Clear

The SSL Store™とPassword Manager Proの統合

Password Manager Pro(PMP)は、ユーザーが単一のインターフェイスから商用CAによって発行された証明書を取得、統合、展開、更新、追跡できるようにすることで、信頼できる認証局(CA)から取得した証明書のエンドtoエンドのライフサイクル管理を容易にします。
Password Manager ProとSSL Store™(世界をリードするCAの最大のプラチナパートナーの1つ)とのシームレスなAPIベースの統合により、PMPを使用して次のサードパーティCAから証明書を直接取得および管理するオプションがあります。Sectigo(旧Comodo)、Symantec、Thawte、Geotrust、およびRapidSSL。

統合を続行する前に、前提条件として次の手順を完了してください。

前提条件

PMPがSSLストアのCAサービスに接続できるように、ファイアウォールまたはプロキシに例外として次のベースURLとポートを追加します。
URL:https://api.theSSL Store.com/rest/ 
ポート:443

以下の手順に従って、PMPから証明書を注文し、信頼できるサードパーティのCA証明書を取得、統合、展開、および管理します。

  1. API認証資格情報を構成
  2. 証明書を注文する

    2.1 DNSアカウントを構成

  3. ドメイン制御の検証、証明書の発行、および展開
  4. 更新、再発行、および削除

1.API認証資格情報を構成

PMPからサードパーティのCA証明書を要求および管理するための最初のステップは、SSL Store™ポータルで専用のエンタープライズアカウントにサインアップし、その後PMPのインターフェイスで生成されるAPI資格情報を構成することです。SSL Store™でエンタープライズアカウントを設定するには--->

  1. The SSL Store™のウェブサイトで、企業登録リンクに移動します。Key Manager Plusのサインアップリンクから続行します。
  2. 要求に応じて個人情報と組織の詳細を入力し、[続行]をクリックします。
  3. 次に、支払い方法を構成し、支払いの詳細と請求情報を提供する必要がある[支払いの設定]セクションに移動します。
  4. 詳細を入力したら、[続行]をクリックします。
  5. API資格情報(パートナーIDとトークン)が表示される確認/トークンセクションにリダイレクトされます。資格情報をコピーして安全な場所に保存します。
  6. 次に、PMPサーバーに切り替えて、[証明書] >> [SSLストア™]タブに移動します。ウィンドウの右上隅にある[管理]をクリックします。
  7. [アカウント]タブで、生成されたパートナーコードとトークンを入力し、[保存]をクリックします。
  8. 詳細はPMPに保存されます。API認証資格情報の構成は1回限りのプロセスです。証明書を注文するたびに詳細を提供する必要はありません。

2.証明書を注文する

API認証資格情報を構成すると、SSL Store™のAPIを利用して、証明書署名要求(CSR)の生成、注文、調達、および次の認証局からの証明書の管理をPMPから直接行うことができます。Sectigo、Symantec、Thawte、GeoTrust、およびRapidSSL

CSRを生成して証明書を注文するには、

  1. [証明書]タブ >> [SSLストア™]に移動します。
  2. [証明書の注文]をクリックします。
  3. 開いたウィンドウで、ベンダー、検証種別、製品名、ドメイン検証種別、および有効性を選択します。
  4. PMPは、次の3つのドメイン制御検証方法すべてをサポートします。DNSベース、ファイルベース、および電子メールの検証です。
  5. 次に、コモンネーム、アルゴリズムの長さ、鍵ストアタイプ、鍵ストアパスワード、証明書が展開されるサーバーの数、サーバー種別、および承認者の電子メールIDを入力します。ユーザーは、既存のCSRまたは秘密鍵ーをインポートして使用することもできます。
  6. 承認者の電子メールIDは、ドメイン制御検証(DCV)の検証メールの送信先の電子メールIDです。承認者の電子メールIDは、次のいずれかの形式である必要があります。
    •   <admin@domain>、<administrator@domain>、<hostmaster@domain>、<webmaster@domain>、または<postmaster@domain>
    • ドメインのWHOISレコードに表示され、CAシステムに表示される管理者、登録者、技術者、またはゾーンの連絡先の電子メールアドレス。
  7. 次に、組織の詳細(組織検証および拡張検証の注文種別にのみ適用可能)、管理者の連絡先の詳細、および証明書を注文する技術者の連絡先の詳細を提供します。
  8. 詳細を入力したら、[作成]をクリックします。
  9. テーブルビューの右側に表示されるステータスとともに、発注された証明書の注文のリストを表示できるウィンドウが表示されます。
    10. 注:
    • PMPを使用すると、SSL Store™からアカウント内で行われた既存の証明書注文をインポートして、それらのステータスを追跡できます。[詳細]トップメニューから[既存の注文のインポート]をクリックして、既存の未処理の注文をPMPにインポートします。
    • また、[管理]で組織の詳細を事前設定して、OV/EV証明書を注文するたびに提供しないようにすることもできます。
    conf-pass-reset

2.1 DNSアカウントを構成

証明書の順序でDNSベースのドメイン検証を選択する場合は、チャレンジ検証手順を自動化するために、PMPでDNSアカウントを構成し、[DNS]フィールドで指定する必要があります。DNSアカウントを構成するには、

  1. [証明書] >> [SSLストア™] >> [管理]に移動します
  2. [DNS]タブに切り替えます。[追加]をクリックし、開いたポップアップでDNSプロバイダーを選択します。
  3. ここでは、サポートされているDNSプロバイダーごとに最大1つのDNSアカウントを追加できます。PMPは現在、Azure、Cloudflare、Amazon Route 53 DNS、RFC2136 DNS更新、ClouDNS、およびGoDaddy DNSの自動ドメイン制御検証をサポートしています。
    2.1.1 AzureDNSの場合
  1. Azure DNSゾーンの[概要]ページで利用できるサブスクリプションIDを指定します。
  2. ディレクトリIDを指定します。これは[Azure Active Directory] >> [プロパティ]で利用できます。
  3. 既存のAzureアプリケーションがある場合は、そのアプリケーションIDと鍵を入力します。
  4. そうでない場合は、以下の手順に従ってAzureアプリケーションと鍵を作成し、API呼び出しを行うためのDNSゾーンへのアクセスをアプリケーションに許可します。

以下の手順に従って、AzureコンソールからAzureアプリケーションと鍵を作成します。

  1. [アプリの登録] >> [新しいアプリケーションの登録]に移動します。
  2. アプリケーション名を入力し、アプリケーションタイプとWebアプリ/APIを選択して、サインオンURLを入力します。[作成]をクリックします。
  3. 作成が成功すると、アプリケーションIDを表示するウィンドウが表示されます。
  4. アプリケーション鍵を取得するには、[鍵]に移動して鍵を作成します。
  5. 鍵の説明と期間を入力し、[保存]をクリックします。
  6. 鍵が保存されると、値が表示されます。今後の参照用に鍵の値をコピーして保存します。

アプリケーションにDNSゾーンへのアクセスを許可するには、次の手順に従います。

  1. すべてのDNSゾーンが作成されているリソースグループに移動するか、特定のDNSゾーンに切り替えます。
  2. アクセス制御(IAM)に切り替えて、[追加]をクリックします。
  3. コントリビューターとしての役割を選択し、Azure ADユーザー、グループ、またはアプリケーションにアクセスを割り当て、Azure Directoryで作成されたアプリケーションを検索して選択し、[保存]をクリックします。
  4. 作成されたAzureアプリケーションには、API呼び出しを行うためのDNSゾーンへのアクセスが許可されます。
  5. 次に、DNSゾーンを作成したグループ名であるリソースグループ名を入力し、[保存]をクリックします。
  6. DNSアカウントの詳細が保存され、[管理] >> [DNS]の下に一覧表示されます。
conf-pass-reset

