PAM360とSSL Store™認証局との統合

PAM360は、単一インターフェイスから商用CAが発行した証明書をユーザーが取得、連結、展開、更新および追跡できるようにすることで、トラステッド認証局(CA)から取得した証明書のエンド・ツー・エンドライフサイクル管理を促します。
PAM360が世界をリードするCAの最大プラチナパートナーの1つであるSSL Store™とA'PIベースでシームレス統合することで、により、PAM360を使って直接、以下のサードパーティCAから証明書を取得および管理することができるようになります:Sectigo (前Comodo)、Symantec、Thawte、Geotrust、および RapidSSL

統合を続行する前に、前提条件として次の手順を完了してください:

前提条件

以下のベースURLとポートをファイアウォールまたはプロキシの例外として追加し、PAM360がSignSSL StoreのCAサービスに接続できることを確認します。
URL: https://api.thesslstore.com/rest/ 
ポート:443

下の手順にしたがって、証明書オーダーを行い、トラステッドサードパーティCA証明書をPAM360から取得、連結、展開および管理します。

  1. API認証情報のPAM360での構成
  2. 証明書オーダーの実行
  3. ドメイン制御の検証、証明書の発行および展開
  4. 証明書オーダーの更新、再発行および削除

1.API認証情報のPAM360での構成

最初の手順では、サードパーティCA証明書をPAM360から要求および管理する最初の手順は、 SSL Store™ポータルで排他的エンタープライズアカウントにサインアップし、PAM360のインターフェイスで後で生成されたAPI認証情報を構成することです。SSL Store™でエンタープライズアカウントを設定するには、

  1. SSL Store™のWebサイトで、この企業登録のリンクに移動します。Key Manager Plusのサインアップリンクから続行します。
  2. 要求に応じて個人情報と組織の詳細を入力し、[続行]をクリックします。
  3. 次に、支払い方法を構成し、支払いの詳細と請求情報を提供する必要がある[支払いの設定]セクションに移動します。
  4. 詳細を入力したら、[続行]をクリックします。
  5. API認証情報(パートナーIDとトークン)が表示される確認/トークンセクションにリダイレクトされます。認証情報をコピーして安全な場所に保存します。
  6. 次に、PAM360 Serverに切り替え、 [証明書] >> [SSL Store™]タブの順に移動します。ウィンドウの右上隅にある[管理]をクリックします。
  7. [アカウント]タブで、生成されたパートナーコードとトークンを入力し、[保存]をクリックします。
  8. 詳細は、PAM360に保存されます。API認証情報の構成は1回限りのプロセスです。証明書オーダーを実行たびに詳細を提供する必要はありません。

2.証明書の注文

API認証情報を構成したら、 SSL Store™のAPIを利用して、証明書署名要求(CSR)を生成し、PAM360から直接、以下の認証局のいずれかでオーダーを実行、証明書を調達、および管理します: Sectigo、Symantec、Thawte、GeoTrust、およびRapidSSL

CSRを生成して証明書を注文するには、

  1. [証明書]タブ >> [SSLストア™]の順に移動します。
  2. [証明書をオーダー]をクリックします。
  3. 開いたウィンドウで、ベンダー、検証タイプ、製品名、ドメイン検証タイプ、および有効性を選択します。
  4. PAM360は、3つすべてのドメインコントロール認証方法をサポートします:DNSベース、ファイルベース、および電子メールの検証。
  5. 次に、共通名、アルゴリズムの長さ、キーストアタイプ、キーストアパスワード、証明書が展開されるサーバーの数、サーバータイプ、および承認者の電子メールIDを入力します。ユーザーには、既存のCSRまたは秘密鍵をインポートおよび使用するオプションもあります。
  6. 承認者の電子メールIDは、ドメイン制御検証(DCV)の検証メールの送信先の電子メールIDです。承認者の電子メールIDは、次のいずれかの形式である必要があります。
    •   <admin@domain>、<administrator@domain>、<hostmaster@domain>、<webmaster@domain>、または<postmaster@domain>
    • ドメインのWHOISレコードに表示され、CAシステムに表示される管理者、登録者、技術者、またはゾーンの連絡先の電子メールアドレス。
  7. 次に、組織の詳細(組織の検証および拡張検証の注文タイプにのみ適用可能)、管理者の連絡先の詳細、および証明書を注文する技術者の連絡先の詳細を提供します。
  8. 詳細を入力したら、[作成]をクリックします。
  9. テーブルビューの右側に表示されるステータスとともに、発注された証明書の注文のリストを表示できるウィンドウが表示されます。

    10. 注記:

    • PAM360では、SSL Store™からアカウント内に実行した既存の証明書オーダーをインポートし、そのステータスを追跡することができます。[既存のオーダーをインポート]その他トップメニューでクリックし、既存の公開オーダーをPAM360にインポートします。
    • また、[管理]で組織の詳細を事前設定して、OV/EV証明書オーダーを実行たびに提供しないようにすることもできます。
    ssl_store

2.1 DNSアカウントの構成

証明書オーダーでDNSベースのドメイン認証を選択している場合、DNSアカウントをPAM360で構成し、チャレンジ認証手続きを自動化するオーダーのDNSフィールドで指定する必要があります。DNSアカウントを構成するには、

  1. [証明書] >> [SSLストア™] >> [管理]の順に移動します
  2. [DNS]タブに切り替えます。[追加]をクリックし、開いたポップアップでDNSプロバイダーを選択します。
  3. ここでは、サポートされているDNSプロバイダーごとに最大1つのDNSアカウントを追加できます。PAM360は現在、Azure、Cloudflare DNS、Amazon route 53 DNS、RFC2136 DNS更新(nsupdate)、GoDaddy DNS、ClouDNSで自動ドメインコントロール認証をサポートしています。

    2.1.1 AzureDNSの場合

  1. Azure DNSゾーンの[概要]ページで利用できるサブスクリプションIDを指定します。
  2. ディレクトリIDを指定します。これは[Azure Active Directory] >> [プロパティ]で利用できます。
  3. 既存のAzureアプリケーションがある場合は、そのアプリケーションIDとキーを入力します。
  4. そうでない場合は、以下の手順に従ってAzureアプリケーションとキーを作成し、API呼び出しを行うためのDNSゾーンへのアクセスをアプリケーションに許可します。

以下の手順に従って、AzureコンソールからAzureアプリケーションとキーを作成します:

  1. [アプリの登録] >> [新しいアプリケーションの登録]に移動します。
  2. アプリケーション名を入力し、アプリケーションタイプとWebアプリ/APIを選択して、サインオンURLを入力します。[作成]をクリックします。
  3. 作成が成功すると、アプリケーションIDを表示するウィンドウが表示されます。
  4. アプリケーションキーを取得するには、[キー]に移動してキーを作成します。
  5. キーの説明と期間を入力し、[保存]をクリックします。
  6. キーが保存されると、キー値が表示されます。今後の参照用にキー値をコピーして保存します。

DNSゾーンにアプリケーションアクセスするには:

  1. すべてのDNSゾーンが作成されているリソースグループに移動するか、特定のDNSゾーンに切り替えます。
  2. アクセスコントロール(IAM)に切り替えて、[追加]をクリックします。
  3. コントリビューターとしての役割を選択し、Azure ADユーザー、グループ、またはアプリケーションにアクセスを割り当て、Azure Directoryで作成されたアプリケーションを検索して選択し、[保存]をクリックします。
  4. 作成されたAzureアプリケーションには、API呼び出しを行うためのDNSゾーンへのアクセスが許可されます。
  5. 次に、DNSゾーンを作成したグループ名であるリソースグループ名を入力し、[保存]をクリックします。
  6. DNSアカウントの詳細が保存され、[管理] >> [DNS]の下に一覧表示されます。
    ssl_store

    2.1.2 CloudflareDNSの場合

    1. [メールアドレス]フィールドで、Cloudflareアカウントに関連付けられているメールアドレスを指定します。
    2. グローバルAPIキーの場合、Cloudflare DNSのドメイン概要ページの[API生成]キーオプションを使用してキーを生成し、このフィールドに値を貼り付けます。
    3. [保存]をクリックします。DNSアカウントの詳細が保存され、[管理] >> [DNS]の下に一覧表示されます。

      4. 注記:DNSベースのドメイン検証タイプの場合、証明書オーダーの実行時に既に設定されているDNSアカウントをドメインコントロール検証に指定する場合は、そのステータスが「管理 >> DNS」で「有効」となっていることを確認してください。

ssl_store

2.1.3 AWS Route 53 DNSの場合

  1. AWSアカウントに関連付けられたアクセスキーIDシークレットを生成して指定します。
  2. AWSアカウントをお持ちでない場合は、アカウントを作成し、以下の手順に従ってアクセスキーIDとシークレットを生成します:
    1. AWSコンソールにログインし、[IAMサービス] >> [ユーザー]に移動します。
    2. [ユーザーの追加]をクリックします。
    3. ユーザー名を入力し、アクセスタイプをプログラマチックアクセスとして選択します。
    4. 次のタブに切り替え、[許可を設定][既存ポリシーを添付]を直接クリックし、「AmazonRoute53FullAccess」を検索します。
    5. 一覧表示されているポリシーを割り当て、次のタブに切り替えます。
    6. タグセクションで、適切なタグ(オプション)を追加し、次のタブに切り替えます。
    7. 入力したすべての情報を確認し、[ユーザーの作成]をクリックします。
    8. ユーザーアカウントが作成され、続いてアクセスキーIDとシークレットが生成されます。キーIDとシークレットをコピーして、安全な場所に保存してください。これは二度と表示されません。
  3. AWSユーザーアカウントをすでにお持ちの場合は、「AmazonRoute53FullAccess」許可をユーザーに付与し、そのユーザーがアクセスキーを持っていない場合は、生成します。また、ユーザーアカウントにすでにアクセスキーが関連づけられている場合は、必要な権限が付与されていることを確認するだけで十分です。

必要な許可を付与するには、

  1. [権限]タブに移動し、必要なユーザーアカウントを選択して、[権限の追加]をクリックします。
  2. [アクセス許可の設定]の下にある[既存のポリシーを直接アタッチ]をクリックし、[AmazonRoute53FullAccess]を検索します。
  3. 一覧表示されたポリシーを割り当て、[保存]をクリックします。
  4. アクセスキーを生成するには、
  5. 特定のユーザーアカウントを選択し、[セキュリティ資格情報]タブに移動します。
  6. 開いたウインドウで、[アクセスを作成]キーをクリックします。
  7. アクセスキーIDとシークレットが生成されます。キーIDとシークレットをコピーして、安全な場所に保存してください。これは二度と表示されません。
    ssl_store

2.1.4 RFC2136 DNSアップデート

RFC2136 DNS 更新をサポートする Bind、PowerDNS などのオープン ソース DNS サーバーを使用している場合は、以下の手順に従って、PAM360 を使用して DNS ベースのドメイン制御検証手順を自動化します。 

  1. DNSサーバーのIP/ホスト名は、DNSサーバーがインストールまたは実行されているサーバー名/IPアドレスを表します。 
  2. サーバーの詳細は、サーバーのインストールディレクトリにあります。たとえば、Bind9 DNSサーバーの場合、これらはサーバーのインストールディレクトリにあるnamed.local.confファイルにあります。
  3. サーバーのインストールディレクトリにあるキーコンテンツであるキーシークレットを入力します。 
  4. キーの名前を入力し、署名アルゴリズムを選択して、[保存]をクリックします。
    ssl_store

2.1.5 GoDaddy DNS

GoDaddy DNSをDNS認証に使用している場合は、下の手順にしたがって、DNSベースのドメインコントロール認証手続きをPAM360を使って自動化します。

GoDaddy API認証情報を取得する手順:

  1. GoDaddy開発者ポータルに移動し、[APIキー]タブに切り替えます。
  2. まだログインしていない場合は、GoDaddyアカウントにログインします。
  3. ログインすると、APIキーを作成および管理できるAPIキーページにリダイレクトされます。[新しいAPIを作成]キーをクリックします。
  4. お使いのアプリケーション名を入力し、環境タイプを本番と入力して、[次へ]をクリックします。
  5. APIキーとそのシークレットが生成されます。シークレットは再度表示されないため、コピーして安全な場所に保存してください。

次に、PAM360インターフェイスで、下の手順にしたがって、GoDaddy DNSをSSL Store証明書リポジトリに追加します:

  1. [証明書] >> [SSLストア]の順に移動し、右端の[管理]をクリックします。
  2. [DNS]タブに切り替えて、[追加]をクリックします。
  3. GoDaddyをDNSプロバイダードロップダウンメニューから選択します。
  4. キーと、以前GoDaddyポータルから生成したシークレットを入力します。[保存]をクリックします。
    ssl_store

2.1.6 ClouDNS

DNS検証にClouDNSを使用している場合は、以下の手順に従って、PAM360を使用してDNSベースのドメイン制御検証手順を自動化します:

ClouDNS API認証情報を取得する手順:

  1. ClouDNSアカウントにログインし、Reseller APIに移動します。
  2. APIユーザーIDを既に作成している場合は、APIユーザーの下にあります。そうでない場合は、[APIの作成]をクリックして新しいAPIを生成します。

ClouDNS API認証IDの詳細については、ここをクリックしてください。

次に、PAM360インターフェイスで、下の手順にしたがって、ClouDNSをSSL Store CAに追加します:

  1. [証明書] >> [SSLストア]の順に移動し、右端の[管理]をクリックします。
  2. [DNS]タブに切り替えて、[追加]をクリックします。
  3. [DNSプロバイダー]ドロップダウンから[ClouDNS]を選択します。
  4. 次のいずれかのオプションを選択します:認証ID、サブ認証ID、サブ認証ユーザー。
  5. 選択したClouDNS認証IDとそれぞれの認証パスワードを入力し、[保存]をクリックします。
    ssl_store

3.ドメインの検証、証明書の発行、および展開

前提条件

チャレンジファイルを展開するエンドサーバーがWindowsマシンの場合は、次の手順に従ってWindowsエージェントをインストールします:

  1. [管理者] >> [PAM360エージェント]の順に移動し、必要なバージョンの [Windowsエージェント]をクリックします:32ビットまたは64ビット。
  2. 以下のコマンドを実行します:

    3. Windowsサーバー用のPAM360エージェントのインストール:

    PAM360エージェントをWindowsサービスとしてインストールするには

    1. コマンドプロンプトを開き、PAM360エージェントインストールディレクトリに移動します。
    2. コマンドAgentInstaller.exe install <PAM360からコピーしたエージェントキー>を実行します。

    エージェントを停止してWindowsサービスをアンインストールする方法

    1. コマンドプロンプトを開き、PAM360エージェントインストールディレクトリに移動します。
    2. [AgentInstaller.exe stop]コマンドを実行します。

認証局が注文を受け取ったら、ドメイン制御検証(DCV)と呼ばれるプロセスを実行し、完了時に証明書を受け取るドメインの所有権を証明する必要があります。PAM360は、3つすべてのDCV方法をサポートしています:

  1. 電子メールベースのDCV
  2. ファイルまたはHTTPベースのDCV
  3. DNSベースのDCV

3.1 メールベースのドメインコントロール認証

  1. 電子メールベースのドメイン制御検証では、認証局は、証明書の注文時に指定された承認者の電子メールIDに確認電子メールを送信します。
  2. このメールでは、ドメインコント役割の検証手順を完了するために実行する必要のある手順について説明します。
  3. 手順が完了したら、PAM360 Serverに移動し、[証明書]>>[SSL Store™]タブに切り替えます。
  4. 注文を選択し、トップメニューから[注文ステータスの確認]をクリックします。
  5. 認証の成功時、認証局は、PAM360のセキュアリポジトリに取り込まれ追加された証明書を発行します。証明書にアクセスするには、[証明書]タブに移動します。
  6. ここから、証明書を証明書ストアまたはIIS Server等の必要なエンドポイントサーバーにPAM360から直接展開できます。

証明書の展開の詳細については、こちらをクリックしてください。

3.2 ファイル/ HTTPベースのドメイン制御の検証

  • ファイル/HTTPベースのドメインコント役割検証を選択した場合、注文の作成時にチャレンジファイルが表示されます。
  • ドメインサーバーに移動し、指定されたパスを作成して、そのパスにチャレンジファイルを展開します。

チャレンジファイルを展開するこのプロセス全体は、PAM360から自動化できます。これは、[管理]の下の[展開]タブでサーバーの詳細を構成することで実現できます。ドメイン制御の検証を自動化するには、

  1. [証明書] >> [SSL Store™] >> [管理]の順に移動します。
  2. [展開]タブに切り替えて、[追加]をクリックします。
  3. 表示されるポップアップで、チャレンジタイプを「http-01」として選択し、ドメイン名を指定し、サーバータイプ(WindowsまたはLinux)を選択して、サーバーの詳細を入力します。[保存]をクリックします。
  4. チャレンジファイルは、指定されたパスの対応するエンドサーバーに自動的に展開されます。
    ssl_store
  5. チャレンジファイルを展開したら、PAM360 Serverに移動し、SSL Store™タブに切り替え、オーダーを選択して、トップメニューの[認証]をクリックします。
  6. ドメイン認証が正常に完了したら、認証局は、PAM360の証明書タブに取り込み、追加した証明書を発行し、[管理] >> [展開]で前に構成されたサーバーの指定パスにも展開されます。

3.3 DNSベースのドメイン制御の検証

  1. DNSベースのドメイン制御検証を選択した場合、注文の作成時にDNSチャレンジ値とテキストレコードが表示されます。
  2. テキストレコードをコピーして、ドメインサーバーに手動で貼り付けます。

HTTPチャレンジと同様、チャレンジ認証プロセス全体はPAM360から自動化できます。これは、[管理]の下の[展開]タブでサーバーの詳細を構成することで実現できます。ドメイン制御の検証を自動化するには、

    1. [証明書] >> [SSL Store™] >> [管理]の順に移動します。
    2. エンドサーバーがWindowsマシンの場合、Windows用PAM360エージェントを、前のセクションに記載の手順を使って、ダウンロードおよびインストールします。
    3. [展開]タブに切り替えて、[追加]をクリックします。
    4. 開いたポップアップで、チャレンジタイプを「dns-01」と選択し、ドメイン名を指定し、DNSプロバイダー(Azure、Cloudflare、Amazon Route 53 DNS、RFC2136 DNS update、ClouDNS、およびGoDaddy DNS.)を選択して、サーバー詳細を入力します。
    5. [証明書]オプションをオンにして、調達後に証明書をエンドサーバーに展開します。[保存]をクリックします。
    6. DNSチャレンジ値とテキストレコードは、対応するDNSサーバーに自動的に作成されます。
      ssl_store
      ssl_store
    7. チャレンジが完了したら、PAM360 Serverに移動し、[証明書] >> [SSL Store™]に切り替え、オーダーを選択して、トップメニューの[オーダーステータス]をクリックします。
    8. ドメイン認証が正常に完了したら、認証局は、PAM360証明書リポジトリにい取り込まれ、自動的に追加される証明書を発行します。証明書にアクセスするには、[証明書]タブに移動します。
    9. ここから、証明書を、証明書ストアまたはIIS Server等の必要なエンドポイントサーバーに、PAM360から直接、展開できます。証明書の展開の詳細については、こちらをクリックしてください。
    10. また、[管理] >> [展開]でサーバーの詳細を構成するときに[証明書の展開]オプションを有効にした場合、証明書は発行後に対応するエンドサーバーに自動的に展開されます。

      11. 注記:

      1. DNSベースのドメインコントロール認証については、オーダーの実行時にDNSアカウントを[管理] >> [DNS]で構成していた場合、PAM360は、そのアカウントを使って、チャレンジ認証を自動化します。代わりに、[管理] >> [展開]でドメインとサーバーの詳細を既に構成している場合は、チャレンジの検証と、その後の証明書の展開が、その特定のドメインとサーバーに対してのみ実行されます。
      2. RFC2136 DNS更新の場合、グローバルDNS構成を選択した場合、ドメイン名自体がゾーン名として機能します(グローバルDNS構成は、すべてのゾーンに同じキーシークレットを使用している場合にのみ可能です)。一方、ドメインエージェントマッピングを選択した場合は、ドメインごとにゾーン名、キー名、およびキーシークレットを個別に指定する必要があります。

4.証明書オーダーの構成、再発行および削除

再発行を更新、要求またはPAM360からサードパーティ認証局に対して実行した証明書オーダーを削除できます。

証明書を更新するには、

  1. [証明書] >> [SSL Store™]の順に移動します
  2. 必要な注文を選択し、トップメニューから[証明書の更新]をクリックします。
  3. 必要に応じて、ドメイン制御検証(DCV)手順を完了します。
  4. 検証が成功すると、証明書が発行され、[証明書]タブで新しいバージョンが自動的に更新されます。

    5. 注記:PAM360から要求された証明書のみに対して再発行を要求でき、インポートされたオーダーにはできません。

証明書要求を削除するには、次の手順に従います

    1. [証明書] >> [SSL Store™]の順に移動します。
    2. 必要な証明書を選択し、[その他]メニューから[削除]をクリックします。
    3. 証明書要求がPAM360から削除されます。

      4. 注記:証明書要求が削除されると、PAM360のみから削除されます。オーダーは、お使いのアカウントのSSL Store™ Webサイトで確認でき、必要な場合、[SSL Store™] >> [その他] >> [インポート]オプションを使って、PAM360にインポートできます。

免責事項:PAM360のパブリックCA証明書の調達は、ユーザーがSSL Store™で排他的エンタープライズアカウントにサインアップした場合のみ、正常に完了できます。PAM360は、SSL Store™'のAPIを使って発行後、証明書をインポートし、PKI管理機能を強化できます。すべての個人情報(支払いの詳細を含む)はSSL Store™によって収集および処理され、ManageEngineは支払い関連の問題について責任を負いません。PAM360を使ったSSL Store™に付随したパブリックCAからの証明書の支払いおよび調達について問題がある場合は、SSL Store™テクニカルサポートチームまでお問い合わせください。