証明書をMicrosoft認証局(MSCA)を使って管理
PAM360で、ユーザーは、Microsoft認証局から証明書を検出およびインポートできます。本書の終わりでは、以下について学んでいることになります:
[証明書] >> [MSCA]の順に移動します。MSCAに関連するすべての証明書がここに表示されます。
1.証明書を要求
- 上部ペインの[証明書を要求]をクリックします。
- 表示されるポップアップで:
- 要求タイプをMicrosoft CAまたはエージェントを使ってMSCAを選択します。
- Microsoft CAを選択する場合、内部CAを実行するサーバー名 と、認証局名も記載します。
- エージェントを使ってMSCAを選択する場合、
- ドロップダウンにあるリストからエージェントを選択します。 また、ドロップダウンの横のリンクをクリックして、エージェントを管理することもできます。エージェントの管理について詳細は、ここをクリックしてください。
- エージェントが応答する必要がある秒単位のエージェントタイムアウトについて記載します。エージェントがタイムアウト時間内に応答しない場合、操作は失敗と監査されます。
- 要件にあわせてテンプレート名/ OIDを選択するか、テンプレート取得リンクをクリックして、事前定義済テンプレートのいずれかを選択します。
- CSRをドロップダウンから選択するか、CSRを作成リンクをクリックして、新しいCSRを作成し、[作成]をクリックします。
2.証明書を検出
- 上部ペインの[検出]をクリックします。
- 表示されるポップアップで:
- 検出タイプをMicrosoft CAまたはエージェントを使ってMSCAを選択します。
- 特定のMSCAが発行した証明書の検出を選択する場合、検出タイプをMicrosoft CAとして選択します。
- サーバー名、必要な認証情報を入力するか、[PAM360サービスアカウント認証情報を認証に使用]を選択して、Microsoft CAを記載します。
- 検出タイプをエージェント使ってMSCAとして選択する場合、ドロップダウンからエージェントを選択し、タイムアウトに、エージェントが応答する時間を秒単位で記載します。
- [有効期限切れおよび/または取り消した証明書を含める]を選択することもできます。
- [データフィルタを含める]を選択する場合、開始と終了時刻を選択します。
- [テンプレート名/OIDを含める]を選択する場合、要件にあわせてテンプレート名/OIDを選択するか、テンプレート取得リンクをクリックして、事前定義済テンプレートを選択します。
- [ディスカバリ]をクリックします。
- [証明書] >> [証明書]タブで、検出した証明書を表示することができます。
3.証明書を更新
- 証明書を選択し、上部の[更新]をクリックします。
- 証明書に秘密鍵がない場合、PAM360で、新しい秘密鍵を作成できます。表示されるポップアップで、[OK]をクリックします。
- 更新タイプ、サーバー名、テンプレート名/OID、認証局等の属性が証明書詳細から自動入力されます。サーバー名は、証明書に署名したMicrosoft CAサーバーです。証明機関は、指定されたMicrosoft CAサーバーで実行されるCAサービスです。
- Microsoft CAが直接署名したまたはSSLエージェント(KMPエージェント)を使った証明書の場合、有効期間は、Microsoft CAサーバーから取得するため、更新中に手動で入力することはできません。これらのタイプの証明書は、Microsoft CAサーバーで署名した日付までのみ更新されます。
PAM360では、証明書に自動更新をセットアップすることもできます。PAM360での証明書の自動更新についての詳細は、ここをクリックしてください。
4.証明書をエクスポート
- PAM360では、以下の証明書をエクスポートすることができます:.cer、.crt、.pem、.der、.p7b、.pfx、.p12、.pkcs12、.jks、.keystore。
- MSCA証明書ウインドウで、エクスポートする証明書をクリックします。
- 証明書詳細ウインドウで、右端上の [エクスポート]をクリックし、証明書をエクスポートするのに必要な形式を選択します。
- 証明書は、選択した形式でマシンにダウンロードされます。
5.証明書を取り消す
6.証明書の削除
- 必要な証明書を選択し、上部の[削除]をクリックします。
- 表示されるポップアップで、[選択した証明書をMSCAから削除するか?]および/または[選択した証明書を「除外した証明書」に追加するか]を選択して、[OK]をクリックします。
