自動更新

証明書が証明書プロファイルで定義された更新期間に達すると、DigiCert​​®​​ Trust Assistant は自動的に証明書を更新します。

自動更新は次の場合に開始されます。

  • 更新期間に達している: 証明書が更新期間内でなければなりません。

  • ステータスが有効である: 有効な証明書のみが更新可能です。期限切れ、失効済み、または停止済みの証明書は更新できません。プロファイルに有効な証明書が存在しないことを DigiCert Trust Assistant が検出した場合、新しい証明書の自動登録を試みます。

  • 証明書がデバイス上に存在している: 別のマシンのソフトウェアトークンで発行された証明書は、移行されない限り更新できません。ハードウェアトークンに保存された証明書は、接続時に自動的に更新されます。

  • 未更新である: 証明書が未更新でなければなりません。

PIN パスワードの要件

このプロセスは登録と類似しています。更新との主な違いは、DigiCert では所有の証明を確認するために古い証明書の署名を必要とする点です。これにより、古い証明書と新しい証明書のインポートという 2 段階の認証手順が発生する可能性があります。

トークンに既にログインしている場合、セッション設定によってはこれが不要となる場合もあります。セッション管理の詳細については、「Key storage management」を参照してください。

後処理スクリプト

証明書プロファイルに後処理スクリプトが設定されている場合、証明書が正常に発行または更新されてから後処理スクリプトが実行されます。

これらのスクリプトの成功または失敗に関する通知が届きます。スクリプトが失敗した場合、通知メッセージからスクリプトを再実行できます。

後処理スクリプトの詳細については、「Post-processing Scripts」を参照してください。

手順のダウンロード

注記

この機能は、DigiCert Trust Assistant バージョン 1.2.8 以降で使用可能です。

証明書の使用方法に関するユーザー手順を記載したファイルがプロファイルに含まれている場合、成功通知に「手順のダウンロード」操作リンクが表示されます。リンクをクリックして手順をダウンロードします。

詳細については、「Download instruction」を参照してください。

このセクションの内容: