CertCentral ユーザー向けのクイックスタートガイド
このガイドは、DigiCert® Trust Lifecycle Manager を短時間のうちに使用開始するのに役立ちます。DigiCert CertCentral® アカウントからの証明書のインポートを有効にして、Trust Lifecycle Manager の Web コンソールから取得した証明書を監視する方法を習得します。
ここで設定する統合は、CertCentral アカウントでの資産の継続的な管理(自動化されたライフサイクル管理など)にも対応しています。このガイドでは、検出と監視のみを対象とします。
注記
CertCentral は単一の DigiCert アカウント内で個別の証明書を発行しますが、Trust Lifecycle Manager は組織全体で証明書(さまざまな CA からの証明書を含む)を管理するため、証明書の正常性とコンプライアンスを包括的に確認することができます。
目的
DigiCert ONE にログインして、[Integrations]、[Inventory]、[Dashboard]など、 Trust Lifecycle Manager システムの重要な機能を使用する方法を習得します。
CertCentral アカウントを Trust Lifecycle Manager に接続し、証明書を CertCentral から Trust Lifecycle Manager のインベントリにインポートします。
通知を設定し、Trust Lifecycle Manager の使用を開始して、証明書に関する問題と必要なアクションを追跡します。
開始する前に
CertCentral
CertCentral アカウントへのリンクを確立するには、次のいずれかが必要となります。
CertCentral アカウントへのアクセス権のある管理者ユーザーに関する DigiCert の単一のログインクレデンシャル。
管理者ユーザーまたはサービスユーザーの CertCentral API キーで、[API キーの制約]が[なし]に設定されているもの。
Trust Lifecycle Manager
次の前提条件に関してサポートが必要な場合は、DigiCert アカウント担当者と連携してください。
CertCentral から証明書をインポートするには、Trust Lifecycle Manager アカウントで使用可能なシートライセンスが必要です。
ログインして統合を設定するには、Trust Lifecycle Manager の[マネージャー]ユーザーロールを含む DigiCert の単一のログインクレデンシャルが必要です。
まず、DigiCert アカウントクレデンシャルを使用してログインし、Trust Lifecycle Manager にアクセスします。
DigiCert アカウントにログインするには、https://accounts.digicert.com に移動します。
アカウントの設定によっては、Trust Lifecycle Manager アプリケーションに直接移動することがあります。
これは、左にあるナビゲーションバーで確認できます。[TRUST LIFECYCLE] と表示されている場合は、正確な場所に存在しているので、次のステップを省略することができます。
(オプション)Trust Lifecycle Manager に存在していない場合は、次のとおりに移動します。
右上にあるマネージャーメニューを開きます。これはグリッドのように表示されています。
マネージャーメニューで[Trust Lifecycle]を選択します。
ヒント
アカウントの [Dashboard] は、Trust Lifecycle Manager に初めてアクセスした際のデフォルト画面になります。
アカウント内にデータが存在する場合は、[Dashboard] ですべてのデータを追跡して管理することができます。
Trust Lifecycle Manager の事業部門は、CertCentral の部門に類似しています。
CertCentral アカウント内の証明書が部門別に整理されている場合は、最初のインポート操作の実行時に Trust Lifecycle Manager の類似した事業部門に割り当てることができます。これで、証明書が整理されるので、以降の時間を節約できます。
注記
CertCentral アカウントで使用されている部門が 1 つしかない場合または資産をインポートした後に Trust Lifecycle Manager でその資産を整理したい場合は、このステップを省略してもかまいません。デフォルトで、証明書は Trust Lifecycle Manager アカウント内の単一のデフォルト事業部門に割り当てられます。
インポート時に証明書を別の事業部門に割り当てるには、まず Trust Lifecycle Manager でその事業部門を作成しておく必要があります。
事業部門を作成するには、次の手順を実行します。
Trust Lifecycle Manager のメインメニューから[Account > Business units]を選択します。
デフォルト事業部門が表に表示されているはずです。表の上にある[作成]ボタンを選択して、別の事業部門を追加します。
新しい事業部門を識別できるように、その事業部門の名前を入力します。既存の CertCentral 部門の名前と同じにするか、Trust Lifecycle Manager の資産を識別できるように別の命名規則を使用することができます。
下にある[作成]ボタンを選択して、新しい事業部門を作成します。
ヒント
シート割り当てでは、選択を行う必要はありません。証明書をインポートすると、必要に応じてシートライセンスが事業部門に自動的に割り当てられます。
事業部門を作成した後で、事業部門表に戻ると、新しい事業部門が表示されているはずです。事業部門をさらに追加する場合は、上記の手順を繰り返します。
このステップでは、CertCentral アカウントクレデンシャルを使用して、Trust Lifecycle Manager との統合を設定します。
この統合を設定すると、CertCentral から既存の証明書をインポートしたり、CertCentral の認証局(CA)から新しい証明書を発行したりすることもできます。このガイドでは、インポートを対象とします。
注記
Trust Lifecycle Manager では、統合は「コネクタ」とも呼ばれています。コネクタには Web を主体としたシンプルなメニューがあり、CertCentral アカウントをリンクさせて、そのアカウントからのインポートを有効にすることができます。
Trust Lifecycle Manager のメインメニューから[Integrations > Connectors]を選択します。
[コネクタの追加]ボタンを選択します。
[認証局]セクションで[CertCentral]オプションを選択します。
次の手順に従って、フォームのすべての項目に入力します。
フォームの一番上のセクションで一般プロパティを設定します。
名前: 簡単に識別できるように、コネクタにフレンドリ名を割り当てます。
事業部門: そのコネクタの事業部門を選択します。
Default Business Unitを選択するか、ステップ 2 で独自の事業部門を追加した場合は、いずれかの事業部門を選択できます。注記
ここで割り当てる事業部門は、コネクタ自体を管理するためのものです。コネクタを介してインポートまたは発行される証明書には適用されません。
アカウントのリンク: CertCentral アカウントの[Region]を選択し、それにリンクさせるためのオプションを次の中から選択します。使用する CertCentral アカウントクレデンシャルが上記の「Before you begin」セクションに記載されている前提条件を満たしていることを確認します。
DigiCert シングルログイン: DigiCert アカウントクレデンシャルを使用して接続します(推奨)。
CertCentral API キーを使用してリンク: CertCentral API キーを入力します。
属性のインポート: 入力した CertCentral クレデンシャルが有効な場合は、ここで証明書のインポートを有効にすることができます。
[このコネクタからの証明書のインポート]と表示された場所の横で証明書のインポートを[オン]に切り替えます。
[証明書のインポート]で、インポートする証明書のステータスを選択します。デフォルトでは、過去 4 年間に CertCentral アカウントで発行された有効な証明書だけがインポートされます。
(オプション)ステップ 2 で別の事業部門を作成した場合は、ここで、その事業部門に証明書を割り当てることができます。
このステップを省略して、インポートしたすべての CertCentral 証明書を Trust Lifecycle Manager のデフォルト事業部門に割り当てることもできます。それ以外の場合は、証明書を別の事業部門にマッピングするオプションを選択します。
マッピングする部門を選択: CertCentral の部門を 1 つずつマッピングする場合は、このオプションを選択します。各部門をマッピングしたら、[マッピングの追加]リンクを選択して、別の部門をマッピングします。
利用可能なすべての部門をマッピングする: アカウントでまだマッピングされていない CertCentral 部門を一覧表示する場合は、このオプションを選択します。利用可能な部門ごとに、Trust Lifecycle Manager で証明書を割り当てる事業部門を選択します。
(オプション)タグを使用すると、インベントリ内のさまざまなレコードを簡単に識別およびフィルタリングできます。CertCentral からインポートする証明書をタグ付けする場合は、使用するタグ名を 1 つ以上入力し、それぞれの入力が終わるごとに Enter キーを押します。タグはいつでも後から適用できますが、証明書の最初のインポート時に適用するのが最も簡単な方法です。
[スケジュール設定されたインポートの頻度]では、Trust Lifecycle Manager が CertCentral アカウントからインポートする新しい証明書を検索する頻度を制御します。もっと頻繁にインポートする理由が特にない限り、この設定はデフォルト値(24 時間おき)のままにしておきます。
[追加]を選択して、CertCentral コネクタを保存し、最初のインポート操作を開始します。
コネクタを追加するとすぐに、Trust Lifecycle Manager は CertCentral アカウントから証明書のインポートを開始します。
新しく追加した CertCentral アカウントコネクタからのインポート操作を確認してみてください。
このステップでは、Trust Lifecycle Manager 内のすべてのデジタルトラスト資産を表示して管理するための一元的な記録簿としての役割を果たす[Inventory]で作業を開始する方法についても学習します。
Trust Lifecycle Manager の[Integrations > Connectors]ページを開いていることを確認します。前のステップで追加した CertCentral コネクタのリストを含む表が表示されているはずです。
[名前]で追加した CertCentral コネクタを選択して、そのコネクタの詳細を表示します。
[検出された証明書]ヘッダーで、このコネクタからこれまでにインポートされた証明書の合計数が [このコネクタで見つかった資産]セクションに表示されます。証明書がまだ表示されていない場合は、少し待ってから、ブラウザの更新を試してください。
ヒント
ブラウザを更新し続けると、Trust Lifecycle Manager が CertCentral アカウントコネクタから証明書をさらにインポートするため、表示される証明書の数が変わることがあります。
実際の証明書の数を表示するには、[Inventory]ビューに切り替える必要があります。コネクタの詳細ページに表示される証明書の数は、該当するインベントリを読み込むためのショートカットリンクになっています。
CertCentral アカウントからこれまでにインポートされた証明書を読み込むには、[検出された証明書]で証明書の数を選択します。
これで、CertCentral コネクタを介してインポートされた個々の証明書が一覧表示された[Inventory]ページが表示されるはずです。
証明書ごとに、コモンネーム、CA ベンダー、有効期限などの重要なフィールドが表示されます。
[コモンネーム]でこのリストの先頭にある証明書を選択して、その証明書の完全な詳細を表示します。
これで、選択した証明書の[証明書詳細]ページが表示されるはすです。この詳細には、すべての証明書プロパティと管理パラメータが示されています。
デフォルトの[プロパティ]タブにある情報を展開し、他のいくつかのタブを選択して、この証明書の詳細をすべて表示することを試してください。
いくつかの証明書をインベントリに追加したので、Trust Lifecycle Manager でこれらの証明書の監視を開始する方法を確認してみてください。
Trust Lifecycle Manager の[Dashboard]は、すべてのデジタルトラスト資産を追跡し、必要に応じて対策を取るのに役立ちます。
インポートした CertCentral 証明書が[Dashboard]にどのように表示されるかを確認してみてください。
Trust Lifecycle Manager のメインメニューから[Dashboard]を選択します。
次のダッシュボードウィジェットに注目してください。
期限切れまたは期限切れ間近の証明書: 今後 90 日以内に有効期限が切れる CertCentral 証明書の数が表示されます。
証明書のセキュリティレーティング: Trust Lifecycle Manager が証明書に対して算出したさまざまなリスクカテゴリが表示されます。ここに黄色または赤色が表示されている場合は、必要に応じて対策を取ります。
証明書の問題: Trust Lifecycle Manager が証明書に対して検出した特定の問題が表示されます。
ダッシュボード内の証明書の数とチャートのコンポーネントは、該当する証明書を[Inventory]に読み込むためのショートカットになっており、さらに対策を取ることができます。
上記のいずれかのダッシュボードウィジェットのショートカットリンクを使用して、該当する CertCentral 証明書を読み込むことを試してください。例:
[期限切れまたは期限切れ間近の証明書]に有効期限間近の証明書が表示されている場合は、バーまたは証明書の数を選択して、別々の時間間隔で有効期限が切れる証明書を読み込みます。
[証明書のセキュリティレーティング]ウィジェットに黄色(
At risk)または赤色(Not secure)のリスクカテゴリの証明書が表示されている場合は、チャートのスライスを選択して、これらのリスクカテゴリの証明書を読み込みます。
通常は、証明書をインベントリに読み込んだ後、個々の証明書を選択して、その詳細を確認することができます。
最後のステップとして、CertCentral 証明書の有効期限が切れた場合または有効期限が近づいている場合にアラートを送信するメール通知を有効にします。
Trust Lifecycle Manager のメインメニューから[Policies > Notifications]を選択します。
有効化できるすべてのデフォルト通知タイプが表に表示されます。
証明書の有効期限に関連する通知タイプを表示するには、[Category]列のヘッダーの横にあるフィルターアイコンを開いて、[証明書ライフサイクル]カテゴリを選択します。
インポートした CertCentral 証明書の有効期限に関連する通知を有効にするには、[ステータス]列の切り替えボタンを使用して、次の通知タイプを有効にします。
[Discovered certificates expired]: 証明書の有効期限が切れた場合にメールアラートを送信します。
[Discovered certificates expiring]: 証明書の有効期限が近づいている場合に、120 日前から定期的にメールアラートを送信します。
注記
デフォルトで、これらの通知は Trust Lifecycle Manager アカウントのすべてのユーザーに送信されます。通知オプションをカスタマイズするには、通知タイプの名前を選択します。
次の手順
CertCentral アカウントが接続されたので、Trust Lifecycle Manager を使用して CertCentral から証明書を申請して管理し、システムとワークロードにデプロイすることができます。
Trust Lifecycle Manager で次に実行する手順の提案:
証明書プロファイルを作成して、新しい証明書を申請するためのポリシーを制定します。
自動化を設定して、サーバー、ネットワークアプライアンス、クラウドサービスに有効な証明書が常にインストールされるようにします。
コネクタタイプをさらに追加して、Trust Lifecycle Manager のインベントリとエコシステムの構築を続行します。
セルフサービス Web ポータルまたは DigiCert Trust Assistant デスクトップアプリを有効にして、エンドユーザーが各自の証明書を要求および管理できるようにします。