クイックスタート:Trust Lifecycle Manager の検出および自動化機能を有効にして、CertCentral と同様の構成にする
このガイドでは、DigiCert® Trust Lifecycle Manager でクラウドスキャン、プライベートネットワークスキャン(センサースキャン)、およびマネージド・オートメーション機能を有効にし、CertCentral と同様の検出機能および自動化機能を利用できるようにする方法を説明します。各機能について、Trust Lifecycle Manager での概要と、詳細な手順へのリンクを掲載しています。
始める前に
Trust Lifecycle Manager アカウントが必要で、プランは「Advanced」以上である必要があります。詳細はライセンスとプラン をご覧ください。
Trust Lifecycle Manager で「Manager」ロールのユーザーとして使用するDigiCertのログイン認証情報が必要です。
注記
Trust Lifecycle Manager アカウントの設定や確認についてサポートが必要な場合は、DigiCertのアカウント担当者までお問い合わせください。
注:CertCentralではDiscoveryおよびAutomationサービスのサポートを終了しますが、CertCentralアカウント自体は引き続き有効であり、すべての証明書およびCAリソースが保持されます。CertCentralにリンクすることで、Trust Lifecycle Manager からこれらのリソースにアクセスすることができます。
CertCentral アカウントを連携するには、Trust Lifecycle Managerにコネクタが必要です。コネクタは以下の通りです:
既存のCertCentral証明書をTrust Lifecycle Manager にインポートし、一元的な監視と管理を実現します。
Trust Lifecycle Manager の自動化ツールを使用して、CertCentral にあるDigiCertのパブリックCAから証明書を申請および発行できるようになります。
CertCentralアカウントからリソースが削除されることはなく、同アカウントでのリソース管理機能にも影響はありません。
重要
すでに有効なCertCentralコネクタをお持ちの場合は、新たに作成する必要はありません。複数のコネクタが必要となるのは、Trust Lifecycle Manager を通じてDigiCertのパブリック証明書を発行するチームが複数ある場合のみです。詳細については、【統合の計画】を参照してください。
Trust Lifecycle Manager でCertCentralコネクタを設定するには、以下のガイドを参照してください。
注:Trust Lifecycle Manager のWebサーバーで証明書の自動化を行う予定がない場合は、この手順をスキップできます。
CertCentral と同様に、Web サーバーアプリケーションのマネージド自動化には、各サーバーホストにローカルの DigiCert エージェントをインストールする必要があります。このエージェントを使用すると、Trust Lifecycle Manager Web コンソールまたはREST API から、各 Web サーバー上の証明書を安全に管理できます。
Trust Lifecycle Manager 用のDigiCertエージェントアプリケーションは、CertCentral とは異なりますが、これまでお使いのオプションをすべてサポートしています。
CertCentralでアクティブなエージェントを確認するには、「自動化の管理」ページにアクセスしてください。サービスの中断を防ぐため、CertCentral Discovery and Automationのサポート終了前に、アクティブなエージェントを新しいTrust Lifecycle Manager エージェントに置き換えてください。
重要
CertCentral によって管理されている既存のWebサーバーについては、同じサーバーに新しいTrust Lifecycle Manager エージェントをインストールする前に、CertCentral エージェントをアンインストールする必要があります。新しいエージェントの展開が完了すると、Trust Lifecycle Manager で、CertCentral で慣れ親しんだのと同じ管理自動化機能を利用できるようになります。
以下のガイドでは、CertCentral エージェントのアンインストールおよび新しいTrust Lifecycle Manager エージェントの展開について説明します。
ドキュメント | 説明 |
|---|---|
WebサーバーからCertCentral エージェントをアンインストールする方法。同じサーバーに新しいTrust Lifecycle Manager エージェントをインストールする前に、CertCentral エージェントをアンインストールする必要があります。 | |
Trust Lifecycle Manager のエージェントの展開、設定、および管理方法に関する詳細情報。 | |
各インストール時にユーザーの手動操作を必要とせずに、複数のTrust Lifecycle Manager エージェントを一度にインストールする方法。 |
注:ネットワークアプライアンスやクラウドサービス上でプライベートネットワークのスキャンを実行したり、証明書を自動化したりする予定がない場合は、この手順をスキップしてもかまいません。
CertCentral と同様に、プライベートネットワークのスキャンや、ネットワークアプライアンスおよびクラウドサービスの管理自動化を行うには、ネットワーク上に少なくとも1つのDigiCertセンサーをインストールする必要があります。このセンサーを使用することで、Trust Lifecycle Manager のWebコンソールまたはREST APIから、ネットワークを安全にスキャンし、各対象システムの証明書を管理することができます。
重要
CertCentralセンサーをアンインストールしない限り、Trust Lifecycle Manager センサーをCertCentral センサーと同じホストにインストールしないでください。CertCentral センサーをアンインストールすると、そのセンサーを使用しているCertCentral アカウント内のすべての検出および自動化アクティビティが無効になります。
以下のガイドでは、CertCentralセンサーのアンインストールおよび新しいTrust Lifecycle Manager センサーの導入方法について説明しています。
注:ネットワーク機器やクラウドサービスでの証明書管理を自動化しない場合は、この手順をスキップしてもかまいません。
Trust Lifecycle Manager では、管理対象のネットワークアプライアンスやクラウドサービスごとにコネクタが必要です。
このコネクタは、各ターゲットシステムを管理対象のエコシステムに組み込むための設定を行うWebフォームを提供する、あらかじめ構築済みの統合機能です。
