SSL証明書のユーザーとの共有

PAM360では、証明書または証明書グループをユーザーおよびユーザーグループと共有できます。証明書を共有すると、その証明書のすべての詳細が自然に共有されます。一般に、すべてのユーザーは、自分が所有する証明書と、共有されている証明書にアクセスできます。

証明書を共有しているユーザーは、秘密キーをエクスポートしてアクセスすることもできますが、証明書の所有者に同じ要求を出し、承認を得た場合に限ります。ただし、承認により、エクスポートのみが許可されます。 秘密キーを含むその他の操作は、ユーザーが利用できなくなります。

他のユーザーやユーザーグループと何を共有できますか?

以下を共有できます

  • 所有証明書をユーザーまたはユーザーグループに共有。
  • 所有証明書グループをユーザーまたはユーザーグループに共有。

本書では以下について学びます:

  1. 証明書のユーザー/ユーザーグループとの共有
  2. 証明書グループのユーザー/ユーザーグループとの共有
  3. 証明書の共有
  4. 証明書所有者からの証明書の秘密鍵の要求

1.証明書のユーザー/ユーザーグループとの共有

  1. [証明書]タブに移動します。
  2. 共有する特定証明書を選択します。
    sharing-certificates
  3. 上部の[その他]ボタンをクリックして、ドロップダウンメニューから必要なオプションを、ニーズにあわせて、ユーザーと共有またはユーザーグループと共有を選択します。
    sharing-certificates
    sharing-certificates
  4. 開いた新しいウィンドウで、証明書を共有するユーザーまたはユーザーグループを選択し、[共有]をクリックします。共有したら、証明書へのアクセスを、同じウインドウからいつでも取り消すことができます。

    注記:特定の証明書をユーザーグループと共有すると、SSL証明書にアクセスする権限が役割に含まれている場合、そのユーザーグループのすべてのメンバーに表示されます。

2.証明書グループのユーザー/ユーザーグループとの共有

  1. [証明書]タブに移動します。
  2. 右端上の[証明書グループ]をクリックします。
  3. 共有する必要な証明書グループを選択します。
    sharing-certificates
  4. 証明書グループをユーザーまたはユーザーグループと共有する必要があるかによって、必要なオプションユーザーと共有またはユーザーグループと共有を選択します。
  5. 開いた新しいウィンドウで、証明書を共有するユーザーまたはユーザーグループを選択し、[共有]をクリックします。共有したら、証明書へのアクセスを、同じウインドウからいつでも取り消すことができます。
    sharing-certificates

注記:共有できるのは所有証明書のみであるため、証明書グループは所有証明書でのみ作成できます。特定の証明書グループをユーザーグループと共有する場合、SSL証明書にアクセスする権限が役割に含まれている場合、証明書グループに属するすべての証明書の詳細がユーザーグループのすべてのメンバーに表示されます。

3.証明書の共有

PAM360では、ユーザーは、共有した証明書へのアクセスレベルをグローバルに修正できます。これで、ユーザーは、証明書を共有する選択したロールで、ユーザーにビュー修正権限を付与できます。そのためには、

  1. [管理者] >> [SSH/SSL構成] >> [証明書]の順に移動します。
  2. 証明書共有ウインドウで、ユーザーロールを必要に応じて移動し、それらのユーザーロールに証明書への表示 またはor 管理権限を付与します。
  3. チェックボックスを選択し、アクセス権があるユーザーと更新済証明書を共有します。
  4. [保存]をクリックします。

これで、証明書が共有されるユーザーに適切な権限が与えられます。

4.証明書所有者からの証明書の秘密鍵の要求

証明書を共有すると、証明書の秘密キーを使用しない操作を実行できます。これらには以下が含まれます:

  • 有効期限、キーサイズ、アルゴリズム、長さ、DNS名などの証明書の詳細を表示します
  • 脆弱性をスキャン
  • ドメインの有効期限を確認する
  • 編集
  • CMDBと同期
  • 証明書をエクスポート

これらに加えて、証明書の所有者に証明書の秘密キーを要求できます。そうするためには、

  1. [証明書]に移動し、リストから共有証明書を選択して、証明書の横にある[キーストア]アイコンから[証明書の所有者にキーを要求する]をクリックします。
    sharing-certificates
  2. 共有証明書をクリックし、[証明書の詳細]ウィンドウから証明書の所有者にキーを要求するをクリックして、秘密キーを要求することもできます。
    sharing-certificates
  3. 証明書の所有者は、PAM360とメールから、要求について通知が届きます。承認されると、[証明書]タブから秘密キーをエクスポートできるのは1回だけです。
  4. 秘密キーをエクスポートするには、[証明書]に移動し、共有証明書を選択して、証明書の横にある[キーストア]アイコンから[秘密キーをエクスポート]をクリックします。
    sharing-certificates
  5. また、共有した証明書をクリックし、続いて、'[証明書詳細]ウインドウのキーストアの横の[エクスポート]ボタンをクリックして、秘密鍵をエクスポートできます。
    sharing-certificates

    6. 注記:上記のように、共有証明書の秘密キーは、所有者の承認後に1回だけエクスポートできます。再度エクスポートする場合は、証明書の所有者に秘密キーを要求する必要があります。