AWS-ACM Certificate Managerとの統合

これで、PAM360は、AWS Certificate Manager (ACM) — SSL Certificate Managerおよびプライベート認証局と統合します。この統合では、AWS-ACMからPAM360に証明書を要求および取得できます。また、PAM360からAWS-ACMリポジトリに証明書を展開することができます。

証明書要求を自動更新し、ACMが発行および管理するSSL/TLS証明書のエンド・ツー・エンドライフサイクル管理を、PAM360 Webインターフェイスから直接、自動化できます。

  1. PAM360 – AWS-ACM統合はどのようなしくみですか?
  2. AWS-ACM証明書検出
  3. 証明書のAWS-ACMへの展開
  4. AWS-ACMから証明書の要求
  5. ドメインの検証、証明書の発行、および展開
  6. 証明書の秘密鍵の更新、取り消し、削除および取り込み

1.PAM360 – AWS-ACM統合はどのようなしくみですか?

PAM360の証明書検出機能により、AWS-ACM証明書をPAM360リポジトリにインポートします。検出が完了すると、PAM360は、AWSタグのすべてのリージョンに展開されているAWS証明書を表示します。AWSのサポートされているリージョンについての詳細は、ここをクリックしてください。

AWS-ACMの証明書には2種類あります:パブリックとプライベート証明書。AWS-ACMでは、パブリック証明書(ACM提供)または ACMにインポートされた証明書を使用できます。ACMプライベートCAを使ってCAを作成する場合、 ACMは、証明書を発行し、そのプライベートCAから証明書を更新を自動化できます。

PAM360では、新しい証明書を作成し、製品中で管理できます。AWS-ACMは、新しい証明書の作成をサポートしていません。ただし、証明書をPAM360からAWS-ACMに作成、要求およびインポートでき、AWS 管理コンソールから管理できます。証明書のAWS-ACMへのインポートについての詳細は、ここをクリックしてください。

前提条件

  1. AWS-ACM統合を実行するには、管理者はAWS-ACMに以下のユーザーロール許可が必要です:AWSCertificateManagerFullAccess - このポリシーで、すべてのACM操作とリソースにフルアクセスできます。AWSのユーザーロールポリシーについての詳細は、ここをクリックしてください。
  2. この統合には、API AccessKeySecretKeyが必要です。これらの認証情報は、AWS証明書検出を実行してAWS-ACM証明書をPAM360にインポートするのにも必要です。


2.AWS-ACM証明書検出

PAM360を使用すると、次のAmazon WebサービスでホストされているSSL証明書の有効期限通知を検出、インポート、および構成できます:AWS Certificate Manager(ACM)およびAWS Identity and Access Management(IAM)。AWS-ACM証明書の検出方法についての詳細な手順は、ここをクリックしてください。

メモ:PAM360ビルド6200の前に追加されたAWS証明書で操作を実行すると、PAM360は、操作の再検出を自動的に実行し、 テーブルのデータを再入力して、Amazonリソース名(ARN) IDを取得します。自動検出が行われるのは、PAM360ビルド6200 以降のみですので、注意してください。

[証明書] >> [AWS]タブで、Amazonから要求されたパブリック証明書には、Amazon発行済のマークが付き、プライベート証明書には、PAM360からAWS-ACMにインポートされるプラべートと証明書には、インポート済のマークが付きます。

3.証明書のAWS-ACMへの展開

PAM360のAWS-ACMとの統合により、証明書をAWS-ACMに展開し、そのコンソールから管理することができます。証明書をAWS-ACMに展開するには、下の手順に従います:

  1. [証明書] >> [証明書]の順に移動します。
  2. 必要なAWS証明書を選択し、トップメニューから[展開] >> [AWS-ACM]とクリックします。
  3. 表示されるダイアログボックスで、以下の属性を選択します:
    1. ドロップダウンからAWS認証情報
    2. チェックボックスを使って、1つ以上のリージョンを選択します。

証明書は、秘密鍵が利用できるサポートされている所定リージョンのすべてに展開できます。

aws-acm

ACMで同じ証明書が見つかった場合は展開して置き換えます:重複していることが分かり、ACMの証明書を展開後で置き換える場合は、このオプションを選択します。

更新時に証明書をACMに自動的に再展開します:このオプションを選択して、PAM360とAWS-ACMの証明書が常に同期されるように、更新されるごとに、証明書をACMに自動的に再展開します。

展開した証明書で不一致がある場合、PAM360のAWSタブに赤色でマークされます。

4.AWS-ACMから証明書の要求

PAM360では、AWS-ACMからパブリックとプライベート証明書の両方を要求でき、PAM360インターフェイスから管理できます。

4.1 パブリック証明書を要求

  1. [証明書] >> [AWS]の順に移動します。
  2. [証明書を要求]ドロップダウンをクリックして、[パブリック証明書]をクリックします。
    aws-acm

開いたページで、以下の属性を入力します:

  1. AWS認証情報をドロップダウンから選択します。
  2. ドメイン名SANを入力します。.
  3. 検証の種類を選択:メールまたはDNS.
  4. ドロップダウンから[リージョン]を選択します。

次に、[証明書を要求]をクリックします。入力した認証情報と一致する証明書がPAM360にインポートされます。AWS-ACMのパブリック証明書には秘密鍵がありませんので、注意してください。

4.2 プライベート証明書を要求

  1. [証明書] >> [AWS]の順に移動します。
  2. [証明書を要求]ドロップダウンをクリックして、[プライベート証明書]をクリックします。
    aws-acm

開いたページで、以下の属性を入力します:

  1. AWS認証情報をドロップダウンから選択します。
  2. ドロップダウンから[ACMプライベートCA]を選択します。
  3. ドメイン名SANを入力します。.

次に、[証明書を要求]をクリックします。要求された証明書が発行され、検証時にリポジトリに追加されます。

4.3 要求ステータス

証明書をAWS-ACMから要求したら、トップメニューから[要求ステータス]オプションをクリックし、証明書のステータスを表示および検証します。

このページで、プライベートとパブリック証明書の両方の要求、更新、およびドメイン検証ステータスを表示できます。証明書要求が作成されたら、証明書のステータスがこのテーブルに検証保留中/チャレンジを展開/レコードを同期と表示されます。

aws-acm

DNSベースのチャレンジ検証を構成した場合、ステータスをクリックして、チャレンジを展開します。ステータスがチャレンジを展開に変更され、検証プロセスが開始されます。

完了したら、ステータスは発行済に変更されます。

5.ドメインの検証、証明書の発行、および展開

証明局がオーダーを受け取ったら、ドメイン制御検証(DCV)と呼ばれるプロセスを実行し、完了時に証明書を受け取るドメインの所有権を証明する必要があります。PAM360は、2つの検証方法をすべてサポートしています:

  1. メール検証
  2. DNS検証

5.1 メール検証

  1. メールベースのドメイン制御検証では、認証局は、証明書のオーダー時に指定された承認者のメールIDに確認電子メールを送信します。
  2. このメールでは、検証手順を完了するために実行する必要のある手順について説明します。検証オプションに進み、メールから検証します。要求ステータスに進み、保留中の検証をクリックして、証明書を取得します。
  3. 手順が完了したら、PAM360 Serverに移動し、AWSタブに切り替えます。
  4. 検証が成功すると、認証局は証明書を発行します。証明書は取り込まれ、PAM360のセキュアリポジトリに追加されます。証明書には、[証明書] >> [証明書]タブからアクセスできます。

    5. 証明書の展開についての詳細は、こちらをクリックしてください。

5.2 DNS検証

DNSの与えられた詳細でパブリック証明書をオーダーするときDNS検証を選択した場合::

  1. 要求ステータスページに進み、[チャレンジを展開]オプションをクリックして、DNSレコードを作成します。
    aws-acm
  2. DNSチャレンジ値とテキストレコードは、上の操作の後、対応するDNSサーバーに自動的に展開されます。
  3. DNS検証に成功すると、認証局は証明書を発行します。
    aws-acm
  4. 証明書が発行されたら、ステータスはそれにしたがって変更され、証明書には[証明書] >> [証明書]タブからアクセスできます。

DNS詳細なしでパブリック証明書をオーダーするときにDNS検証を選択した場合:

  1. 要求ステータスページに進み、[レコードを同期化]オプションをクリックして、DNSレコードを作成します。
    aws-acm
  2. DNSチャレンジ値とテキストレコードがポップアップに表示されます。テキストレコードを手動でコピーして、ドメインサーバーに手動で貼り付けます。
    aws-acm
  3. その特定オーダーについて、要求ステータスのボタンをクリックして、オーダーの現在のステータスを同期できます。
  4. DNS検証に成功すると、認証局は証明書を発行し、証明書には [証明書] >> [証明書]タブでアクセスできます。


6.証明書の秘密鍵の更新、取り消し、削除および取り込み

PAM360で、プライベート証明書を更新できます。証明書更新をPAM360から要求された場合、AWS-ACMから更新証明書が取り込まれます。ただし、証明書をAWS-ACMで更新する場合、PAM360では自動的に更新されません。不一致を修正するには、PAM360で証明書を再検出し、データを再入力します。

aws-acm

6.1 証明書の更新

  1. [証明書] >> [AWS]の順に移動します。
  2. 必要なオーダーを選択し、トップメニューから[証明書を更新]をクリックします。
  3. 必要に応じて、ドメイン検証手順を完了します。
  4. 検証に成功すると、証明書が発行され、[証明書] >> [AWS]タブで新しいバージョンが自動的に更新されます。

ここに記載の基準のすべてを満たす証明書のみ更新されますので、注意してください。証明書更新についてのAWS適格基準についての詳細は、ここをクリックしてください。

6.2 証明書要求の取消

  1. [証明書] >> [AWS]の順に移動します。
  2. 取消が必要な証明書を選択し、[詳細] >> [証明書を取り消す]をクリックします。

取消オプションはAWS-ACMの証明書にのみ適用されるので、注意してください。

証明書要求を取り消すと、証明書エントリがPAM360のみから削除されます。

6.3 秘密鍵の取り込み

プライベート証明書の秘密鍵を取り込むには、下の手順に従います:

  1. [証明書] >> [AWS]の順に移動します。
  2. 必要なプライベート証明書を選択し、トップメニューから[秘密鍵を取り込む]をクリックします。

この操作では、選択したプライベート証明書の秘密鍵をAWS-ACMから取り込みます。これは有料オプションのため、AWS-ACMライセンスにつき費用が発生する場合がありますので、注意してください。

6.4 証明書のPAM360インターフェイスからの削除

  1. [証明書] >> [AWS]の順に移動します。
  2. 必要な証明書を選択し、トップメニューから[詳細] >>[削除]をクリックします。
  3. 証明書要求はAWSタブから削除されます。

削除オプションを使うと、証明書がPAM360インターフェイスから削除され、本製品から管理することが出来なくなりますので、注意してください。ただし、AWS-ACMから証明書は削除されません - 証明書はまだAWSコンソールから表示および管理できます。