コネクタを追加すると、ターゲットシステム上の既存の証明書が検出され、それらの証明書のライフサイクル管理を継続的に自動化できるようになります。
コネクタは、CertCentral のaddagentless utility を再現したものです。CertCentral で現在管理対象となっているターゲットシステムを確認するには、「自動化の管理」ページに移動してください。各ターゲットシステムを名前で選択して詳細を表示し、その情報を基にTrust Lifecycle Manager で対応するコネクタを設定できます。
Trust Lifecycle Manager では、管理対象となるアプライアンスやクラウドサービスの種類ごとに、さまざまなコネクタが用意されています。以下のガイドでは、これらのコネクタを追加する方法について説明しています。
ドキュメント | 説明 |
|---|---|
A10、Citrix ADC、F5 BIG-IP LTM などの専用ネットワークアプライアンスの検出と自動化を有効にするコネクタの追加方法。 | |
Amazon Web Services(AWS)やGoogle Cloud Platform(GCP)などのクラウドサービスに対して、検出と自動化を有効にするコネクタを追加する方法。 |
Trust Lifecycle Manager では、DNS 連携機能を使用して、パブリック TLS 証明書のドメイン所有権確認(DCV)を自動化できます。Trust Lifecycle Manager は 150 以上の異なる DNS プロバイダーに対応しており、それらをマネージド環境に統合するためのコネクタが用意されています。
ドキュメント | 説明 |
|---|---|
Trust Lifecycle Manager が、公開TLS証明書のドメイン所有権確認(DCV)を自動化するためにサポートするDNSプロバイダーの完全なリスト。 | |
Webサーバー(エージェントベース)、アプライアンス、またはクラウドサービス(センサーベース)にインストールされた証明書のドメイン所有権確認(DCV)を自動化するために、上記のDNSプロバイダーのいずれかにコネクタを追加する方法。 |
クラウドスキャンの設定は、Trust Lifecycle Manager の「Discovery & automation tools > Network scans 」メニューから利用でき、CertCentral でお馴染みの設定と同じものがサポートされています。設定方法については、以下のガイドを参照してください。
ドキュメント | 説明 |
|---|---|
Trust Lifecycle Manager でクラウドスキャンをすばやく設定するのに役立ちます。 | |
Trust Lifecycle Manager でのクラウドスキャンの有効化と管理、およびスキャン結果の確認方法について、より詳細な情報を提供します。 |
Trust Lifecycle Manager 用のDigiCertセンサーを展開したら、ネットワーク上で内部スキャンを設定する準備が整います。
Trust Lifecycle Manager の「Discovery & automation tools > Network scans 」メニューからセンサースキャン設定を利用でき、CertCentral でお馴染みの設定がそのまま利用可能です。設定方法については、以下のガイドを参照してください。
ドキュメント | 説明 |
|---|---|
Trust Lifecycle Manager で、センサーベースのネットワークスキャンをすばやく設定するのに役立ちます。 | |
Trust Lifecycle Manager でのセンサーベースのネットワークスキャンの有効化および管理方法、ならびにスキャン結果の確認方法について、より詳細な情報を提供します。 |
以下に要約したように、対象システムに必要なクライアントツールとコネクタの設定が完了すれば、Trust Lifecycle Manager の自動化機能を使用してそれらのシステムを管理できるようになります。
Webサーバー:各サーバーシステムにDigiCertエージェントをインストールする必要があります。
ネットワークアプライアンスおよびクラウドサービス:ネットワーク上に少なくとも1つのDigiCertセンサーをインストールし、各アプライアンスまたはクラウドサービスにコネクタを設定する必要があります。
注:エージェントとセンサーの両方でドメイン利用権確認(DCV)の検証プロセスを自動化するには、少なくとも1つのDNS統合が必要です。
Trust Lifecycle Managerは、 CertCentral で使い慣れたマネージド・オートメーション機能を同様にサポートしており、対象システムへの自動インストールを伴う証明書の登録、再発行、更新も行えます。CertCentralと同様に、Trust Lifecycle Managerでは、自動化プロファイルを使用して、発行する証明書の種類や登録方法(エージェントベースまたはセンサーベース)を定義します。
CertCentral で現在の自動化プロファイルを確認するには、「プロファイルの管理」ページにアクセスしてください。サービスの中断を防ぐため、CertCentral でアクティブな自動化プロファイルごとに、Trust Lifecycle Manager で代替プロファイルを作成してください。
Trust Lifecycle Manager で代替プロファイルを作成する際は、「
CertCentral」というラベルの付いた基本テンプレートを基にしてください。パブリック TLS 証明書については、「CertCentral Public Server Certificate」という基本テンプレートを使用してください。各代替プロファイルを作成した後、両システムで同じ証明書が自動更新されるといった自動化イベントの競合を防ぐため、CertCentral で元のプロファイルを削除してください。
Trust Lifecycle Manager でマネージド・オートメーション・ソリューションを設定するには、以下のガイドを参照してください。
ドキュメント | 説明 |
|---|---|
マネージド・オートメーション・ソリューションの設定に関するワークフロー全体の概要。 | |
Trust Lifecycle Manager で証明書ライフサイクル自動化のプロファイルを作成する方法。使用する証明書の種類や登録方法(エージェントベースかセンサーベースか)ごとに、異なるプロファイルが必要です。CertCentral アカウントから証明書を発行するには、「 | |
Trust Lifecycle Manager のWebコンソールから、さまざまな対象エンドポイントに対して、個別に、または一括で証明書のライフサイクル自動化を管理する方法について説明します。また、REST APIサービスを使用して、アカウント内の証明書のライフサイクル自動化イベントを管理することもできます。 |
Trust Lifecycle Managerをさらに活用する
注記
一部の機能については追加の設定が必要であり、現在ご利用のサブスクリプションプランではご利用いただけない場合があります。ご不明な点がございましたら、DigiCertのアカウント担当者までお問い合わせください。