証明書自動化プロファイルを作成する

DigiCert® Trust Lifecycle Manager Web コンソールから直接 F5 BIG-IP LTM の証明書ライフサイクルを管理および自動化することができます。Trust Lifecycle Manager は証明書発行および更新要求に対応し、発行された証明書を F5 仮想 IP にインストールします。

開始するには、Trust Lifecycle Manager に証明書自動化プロファイルを作成して、どの発行 CAを使用して、どのタイプの証明書を発行するかを指定します。

証明書自動化プロファイルの概要

証明書自動化プロファイルでは、DigiCert® Trust Lifecycle Manager の自動化サービスを使用して発行・管理できる特定種類の証明書を定義します。証明書プロファイルごとに、次のようなオプションを定義します。

発行 CA
登録方法
鍵のアルゴリズムとサイズ
サポートされる証明書フィールド

Trust Lifecycle Manager で自動化したい各種の証明書ごとに異なるプロファイルを作成します。

注記

Trust Lifecycle Manager の各証明書プロファイルには、単一の発行 CA と、発行可能な証明書のタイプが定義されます。証明書プロファイルを使用すると、F5 BIG-IP LTM などのネットワークアプライアンスや、Trust Lifecycle Manager アカウントに接続されたクラウドサービスといったさまざまなシステムにまたがって、そのタイプの証明書を要求したり管理したりできます。

プロファイル作成ワークフロー

次のワークフローステップに従って、Trust Lifecycle Manager に新規の証明書プロファイルを作成します。

Trust Lifecycle Manager で、［Policies > Certificate profiles］を選択します。
ボタンを選択して［テンプレートからプロファイルを作成］します。
使用可能なベーステンプレートを選択して、新規のプロファイルを作成します。テンプレートの選択は次に依存します。
- 証明書の発行元の CA。DigiCert Private CA の外部で CA を発行するには、CA コネクタが必要です。
- 保護するエンドエンティティのタイプや証明書の登録および展開方法といった、証明書のユースケース。
このプロファイルから証明書をどのように発行し管理するかについてのオプションを選択して、プロファイル作成ウィザードを進めます。
［次へ］を選択して次の画面に移動するか、［戻る］を選択して 1 つ前の画面に戻り、自分の選択を確認するか変更します。
最後の画面で、［作成］を選択して、新規の証明書プロファイルの作成を完了します。

F5 アプライアンスに固有のプロファイルオプションについては、次のセクションを確認してください。

使用可能なベーステンプレート

Trust Lifecycle Manager に証明書プロファイルを作成するには、ベーステンプレートから始めて、組織のデジタルトラストに対するニーズに応じてカスタマイズします。使用可能なテンプレートを次表に示します。

テンプレート名	トラストタイプ	発行 CA	CA コネクタ
`AWS CA Private Server Certificate`	プライベート	AWS プライベート CA	AWS プライベート CA
`CA Manager Private Server Certificate`	プライベート	DigiCert® Private CA	該当なし
`CertCentral Private Server Certificate`	プライベート	DigiCert CertCentral®	CertCentral
`CertCentral Public Server Certificate`	パブリック	DigiCert CertCentral®	CertCentral
`Let's Encrypt Public Server Certificate`	パブリック	Let's Encrypt	Let's Encrypt
`Microsoft CA Private Server Certificate`	プライベート	Microsoft	Microsoft CA
`Sectigo Public CA Server Certificate`	パブリック	Sectigo	Sectigo

申請方法

F5 アプライアンスの証明書を管理するには、各証明書プロファイルに対して次の申請方法を選択するようにします。

申請方法	説明
`DigiCert sensor`	DigiCert のセンサーを使用して証明書を要求および管理します。F5 コネクタの追加に使用するのと同じセンサーが接続されたアプライアンスで証明書を管理します。センサーは証明書申請プロセスを調整し、結果の証明書を F5 BIG-IP LTM のターゲットのエンドポイントにインストールします。

自動更新

自動更新オプションを有効にすると、機能停止を防ぎ、有効な証明書が常にシステムにインストールされていることを保証できます。

有効期限の何日前に更新要求を送信するかを指定しておけば、その時点で Trust Lifecycle Manager が各証明書を自動的に更新し、インストール先に展開します。

自動更新は、プロファイル設定ウィザードの［証明書オプション］>［更新オプション］セクションで有効化します。自動更新は、次のようにスケジュールを設定できます。

証明書有効期限の 30 日前: これがデフォルトのオプションです。
カスタムスケジュール: 証明書更新の有効期限までの日数と、要求を送信する具体的な時刻を指定します。

通知

アカウント全体の通知に加えて、特定の証明書プロファイルから発行された証明書の通知を有効にできます。

プロファイル固有の通知を有効化するには、プロファイル設定ウィザードの［追加オプション］ > ［電子メール設定および通知］セクションで選択を行います。

このプロファイルの通知を送信する相手（要求者や他の受信者）を選択します。他の受信者の場合は、メールアドレスを入力します。
カスタム通知を使用する自動化イベントについて、［カスタムテンプレートの使用］オプションを有効にします。
このプロファイルから発行される証明書イベントの通知オプションを、次のようにカスタマイズします。
1. 通知のメール件名または本文を編集します。
2. ［電子メール通知を送信］チェックボックスを使用して、イベント通知のオン/オフを切り替えます。
3. 更新イベントの場合は、［更新オプション］の下にある追加チェックボックスを使用して、いつ通知を送信するかを設定します。

次の手順

1 つ以上のプロファイルができたら、Trust Lifecycle Manager を使用して、F5 BIG-IP LTM アプライアンスにインストールされた証明書の管理を自動化できます。

このセクションの内容: