Skip to main content

EST の証明書プロファイルを作成する

DigiCert​​®​​ Trust Lifecycle Manager でセキュアトランスポート経由の登録(EST)用に少なくとも 1 つの証明書プロファイルが必要です。

各プロファイルで、登録方法として EST を選択し、発行された証明書のプロパティを設定します。EST 対応プロファイルの作成時、Trust Lifecycle Manager は、クライアントがそのプロファイルから証明書を登録および更新するために使用できる一意の EST サーバー URL を生成します。

注記

Trust Lifecycle Manager における証明書プロファイル作成の詳細については、「証明書プロファイルの作成」を参照してください。

証明書プロファイルの作成

EST ベースの登録用に証明書プロファイルを作成するには、次の手順を実行します。

  1. Trust Lifecycle Manager のメニューから、[Policies > Certificate profiles]に移動します。

  2. ページ上部の[テンプレートからプロファイルを作成]の操作を選択します。

  3. 証明書プロファイル作成のベースとして、上記の一覧で示した次のテンプレートのうちいずれか 1 つを選択します。

    • デバイス用の証明書を登録するには、「Generic Device Certificate」テンプレートを選択します。

    • サーバー用の証明書を登録するには、「Generic Private Server Certificate」テンプレートを選択します。

    プロファイル作成ウィザードを進め、下記で説明する EST 関連オプションに重点を置き、ビジネス要件や発行したい証明書のタイプに応じてその他の選択をします。各画面で入力してから、[次へ]を選択して次の画面に進みます。

  4. プロファイル作成ウィザードの最初の[プライマリオプション]画面で、次の項目を設定します。

    • 一般情報: 「prerequisites」で説明したとおり、該当する事業部門と発行 CA を選択します。

    • 登録方法: EST を選択します。

    • 認証方法: EST クライアントを認証する次の方法のうちいずれか 1 つを選択します。

      Enrollment Code: コードにより認証します。次のうちいずれか 1 つを選択し、そのオプションを設定します。

      • 動的登録コード: 個別のシートレコードを作成し、EST クライアントが証明書を申請するために使用できる登録コードの事前登録が必要です。登録コードの有効期限、長さ、ロック動作に関するオプションを設定します。

      • グローバル登録コード: 任意の EST クライアント事前登録なしで証明書を申請できる単一の登録コードを作成します。クライアントをロックアウトするまでの不正認証の最大試行回数を設定します。

      TLS Certificate Auth: クライアント証明書により認証します。

      • 発行 CA の証明書は、Trust Lifecycle Manager の「My root certificates」ページに事前にアップロードしておく必要があります。

      • クライアント認証証明書を発行するために信頼できる CA を選択します。認証するには、クライアントがこれらの信頼できる CA のいずれかによって署名された証明書を提示する必要があります。

  5. [証明書のオプション]画面で次の操作を実行します。

    • サブジェクト DN および SAN フィールド: 発行された証明書のサブジェクト識別名(DN)およびサブジェクト別名(SAN)に含めるフィールドを選択します。

      各フィールドについて、フィールドの値のソースとして[EST request]が選択されていることを確認すると、EST プロトコル経由で送信された証明書署名申請(CSR)から値を読み取ることができます。

      デフォルトでは、コモンネームのみが含まれており、その値を EST request から読み取るよう設定されています。証明書にコモンネームのみが必要な場合、ここで他に選択する必要はありません。

  6. [詳細設定]画面で次の操作を実行します。

    • シート ID のマッピング: EST 経由で証明書を登録する際にシート ID として使用する、使用可能な証明書フィールドのうちいずれか 1 つを選択します。

      ここでのオプションには、EST request から値を取得する一意の証明書フィールドが含まれます。デフォルトでは、Trust Lifecycle Manager で証明書のコモンネームをシート ID として使用するよう選択されています。

    • 有効な IP アドレスのリスト: クライアント証明書を使用する認証(TLS Certificate Auth 認証方法)の場合、EST 経由で証明書を申請できるクライアントの有効な IP アドレスを入力することも可能です。

      単一の IP アドレスを入力するか、ハイフンまたは CIDR ブロックを使用して有効な IP アドレスの範囲を指定します。空欄のままにすると、EST クライアントに関する IP アドレスの制約はありません。

  7. [作成]を選択すると、EST ベースの登録用に新規証明書プロファイルが保存されます。

    EST 経由での証明書の登録と更新に使用する EST 登録用 URLEST 更新用 URL が生成され、表示されます。

    コピーアイコンを使用して URL をクリップボードにコピーし、安全な場所に保存します。[OK]をクリックして、モーダルを閉じます。

    注記

    プロファイル名の下にあるドロップダウンメニューを使用して、Trust Lifecycle Manager のプロファイル詳細画面から EST URL をいつでも取得できます。

次の手順

このセクションの内容: