セルフサービスポータル

エンドユーザーは、DigiCert® Trust Lifecycle Manager のセルフサービスポータルを使用して、 Web ブラウザから独自の証明書をダウンロード、管理、申請できます。

セルフサービスポータルを有効にすると、ユーザーが自力で対処できるようになるため、管理者とサポートチームの負担が軽減されます。

証明書のタイプ

セルフサービスポータルから次の証明書タイプにアクセスできます。

［Enable self-service portal］オプションが有効になっている証明書プロファイルと DigiCert® Private CA または CertCentral の発行 CA から Trust Lifecycle Manager を介して発行された証明書。
外部ソースから検出された証明書または外部ソースから Trust Lifecycle Manager にインポートされた証明書。セルフサービスポータル設定を使用すると、これらの証明書をエンドユーザーに公開するかどうかを制御できます。

ポータルタイプ

Trust Lifecycle Manager には、2 種類のポータルが用意されています。セルフサービスポータル設定で、次のポータルの一方または両方を有効にすることができます。

オープンポータル: ユーザーを認証せず、限られた一連のセルフサービスアクションのみ実行できます。
認証済みポータル: SAML を介してユーザーを認証し、ユーザーの ID を確認した後で、より広範なセルフサービス管理アクションを実行できます。

これらのポータルタイプのいずれかを有効にすると、ポータルにアクセスする必要のあるエンドユーザーと共有するための一意のポータル URL と QR コードがシステムで生成されます。

実行可能なセルフサービスアクション

実行可能なセルフサービスアクションは、ポータルのタイプによって異なります。ポータルの設定時に、実行できるアクションを選択します。

注記

検出/インポートされた証明書と Trust Lifecycle Manager を介して発行された証明書に対して別々のセルフサービス管理操作を実行できます。Trust Lifecycle Manager を介して発行された証明書の場合は、証明書プロファイルごとに異なる管理操作を実行できます。

オープンポータル

オープンポータルでは、ユーザーが認証されず、次のセルフサービスアクションのみ実行できます。

アクション	説明
検索	既存の証明書を検索します。ユーザーは、コモンネーム、メールアドレス、またはシリアル番号を正確に把握しておく必要があります。
ダウンロード	検索に成功した後または新しい申請の後で証明書をダウンロードします。
失効	既存の証明書の失効を要求します。この要求は、証明書の `SubjectDN:email` または `SAN:rfc822Name` フィールドに含まれるメールアドレスに送信され、失効プロセスを確認して完了するためのリンクも添付されます。注: この機能を有効にする際には、他のユーザーのメールアカウントにアクセスできる場合に、そのユーザーの証明書を失効させてしまうリスクがあることを十分に理解してください。

アクション

説明

検索

既存の証明書を検索します。ユーザーは、コモンネーム、メールアドレス、またはシリアル番号を正確に把握しておく必要があります。

ダウンロード

検索に成功した後または新しい申請の後で証明書をダウンロードします。

失効

既存の証明書の失効を要求します。この要求は、証明書の SubjectDN:email または SAN:rfc822Name フィールドに含まれるメールアドレスに送信され、失効プロセスを確認して完了するためのリンクも添付されます。

注: この機能を有効にする際には、他のユーザーのメールアカウントにアクセスできる場合に、そのユーザーの証明書を失効させてしまうリスクがあることを十分に理解してください。

認証済みポータル

認証済みポータルは SAML を介してユーザーの ID を確認します。認証されると、ユーザーは、次のいずれかの条件を満たしている証明書にアクセスして管理できるようになります。

証明書一致条件	検索方法
`SAML IdP` 認証方法を使用していて、ユーザーの SAML NameID からアクセスできるように設定された証明書プロファイルから発行されている。	これらの証明書は、ユーザーが認証済みポータルにログインした時点で自動的に読み込まれます。これらの証明書を検索するには、ポータルページに入力されたユーザー ID を使用します。
Trust Lifecycle Manager の証明書要求者フィールドがユーザーの SAML NameID と一致している。	一致する証明書を検索するには、ポータルページに入力されたメールアドレスを使用します。
証明書の `SubjectDN:email` または `SAN:rfc822Name` フィールドにユーザーの SAML NameID が入力されている。	一致する証明書を検索するには、ポータルページに入力されたメールアドレスを使用します。

アクセス可能な証明書を表示した後、認証済みユーザーは、次のセルフサービスアクションを実行して証明書を管理できます。

アクション	説明
更新	有効期限が近づいていて、更新期間内にある証明書を更新します。
失効	証明書を永続的に失効させます。
停止/再開	証明書を一時的に停止させるか、停止した証明書を再開します。
キーリカバリ	預託を有効にして証明書とキーをリカバリします。検出またはインポートされた証明書では、証明書が PKCS12 形式でアップロードされた場合にのみ、キーリカバリが実行されます。 Trust Lifecycle Manager を介して発行された証明書では、`DigiCert cloud key escrow` オプションが有効になっている証明書プロファイルから発行された S/MIME 証明書の場合にのみ、キーリカバリが実行されます。
証明書所有者の管理	証明書に関するメール通知を受け取る割り当て済みの証明書所有者のリストを更新します。

認証済みユーザーは、次のセルフサービスアクションを実行して、新しい証明書を要求することもできます。

アクション	説明
申請	セルフサービスポータルオプションが有効になっていて、次の条件を満たしている証明書プロファイルから新しい証明書を申請します。 DigiCert® Private CA または CertCentral の発行 CA。 Web ベースの申請方法（`Browser PKCS12`、`CSR`、または `DigiCert Trust Assistant`）。認証方法が `Manual Approval` または `SAML IdP` である。
取得	管理者の承認を得た後で新しい証明書を取得します。
キャンセル	承認された証明書要求の取得をキャンセルします。

セルフサービスポータルへのアクセスの有効化

下記の各手順に従って、オープンセルフサービスポータルまたは認証済みセルフサービスポータルを有効にします。

開始する前に

Trust Lifecycle Manager のセルフサービスポータル機能を自分のアカウントに対して有効にする必要があります。この機能を検証または有効化する場合は、デジサートのアカウント担当者にお問い合わせください。
セルフサービスポータルを設定するには、Trust Lifecycle Manager の SSP マネージャーユーザーロールまたは SSP Portal config 権限のあるカスタムユーザーロールが必要です。詳細については、「ユーザーと権限」を参照してください。

オープンポータルの有効化

Trust Lifecycle Manager のメインメニューから［Account > Settings > Self-service portal］を選択します。
セルフサービスポータルが自分のアカウントに対してまだ有効になっていない場合は、この機能に関する基本的な概要ページが表示されます。セルフサービスポータルの設定手順に進むには、［設定の開始］ボタンを選択します。
いずれかのポータルがすでに有効になっている場合は、代わりに詳細ページが表示されます。設定を更新するには、編集（鉛筆）アイコンを選択します。
［オープンポータル］タブで、［オープンポータルの有効化］オプションが選択されていることを確認します。
［ディスカバリー/インポート証明書］ で、検出された証明書または Trust Lifecycle Manager にインポートされた証明書を可視化するかどうかを選択します。このオプションを有効にした場合は、ユーザーがオープンポータルからこれらの証明書の失効を要求できるようにするかどうかも選択します。
［ポータル対応の証明書プロファイル］セクションには、［Enable self-service portal］オプションが有効になっている適切な証明書プロファイルが一覧表示されます。これらのプロファイルから発行された証明書は、オープンポータルで常に表示されます。
- ［可能な操作］ 列には、オープンポータルから各証明書プロファイルに対して実行できる操作が表示されます。可能な操作は、セルフサービスポータル設定またはプロファイル構成ウィザードのどちらでも管理できます。
- 編集（鉛筆）アイコンを使用して、特定のプロファイルから発行された証明書に対する可能な操作を更新します。ユーザーがオープンポータルから証明書の失効を要求できるようにするには、該当する証明書プロファイルに対して［失効］操作を有効にします。
画面の一番下にある［保存］ボタンを選択して、変更を保存します。
詳細ページで、該当するオープンポータルのポータル URL または QR コードをコピーします。コピーした内容をエンドユーザーに提供すると、エンドユーザーは設定済みのオプションを使用してオープンポータルにアクセスできるようになります。

認証済みポータルの有効化

Trust Lifecycle Manager のメインメニューから［Account > Settings > Self-service portal］を選択します。
セルフサービスポータルが自分のアカウントに対してまだ有効になっていない場合は、この機能に関する基本的な概要ページが表示されます。セルフサービスポータルの設定手順に進むには、［設定の開始］ボタンを選択します。
いずれかのポータルがすでに有効になっている場合は、代わりに詳細ページが表示されます。設定を更新するには、編集（鉛筆）アイコンを選択します。
［認証済みポータル］タブで、［認証するポータルの有効化］オプションが選択されていることを確認します。
［SAML authentication］セクションで SAML ID プロバイダ（IdP）の詳細を追加します。Trust Lifecycle Manager では、これらのパラメータを使用して、セルフサービスポータルにアクセスしようとするユーザーを認証します。
次の 2 つの方法のいずれかで SAML IdP の詳細を設定できます。
- 動的設定（推奨）: SAML IdP から XML メタデータファイルをダウンロードし、そのファイルを使用して、指定の領域に XML ファイルをアップロードし、解析後の値を検証し、必要に応じて変更を加えることで、セルフサービスポータルを動的に設定します。
- 手動設定: シングルサインオン認証 URL、Issuer フィールド識別子、IdP 証明書などの IdP パラメータを手動で入力します。
署名オプション: SAML IdP との通信時に Trust Lifecycle Manager が独自の証明書で署名する必要のある SAML メッセージのタイプを選択します。
注記
Trust Lifecycle Manager は、セルフサービスポータルのユーザーを認証する際に SAML サービスプロバイダー（SP）の役割を果たします。IdP でサポートされていて、IdP が SP に期待する署名オプションを確認するには、IdP の文書を参照してください。
ディスカバリー/インポート証明書: 検出された証明書または Trust Lifecycle Manager にインポートされた証明書を可視化するかどうかを選択します。このオプションを有効にした場合は、ユーザーが認証済みポータルからこれらの証明書に対して実行できるセルフサービス操作も選択します。
タブの表示の管理: 認証済みポータルに次のタブ/セクションを含めるかどうかを選択します。
- 証明書要求: エンドユーザーがセルフサービスアクセスに対応しているプロファイルから新しい証明書を申請できるようにします。
- 要求の管理: エンドユーザーが申請を管理し、セルフサービスポータルを介して要求された新しい証明書をダウンロードできるようにします。
  注記
  ［Enable self-service portal］オプションが有効になっている証明書プロファイルが存在しない場合またはユーザーがセルフサービスポータルから新しい証明書を申請するのを防止したい場合は、これらのタブを安全に無効にすることができます。
［ポータル対応の証明書プロファイル］セクションには、［Enable self-service portal］オプションが有効になっている適切な証明書プロファイルが一覧表示されます。これらのプロファイルから発行された証明書は、認証済みポータルで常に表示されます。
- ［可能な操作］列には、認証済みポータルから各証明書プロファイルに対して実行できる操作が表示されます。可能な操作は、セルフサービスポータル設定またはプロファイル構成ウィザードのどちらでも管理できます。
- 編集（鉛筆）アイコンを使用して、特定のプロファイルから発行された証明書に対する可能な操作を更新します。
- ［属性］列では、Manual Approval または SAML IdP 認証を使用するプロファイルの SAML 属性を 1 つ以上定義できます。これらの属性によって、セルフサービスポータルの［証明書要求］ページで証明書申請プロセスを開始する際にユーザーが表示できるプロファイルが決まります。複数の属性値が定義されている場合、これらの値は OR 条件で評価されます。セルフサービスポータルでプロファイルに対して定義されたキー/値ペアは、ID プロバイダ（IdP）からの SAML 応答で受け取った対応する属性のキー/値ペアと一致する必要があります。このマッピングにより、ユーザーは各自の SAML 属性に対応するプロファイルにしかアクセスできなくなります。
画面の一番下にある［保存］ボタンを選択して、変更を保存します。
詳細ページで、該当する認証済みポータルのポータル URL または QR コードをコピーします。コピーした内容をエンドユーザーに提供すると、エンドユーザーは設定済みのオプションを使用して認証済みポータルにアクセスできるようになります。

ポータルへのアクセスの無効化または再度有効化

セルフサービスポータル設定を編集して、オープンポータルまたは認証済みポータルへのアクセスを無効にするか、再度有効にします。

Trust Lifecycle Manager のメインメニューから［Account > Settings > Self-service portal］を選択します。
右にある編集（鉛筆）アイコンを選択します。
アクセスを無効にする場合は、［オープンポータルの有効化］または［認証済みポータルの有効化］オプションを選択解除し、アクセスを再度有効にする場合は、該当するオプションを選択します。
［保存］ボタンを選択して、変更を適用します。

セルフサービスポータル設定の検証

ポータルの詳細を検証するには、Trust Lifecycle Manager のメインメニューから［Account > Settings > Self-service portal］を選択します。

［オープンポータル］タブと［認証済みポータル］タブを使用して、2 つのポータルタイプの現在の設定を確認します。

［Enabled］フィールドには、各ポータルタイプが有効になっているかどうかが表示されます。
有効になっている場合は、そのポータルへのアクセスに使用されるポータル URL と QR コードが表示され、そのポータルの現在の設定オプションも示されます。
一番下にあるプロファイル表には、セルフサービスポータルが有効になっている適切な証明書プロファイルが一覧表示されます。認証済みポータルの場合は、［申請 URL］列に、プロファイルから新しい証明書を申請するための URL が表示されます（申請操作が許可されている場合）。申請 URL は、プロファイル詳細ページにも表示されます。

ブランディングをセルフサービスポータルに追加

［Account > Settings > Branding］に移動して、セルフサービスポータルのカスタムブランディングを設定します。

詳細については、「ブランディング」を参照してください。

次の手順

エンドユーザーの観点から見たセルフサービスポータルの機能の詳細については、「Web セルフサービスオプション」を参照してください。

このセクションの内容: