Buypass Go SSLとの統合

PAM360は、Buypass Go SSL(自動証明書管理環境(ACME)プロトコルを使用して安全なSSL証明書を無料で提供する認証局(CA))との統合を容易にします。このBuypass Go SSLとの統合により、ドメインにインストールされたBuypass Go SSL証明書のエンドツーエンドのライフサイクル管理を単一のインターフェイスから実現できます。このドキュメントでは、Buypass Go SSLアカウントとの接続を確立し、PAM360からすべての証明書管理関連の操作を取得、展開、更新、および実行するために従う必要のある手順について説明します。

統合を続行する前に、前提条件として次の手順を完了してください:

前提条件

PAM360がBuypass Go SSLのCAサービスに接続できるように、ファイアウォールまたはプロキシに例外として次のベースURLとポートを追加します。
本番URL:https://api.buypass.com/acme/directory 

ステージングURL: https://api.test4.buypass.no/acme/directory

ポート:443

以下の手順ごとの手続きに従って、Buypass Go SSLをPAM360と統合します:

1.Buypass Go SSLアカウントを作成する

Buypass Go SSLからSSL証明書を要求するプロセスを開始するには、アカウントを作成する必要があります。これは1回限りのプロセスであり、PAM360インターフェイスから直接実行できます。

    1. Buypass Go SSLアカウントを作成するには、[証明書]タブに移動し、[ACME]ドロップダウンをクリックして、[Buypass Go SSL]を選択します。
    2. [管理]をクリックします。[アカウント]タブで、[新規登録]をクリックします。
    3. ポップアップで、アカウント名と有効な電子メールアドレスを入力します。要件に基づいて、本番またはステージングを選択します。
    4. チェックボックスをクリックして、Buypass Go SSLサブスクライバー契約に同意します。
    5. [登録]をクリックします。これで、Buypass Go SSLのアカウントが作成されました。

アカウントが作成されたら、アカウントの電子メールアドレスを更新するか、PAM360から削除するか、アカウントを完全に無効にすることができます。アカウントを削除すると、PAM360からのみ削除されることに注意してください。ここでアカウントを削除しても、Buypass Go SSLポータルで引き続きアクティブになります。同じアカウントをPAM360に再度追加するには、キーをエクスポートし、以前と同じ詳細で[アカウントの追加]オプションを使用します。

ただし、アカウントの削除中に[非アクティブ化]オプションを選択すると、Buypass Go SSLアカウントは完全に削除され、同じ詳細でPAM360に再度追加することはできません。

    注記:

    1. 上記の操作を実行できるのは、「SSHキーと証明書」ユーザー役割で「ACME」役割が割り当てられているユーザーのみです。このユーザー役割をアクティブ化するには、[管理] >> [カスタマイズ] >> [役割]に移動します。
    2. PAM360から作成できるBuypass Go SSLアカウントは1つだけです。
buypass

2.証明書要求を提起

Buypass Go SSLアカウントが登録されると、CAへの証明書要求の発行に進むことができます。証明書の要求を完了するには、ドメインを検証して要求した証明書を発行するために実行するチャレンジ検証が表示されます。

    1. [証明書] >> [Acme] >> [Buypass Go SSL]に移動します。
    2. [証明書の要求]をクリックします。ドメイン名を入力し、チャレンジタイプを選択し、キーアルゴリズム、アルゴリズムの長さ、署名アルゴリズム、キーストアタイプを選択し、キーストアパスワードを入力して、[作成]をクリックします。
    3. dns-01チャレンジタイプの場合、DNS認証情報を既に構成している場合は、ドロップダウンからDNSアカウントを選択して割り当てることができます。これは、要求で指定されたすべてのドメインの自動チャレンジ検証に使用されます。
    4. また、証明書が更新されるごとに秘密鍵を変更するオプションがあります。
    5. キーを変更する必要がある場合は、新しいキーを使用してください。このオプションは、証明書が更新されるたびに新しいキーを生成します。
    6. 更新時に同じキーを保持する場合は、[同じキー]オプションを使用します。
    7. 独自のキーを使用するには、[キーのインポート]オプションを使用します。このキーは、証明書が生成されたときに初めて使用され、その後の更新にも使用されます。
      buypass

DNSアカウントを構成するには、次の手順に従います:

    1. [Buypass Go SSL] >> [管理]に移動します。[DNS]タブに切り替えます。
    2. ここでは、サポートされているDNSプロバイダーごとに最大1つのDNSアカウントを追加できます。PAM360は現在、Azure DNS、CloudFlare DNS、Amazon Route 53 DNS、RFC2136 DNSアップデート(nsupdate)、GoDaddy DNS、ClouDNSの自動チャレンジ検証をサポートしています。[追加]をクリックします。
    3. 開いたポップアップで、DNSプロバイダーを選択します。
      4. buypass

2.1 Azure DNS

    1. Azure DNSゾーンの[概要]ページで利用できるサブスクリプションIDを指定します。
    2. ディレクトリIDを入力します。これは[Azure Active Directory] >> [プロパティ]で利用できます。
    3. 既存のAzureアプリケーションがある場合は、そのアプリケーションIDとキーを入力します。
    4. そうでない場合は、このドキュメントに記載されている手順に従ってAzureアプリケーションとキーを作成し、API呼び出しを行うためのDNSゾーンへのアクセスをアプリケーションに許可します。
    5. 最後に、DNSゾーンを作成したグループ名であるリソースグループ名を入力し、[保存]をクリックします。
    6. DNSアカウントの詳細が保存され、[管理] >> [DNS]に一覧表示されます。

2.2 Cloudflare DNS

    1. [メールアドレス]フィールドで、Cloudflareアカウントに関連づけられているメールアドレスを指定します。
    2. グローバルAPIキーの場合、Cloudflare DNSのドメイン概要ページで[APIキーの生成]オプションを使用してキーを生成し、このフィールドに値を貼り付けます。[保存]をクリックします。
    3. DNSアカウントの詳細が保存され、[管理] >> [DNS]に一覧表示されます。

2.3 AWS Route 53 DNS

AWSアカウントに関連づけられたアクセスキーIDとシークレットを生成して指定します。AWSアカウントをお持ちでない場合は、アカウントを作成し、以下の手順に従ってアクセスキーIDとシークレットを生成します:

    1. AWSコンソールにログインし、[IAMサービス] >> [ユーザー]に移動します。[ユーザーの追加]をクリックします。
    2. ユーザー名を入力し、アクセスタイプをプログラマチックアクセスとして選択します。
    3. 次のタブに切り替え、[許可を設定]の[既存のポリシーを直接添付]をクリックし、「AmazonRoute53FullAccess」を検索します。
    4. 一覧表示されているポリシーを割り当て、次のタブに切り替えます。タグセクションで、適切なタグ(オプション)を追加し、次のタブに切り替えます。
    5. 入力したすべての情報を確認し、[ユーザーの作成]をクリックします。
    6. ユーザーアカウントが作成され、続いてアクセスキーIDとシークレットが生成されます。キーIDとシークレットをコピーして、安全な場所に保存してください。これは二度と表示されません。
    7. すでにAWSユーザーアカウントをお持ちの場合は、ユーザーに「AmazonRoute53FullAccess」権限を付与し、ユーザーが持っていない場合はアクセスキーを生成する必要があります。ユーザーアカウントにすでにアクセスキーが関連づけられている場合は、必要な権限が付与されていることを確認するだけで十分です。

必要な権限を付与するには:

    1. [権限]タブに移動し、必要なユーザーアカウントを選択して、[権限の追加]をクリックします。
    2. ケース[許可を設定]の[既存のポリシーを添付]をクリックし、「AmazonRoute53FullAccess」を検索します。.
    3. 一覧表示されたポリシーを割り当て、[保存]を押します。
    4. アクセスキーを生成するには、
    5. 特定のユーザーアカウントを選択し、[セキュリティ認証情報]タブに移動します。
    6. 開いたウインドウで、[アクセスを作成]キーをクリックします。
    7. アクセスキーIDとシークレットが生成されます。キーIDとシークレットは再度表示されないため、コピーして安全な場所に保存してください。

2.4 RFC2136 DNSアップデート

    RFC2136 DNS 更新をサポートする Bind、PowerDNS などのオープン ソース DNS サーバーを使用している場合は、以下の手順に従って、PAM360 を使用して DNS ベースのドメイン制御検証手順を自動化します。

    1. DNSサーバーのIP/ホスト名は、DNSサーバーがインストールまたは実行されているサーバー名/IPアドレスを表します。
    2. これらの詳細は通常、サーバーのインストールディレクトリにあります。たとえば、Bind9 DNSサーバーの場合、これらはサーバーのインストールディレクトリにあるnamed.local.confファイルにあります。
    3. キーシークレットを提供します。これは、サーバーのインストールディレクトリにあるキーコンテンツに他なりません。
    4. キーの名前を入力し、署名アルゴリズムを選択します。
    5. [保存]をクリックします。

2.5 GoDaddy DNS

    DNS検証にGoDaddy DNSを使用している場合は、以下の手順に従って、PAM360を使用してDNSベースのドメイン制御検証手順を自動化します:

    GoDaddy API認証情報を取得する手順:

    1. GoDaddy開発者ポータルに移動し、[APIキー]タブに切り替えます。
    2. まだログインしていない場合は、GoDaddyアカウントにログインします。
    3. ログインすると、APIキーを作成および管理できるAPIキーページにリダイレクトされます。
    4. [新しいAPIキーの作成]をクリックします。
    5. アプリケーション名を入力し、環境タイプを本番として選択して、[次へ]をクリックします。
    6. APIキーとそのシークレットが生成されます。シークレットは再度表示されないため、コピーして安全な場所に保存してください。

次に、PAM360インターフェースで、以下の手順に従ってGoDaddy DNSをBuypass Go SSL CAに追加します:

    1. [証明書] >> [Acme] >> [Buypass Go SSL]に移動し、右端の[管理]をクリックします。
    2. [DNS]タブに切り替えて、[追加]をクリックします。[DNSプロバイダー]ドロップダウンから[GoDaddy]を選択します。
    3. GoDaddyポータルから以前に生成されたキーとシークレットを入力します。
    4. [保存]をクリックします。

2.6 ClouDNS

DNS検証にClouDNSを使用している場合は、以下の手順に従って、PAM360を使用してDNSベースのドメイン制御検証手順を自動化します:
ClouDNS API認証情報を取得する手順:

    1. ClouDNSアカウントにログインし、Reseller APIに移動します。
    2. APIユーザーIDを既に作成している場合は、APIユーザーの下にあります。そうでない場合は、[APIの作成]をクリックして新しいAPIを生成します。
    3. ClouDNS API認証IDの詳細については、ここをクリックしてください。

次に、PAM360インターフェースで、以下の手順に従ってClouDNSをBuypass Go SSL CAに追加します:

    1. [証明書] >> [Acme] >> [Buypass Go SSL]に移動し、右端の[管理]をクリックします。
    2. [DNS]タブに切り替えて、[追加]をクリックします。
    3. [DNSプロバイダー]ドロップダウンから[ClouDNS]を選択します。
    4. 次のいずれかのオプションを選択します:認証ID、サブ認証ID、サブ認証ユーザー。
    5. 選択したClouDNS認証IDとそれぞれの認証パスワードを入力し、[保存]をクリックします。

    注記:

    1. 1つの証明書で最大5のドメインを保護できます。[ドメイン名]フィールドには最大5個の名前を入力できます。この名前のうち、名は共通名と見なされ、残りはサブジェクト代替名(SAN)として扱われます。
    2. Buypass Go SSLには、ベースドメインに対して7日ごとに20の証明書のレート制限があります。重複する証明書を取得するために、7日ごとに最大5つの要求をサポートします。
    3. Buypass Go SSLは、ワイルドカード証明書をサポートしていません。
    4. PAM360とBuypass Go SSLの統合は、RSAおよびECアルゴリズムによる暗号化をサポートします。
    5. PAM360は、http-01およびdns-01ベースのドメイン検証をサポートしています。要件に基づいてチャレンジタイプを選択します。
    6. dns-01ベースのドメイン検証の場合、チャレンジ検証に構成済みのDNSアカウントを使用している場合は、選択したDNSアカウントのステータスが[管理] >> [DNS]で[有効]にマークされていることを確認してください。
    7. 秘密キーを変更するオプションは、現在RSAキーアルゴリズムでのみ機能します。

3.Buypass Go SSLチャレンジ検証

PAM360は、HTTP-01およびDNS-01チャレンジ(現在、Azure、Cloudflare、Amazon Route 53、RFC2136 DNSアップデート、GoDaddy DNS、ClouDNS)の自動検証を通じて、ドメイン検証を促進します。自動化を有効にするには、最初にエンドサーバーの詳細をPAM360にマップする必要があります。これは、1回限りのプロセスです。

3.1 HTTP-01チャレンジ検証によるドメイン検証

http-01チャレンジによるドメイン検証の場合、

    1. 実行するチャレンジを表示するウィンドウが開きます。
    2. エージェントマッピングアイコンをクリックします。
    3. ポップアップが開きます。ドメインサーバーがLinuxマシンの場合は、必要な詳細を入力して[保存]をクリックします。

ドメインサーバーがWindowsマシンの場合は、以下の手順を使用して、Windowsサーバー用のKey Manager Plusエージェントをダウンロードしてインストールします:

    1. Windowsサーバー用のKey Manager Plusエージェントのダウンロード:
    2. Key Manager Plusエージェントパッケージは、必要な実行可能ファイル、自動ドメイン検証によるBuypass Go SSLチャレンジの自動検証に必要な構成ファイルで構成されるzipファイルです。ダウンロード後、フォルダを解凍し、Windows Domainサーバーにエージェントをインストールします。エージェントをダウンロードするには、
    3. [証明書] >> [Acme] >> [Buypass Go SSL]タブに移動し、右上隅にある[管理]ボタンをクリックします。
    4. Windowsエージェントタブに切り替えます。
    5. サーバーの互換性(32ビットまたは64ビット)に基づいて、ウィンドウの右上隅からKey Manager Plusエージェントをダウンロードします。

Windowsサーバー用のKey Manager Plusエージェントのインストール:

    1. コマンドプロンプトを開き、PAM360のインストールディレクトリに移動します。
    2. コマンド「AgentInstaller.exe start」を実行します。

エージェントを停止してWindowsサービスをアンインストールするには、

    1. コマンドプロンプトを開き、PAM360のインストールディレクトリに移動します。
    2. コマンド「AgentInstaller.exe stop」を実行します。
    3. ドメインサーバーがWindowsマシンの場合は、Windowsエージェントをダウンロードしてドメインサーバーにインストールします。[管理] >> [Windowsエージェント]に移動し、エージェントをダウンロードしてドメインサーバーにインストールします。
    4. 上記のエージェントマッピング設定が構成されると(エージェントマッピングは1回限りの構成です)、PAM360はBuypass Go SSLによって提示された課題の検証を自動的に処理します。

エージェントマッピングを設定したら、保留中の要求で[保留中]をクリックし、[確認]をクリックします。チャレンジが検証され、証明書要求がBuypass Go SSL CAに送信されます。

buypass

3.2 DNS-01チャレンジ検証によるドメイン検証

    PAM360からのDNS-01チャレンジ検証の場合、

    1. [Buypass Go SSL]タブに切り替えて、証明書要求に対応する要求ステータス(保留中)をクリックします。
    2. DNSチャレンジ値とTXTレコードを表示するウィンドウが表示されます。
    3. DNSアカウントの詳細を既に構成していて、証明書要求の作成時にDNSを選択している場合は、DNSアカウントを要求に割り当てることができます。
    4. 要求を選択し、[その他]トップメニューから[DNSの割り当て]を選択して、必要なDNSアカウントを選択します。
    5. DNSアカウントが構成されていない場合、または証明書要求を発行するときにDNSアカウントを選択していない場合、PAM360には、エージェントマッピングを介してDNS-01チャレンジ検証を自動化するオプションがあります。
    6. 要求の左側にあるエージェントマッピングアイコンをクリックします。エージェントマッピングは1回限りの設定です。

エージェントマッピング

    1. 開いた[展開]ウィンドウで、次の操作を実行して、エンドサーバーの詳細をPAM360にマップして保存します。
    2. DNSプロバイダーを選択します。Azure DNSの場合、必要な詳細(サブスクリプションID、ディレクトリID、アプリケーションID、アプリケーションキー、およびリソースグループ名)を入力します。
    3. Cloudflare DNSの場合、Cloudflareアカウントに関連づけられているメールアドレスとグローバルAPIキーを入力します。
    4. Amazon Route 53 DNSの場合、AWSアカウントに関連づけられているアクセスキーIDとシークレットを入力します。
    5. [証明書の展開]チェックボックスを有効にして、ドメインの検証後および連続した更新後に、対応するエンドサーバーへの証明書の展開を自動化します。
    6. linuxエンドサーバーでは、必要な詳細を入力しますが、Windowsエンドサーバーでは、Windowsエージェントを、http-01 challenge.チャレンジに記載したのと同じプロシージャを使って、ダウンロードおよびインストールします。
    7. 詳細を入力したら、[保存]をクリックします。エンドサーバーの詳細は正常にマッピングされ、PAM360 に保存されます。これは、[管理]>>[展開]タブから表示または編集できます。
      8. buypass

