DigiCert センサーのデプロイ - Docker
クイックスタートガイド PDF
はじめに
このガイドでは、Docker システムに DigiCert® センサーソフトウェアをインストールしてアクティブ化するのに必要な基本手順を説明します。
このセンサーは、DigiCert のネイティブゲートウェイアプリケーションであり、DigiCert® Trust Lifecycle Manager 向けのネットワークベースの統合、検出、プロキシ、および自動化サービスを実現できます。
Trust Lifecycle Manager に対して次の機能を有効にするには、少なくとも 1 つの DigiCert センサーがネットワークにインストールされている必要があります。
証明書ライフサイクルの管理: ネットワークアプライアンスとクラウドサービスにインストールされている証明書のライフサイクル管理を自動化します。
検出ネットワークスキャン: ネットワークをスキャンして、デジタルトラスト資産を検索し、これらの資産のセキュリティレーティングを算出します。
ネットワークベースの統合: 認証局(CA)、ヴォールトサービス、外部スキャンソリューションなどに接続します。
プロキシサーバー: DigiCert® エージェントとその他のクライアントが Trust Lifecycle Manager から証明書を要求するためのプロキシアクセスを有効にします。これには、フェイルオーバーサポート(複数のセンサーが必要)が組み込まれています。
セキュリティ上の理由で、このセンサーはオンプレミスにインストールします。このセンサーでは、アウトバウンドポート 443(HTTPS)経由で Trust Lifecycle Manager と同期するためにプル型コミュニケーションモデルが使用されます。
DigiCert は、Trust Lifecycle Manager を介して管理する必要のあるネットワークデバイスとネットワークサービスにアクセスできるネットワーク上の専用ホストにこのセンサーをインストールすることを推奨しています。
重要
複雑なネットワーク上で完全なカバーを実現するために、さまざまなネットワークセグメントと地理的位置に複数のセンサーをインストールすることが必要な場合があります。DigiCert エージェントとセンサーを同じホストにインストールしてはなりません。
DigiCert センサーの詳細については、 センサーを展開および管理する「」を参照してください。
開始する前に
このセンサーの Docker バージョンをインストールする前に、次の要件を確認してください。
システム要件
お使いの環境には、サポートされているオペレーティングシステムの少なくとも最小インストールが必要です。
プラットフォーム | サポートされている OS バージョン | 最小仕様 |
|---|---|---|
Docker |
|
|
ネットワーク要件
Trust Lifecycle Manager に接続する場合、このセンサーには、次のいずれかの地域で 2 つの DigiCert® ONE プラットフォーム URL 上の HTTPS(TCP ポート 443)へのアウトバウンドアクセスが必要です。
このセンサーには、プラットフォームアクセスだけでなく、次の DigiCert サービス URL 上の HTTPS(TCP ポート 443)へのアウトバウンドアクセスも必要です。
ループバックポート
このセンサーは、ローカルホスト上の次のループバックポートにバインドします。インストールしたセンサーのループバックポート番号を調整するには、このセンサーの config サブディレクトリ内の該当する設定ファイルを編集して、センサーサービスを再起動します。
ループバックポート | 説明 | センサー設定ファイル |
|---|---|---|
10323 | 一般的なループバック通信ポート。ポート 10323 が他のソフトウェアですでに使用されている場合、このセンサーは 10323~10373 の中から使用可能なポートに自動的にバインドします。このセンサーがバインドするポートを制御するには、指定された設定ファイルを更新します。 | cli.properties |
58080 | Trust Lifecycle Manager のネットワークベースの統合を管理するために使用されるプラグインマネージャープロセス用のローカル通信ポート。 | plugin.properties |
61616 | シンプル(またはストリーミング)テキスト指向メッセージングプロトコル(STOMP)用のローカル通信ポート。メインセンサープロセスとプラグインマネージャープロセス間のメッセージキューイングに使用されます。 | messaging.properties |
注記
ループバックポートには、ローカルファイアウォールに対するアクセスルールは必要ありません。
追加要件
センサーホストは、DNS またはローカル「hosts」ファイルのいずれかで独自の完全修飾ドメイン名(FQDN)を解決できる必要があります。
このセンサーは、証明書ライフサイクル自動化やネットワークスキャンでコネクタまたはターゲットを介して統合するシステムにアクセスできる必要があります。
このセンサーをネットワーク上で DigiCert® エージェントと他のホスト用のプロキシサーバーとして使用するには、センサーホストでプロキシリスニングポート(デフォルトポート 48999)上のインバウンドアクセスを許可する必要があります。詳細については、「センサーをプロキシサーバーとして使用する」を参照してください。
Docker 固有の考慮事項
次の考慮事項は、このセンサーの Docker バージョンにのみ適用されます。
Docker センサーコンテナは、デフォルトでブリッジネットワークを使用します。このため、Docker ネットワークはホスト上のブリッジインターフェイスに関連付けられます。また、これらのインターフェイス間のトラフィックをフィルタリングするためのファイアウォールルールも同時に関連付けられます。
同じ Docker ネットワークとホストブリッジインターフェイスを共有する Docker コンテナでも、ファイアウォールによって互いに分離されていますが、ブリッジネットワーク上で相互通信が可能です。
Docker インターフェイスのリストを表示するには、
docker network lsコマンドを実行します。Docker インターフェイスに関する情報を取得するには、
docker inspect <docker_container_ID> | grep sensorコマンドを実行します。
デプロイメントワークフロー
DigiCert センサーソフトウェアを Docker システムにデプロイするには、次のタスクを順番に実行します。
Trust Lifecycle Manager で Docker センサーソフトウェアをダウンロードするには、次の手順を実行します。
Trust Lifecycle Manager のメニューから[Discovery & automation tools > Client tools]を選択します。
[センサー - Docker インストーラ]を選択します。
右にあるダウンロードボタンを選択して、Docker 用の最新バージョンの DigiCert センサーインストーラをダウンロードします。開いたポップアップダイアログで、次の操作を実行します。
(オプション)このセンサーの割り当て先となる[事業部門]を選択します。ここで選択を行った場合は、その事業部門の管理者として割り当てられたユーザーしかこのセンサーを管理できません。
[ダウンロード]ボタンを選択して、Docker 用のセンサー設定ファイルをダウンロードします。このファイルの名前は docker-compose.yml です。
センサーソフトウェアを Docker システムにインストールするには、次の手順を実行します。
Docker センサーのインストール先のディレクトリを作成します。
ダウンロードした docker-compose.yml ファイルを、作成したセンサーインストールディレクトリにコピーします。
センサーインストールディレクトリに変更し、
docker-compose up -dコマンドを実行して、センサーコンテナを作成して起動します。
Trust Lifecycle Manager の Web コンソールに戻って、インストールしたセンサーが使用可能な状態にあることを確認します。
Trust Lifecycle Manager のメニューから[Discovery & automation tools > Sensors]を選択します。
インストールしたセンサーがここの表に表示されるはずです。
デフォルトで、[センサー名]は、センサーのアクティブ化に使用されたライセンスキーに設定されます。名前を変更するには、名前の横にある編集(鉛筆)アイコンを選択します。
[ステータス]列に、センサーの現在のステータスが表示されます。インストール済みで、使用できる状態にあるセンサーは[アクティブ]と表示されるはずです。
注記
センサーが表に表示されていないか、センサーのステータスが[アクティブ]と表示されていない場合は、「センサーをトラブルシューティングする」を参照して、トラブルシューティングのヘルプを確認してください。
センサーを使用して CA コネクタを設定する場合、デジサートは、そのセンサーのサーバー送信イベントを有効にすることを推奨します。この機能を使用すると、センサーはほぼリアルタイムで Trust Lifecycle Manager から指示を受け取れるため、統合された CA に対してワークフローを管理する能力と時間制約のある証明書要求を処理する能力が向上します。
Trust Lifecycle Manager の Web コンソールからセンサーのサーバー送信イベントを有効にするには、次の手順を実行します。
Trust Lifecycle Manager のメニューから[Discovery & automation tools > Sensors]を選択します。
センサーの名前を選択して、そのセンサーの詳細ページを表示します。
センサーの詳細ページで、右上にある編集(鉛筆)アイコンを選択して、センサー設定を編集します。
[高度な設定] で [サーバー送信イベントハートビートの有効化]チェックボックスをオンにします。
下にある[更新]ボタンを選択して、センサー設定に加えた変更を保存します。
DigiCert® センサーには、DigiCert® エージェントと他のクライアントが DigiCert® Trust Lifecycle Manager に接続して証明書を要求するためのプロキシサーバーが組み込まれています。
注記
複数の DigiCert センサーがインストールされていて、プロキシとして使用されているネットワークでは、DigiCert エージェントは、プライマリセンサーへの接続で問題が発生した場合に自動的にフェイルオーバーして別のセンサーを使用するように設計されています。
プロキシサーバー機能はデフォルトでセンサーに対して有効になっています。この機能には、ACME、EST、SCEP など、よく知られた証明書申請プロトコルに対応している透過的な HTTP プロキシが備わっています。
センサープロキシサーバーのデフォルト動作は次のとおりです。
TCP ポート 48999 をリスニングします。
digicert.com ドメインへのアウトバウンドプロキシアクセスを許可します。
ネットワーク上のホストがセンサープロキシサーバーを使用して Trust Lifecycle Manager に接続できるようにするには、ローカルファイアウォール上でセンサープロキシリスニングポート(デフォルトでは 48999)を開きます。
プロキシのリスニング IP アドレスとリスニングポートなど、センサープロキシサーバーをカスタマイズする方法の詳細詳細については、センサーをプロキシサーバーとして使用する「」を参照してください。
オンプレミスの DigiCert ONE ユーザー向けの追加設定
重要
このセクションは、組織が DigiCert ONE プラットフォームの組織独自のオンプレミスインスタンスを使用してプライベートトラスト証明書を発行する場合にのみ適用されます。
次の手順
ネットワーク上にアクティブな DigiCert センサーが配置されていると、Trust Lifecycle Manager のネットワークベースの統合、検出ツール、自動化ツールをフル活用できます。
ネットワークアプライアンスとクラウドサービスを接続し、これらにインストールされている証明書を検出して管理します。
認証局に接続し、証明書をさまざまなソースからインポートして発行します。
外部スキャンソリューションを接続して、Trust Lifecycle Manager で監視および管理できるデータをインポートします。
Azure Key Vault に接続し、証明書をインポートして Azure クラウド内のヴォールトに配信します。
Trust Lifecycle Manager で管理できるネットワーク全体から追加証明書とデジタルトラスト資産を検索するようにネットワークスキャンを設定します。