    注記:

    1. Buypass Go SSL統合を使用して、パブリックドメインの証明書のみを要求および取得できます。
    2. 課題の処理は、自動化せずに手動で行うこともできます。チャレンジ値/テキストレコードをコピーして、ドメインサーバーに手動で貼り付けます。次に、PAM360サーバーで、[保留中の要求]ページに移動し、[確認]をクリックします。チャレンジが検証され、証明書が発行されます。
    3. PAM360は、エージェントマッピングが利用できない場合にのみ、証明書要求にDNSを使用してチャレンジ検証を自動化します。エージェントの詳細が[管理] >> [展開]タブで利用できる場合、チャレンジの検証はエージェントを介して自動化されます。
    4. 現在、Key Manager PlusエージェントはWindowsサーバーでのみ使用できます。
    5. RFC2136 DNS更新の場合、グローバルDNS構成を選択した場合、ドメイン名自体がゾーン名として機能します(グローバルDNS構成は、すべてのゾーンに同じキーシークレットを使用している場合にのみ可能です)。一方、ドメインとエージェントのマッピングを選択した場合は、ドメインごとにゾーン名、キー名、キーシークレットを個別に指定する必要があります。

4.証明書を調達および保存

検証が成功すると、Buypass Go SSLは要求された証明書を発行します。

    1. ウインドウは、証明書とステータスが表示されるページに自動転送されます(チャレンジ認証が正常に完了した場合、ステータスは利用可能,とマークされ、チャレンジ認証に失敗した場合は、失敗とマークされます)。
    2. [利用可能]ボタンをクリックして、証明書をPAM360リポジトリに保存するか、電子メールで送信するか、エクスポートします。
    3. チャレンジが失敗した場合は、[新しいチャレンジ]をクリックして別のチャレンジのセットを取得し、上記のプロセスを繰り返します。
    4. 保存すると、証明書はPAM360リポジトリに追加されます。このリポジトリは、[SSL] >> [証明書]タブから表示できます。

5.証明書を更新

Buypass Go SSLによって発行された証明書の有効期間は180日で、それ以降は無効になります。証明書の更新は、手動で実行することも、自動ドメイン検証を通じて自動的に実行することもできます。証明書を手動で更新するには、

    1. [証明書] >> [Acme] >> [Buypass Go SSL]に移動します。
    2. 更新する証明書を選択して、[証明書の更新]ボタンをクリックします。
    3. 証明書が更新され、証明書ステータスバーに更新済と表示されます。
    4. それをクリックして、更新されたバージョンの証明書をPAM360証明書リポジトリに保存します。

メモ:証明書は、証明書リポジトリで更新するために、更新後に保存する必要があります。それ以外の場合は、古いバージョンの証明書のみが引き続きリポジトリに残ります。

自動ドメイン検証による自動更新

エージェントマッピングが構成されている場合、証明書の更新プロセスは手動の介入なしに自動的に実行されます。Buypass Go SSLから取得した組織内のすべての証明書は、有効期限が切れる15日前に自動的に更新され、アカウント所有者の電子メールアドレスに通知が送信されます。

メモ:自動更新は、PAM360リポジトリに保存されている証明書にのみ適用されます。つまり、Buypass Go SSLから証明書を取得した後、自動更新を有効にするには、証明書を保存する必要があります。

6.証明書を取り消す

証明書を取り消すと、証明書が無効になり、すぐにWebサイトからHTTPSが削除されます。

証明書を取り消すには、

    1. [証明書] >> [Acme] >> [Buypass Go SSL]タブに移動します。
    2. 取り消す証明書を選択し、[証明書を取り消す]をクリックします。
    3. 証明書は取り消され、無効になります。
      4. buypass

7.証明書を削除する

証明書を削除すると、PAM360リポジトリから証明書が削除されますが、証明書は引き続き有効です。

証明書を削除するには、

    1. [証明書] >> [Acme] >> [Buypass Go SSL]タブに移動します。
    2. 削除する証明書を選択し、[その他] >> [削除]をクリックします。
    3. 証明書はPAM360データベースから削除されます。
      4. buypass