    2.1.2 CloudflareDNSの場合

    1. [メールアドレス]フィールドで、Cloudflareアカウントに関連付けられているメールアドレスを指定します。
    2. グローバルAPI鍵の場合、Cloudflare DNSのドメイン概要ページの[API生成]鍵オプションを使用して鍵を生成し、このフィールドに値を貼り付けます。
    3. [保存]をクリックします。DNSアカウントの詳細が保存され、[管理] >> [DNS]の下に一覧表示されます。
注:
  • DNSベースのドメイン検証タイプの場合、証明書の注文時に既に設定されているDNSアカウントをドメインコントロール検証に指定する場合は、そのステータスが「管理 >> DNS」で「有効」となっていることを確認してください。
conf-pass-reset

2.1.3 AWS Route 53 DNSの場合

  1. AWSアカウントに関連付けられたアクセス鍵IDシークレットを生成して指定します。
  2. AWSアカウントをお持ちでない場合は、アカウントを作成し、以下の手順に従ってアクセス鍵IDとシークレットを生成します。

    2.1.AWSコンソールにログインし、[IAMサービス] >> [ユーザー]に移動します。

    2.2.[ユーザーの追加]をクリックします。

    2.3.ユーザー名を入力し、アクセスタイプをプログラマチックアクセスとして選択します。

    2.4.次のタブに切り替え、[権限の設定]のすぐ下にある[既存のポリシーを添付する]をクリックして、「AmazonRoute53FullAccess」を検索します。

    2.5.リストされているポリシーを割り当て、次のタブに切り替えます。

    2.6.タグセクションで、適切なタグ(オプション)を追加し、次のタブに切り替えます。

    2.7.入力したすべての情報を確認し、[ユーザーの作成]をクリックします。

    2.8.ユーザーアカウントが作成され、続いてアクセス鍵IDとシークレットが生成されます。鍵IDとシークレットをコピーして、安全な場所に保存してください。これは二度と表示されません。

  3. すでにAWSユーザーアカウントをお持ちの場合は、ユーザーに「AmazonRoute53FullAccess 」権限を付与し、ユーザーが持っていない場合はアクセス鍵を生成する必要があります。また、ユーザーアカウントにすでにアクセス鍵が関連付けられている場合は、必要な権限が付与されていることを確認するだけで十分です。

必要な権限を付与するには、次の手順に従います。

    1. [権限]タブに移動し、必要なユーザーアカウントを選択して、[権限の追加]をクリックします。
    2. [権限の設定]のすぐ下にある[既存のポリシーを添付]をクリックして、「AmazonRoute53FullAccess」を検索します。
    3. リストされたポリシーを割り当て、[保存]をクリックします。
    4. アクセス鍵を生成するには、
    5. 特定のユーザーアカウントを選択し、[セキュリティ資格情報]タブに移動します。
    6. 開いたウィンドウで、[アクセス鍵の作成]をクリックします。
    7. アクセス鍵IDとシークレットが生成されます。鍵IDとシークレットをコピーして、安全な場所に保存してください。これは二度と表示されません。
conf-pass-reset

2.1.4 RFC2136 DNSアップデート

RFC2136 DNS更新をサポートするBind、PowerDNSなどのオープンソースDNSサーバーを使用している場合は、以下の手順に従って、PMPを使用してDNSベースのドメイン制御検証手順を自動化します。 

  1. DNSサーバーのIP/ホスト名は、DNSサーバーがインストールまたは実行されているサーバー名/IPアドレスを表します。 
  2. サーバーの詳細は、サーバーのインストールディレクトリにあります。たとえば、Bind9 DNSサーバーの場合、これらはサーバーのインストールディレクトリにあるnamed.local.confファイルにあります。
  3. サーバーのインストールディレクトリにある鍵コンテンツである秘密鍵を指定します。 
  4. 鍵の名前を入力し、署名アルゴリズムを選択して、[保存]をクリックします。 
conf-pass-reset

2.1.5 GoDaddy DNS

DNS検証にGoDaddy DNSを使用している場合は、以下の手順に従って、Password Manager Proを使用してDNSベースのドメイン制御検証手順を自動化します。

GoDaddy API資格情報を取得する手順:

  1. GoDaddy開発者ポータルに移動し、[API鍵]タブに切り替えます。
  2. まだログインしていない場合は、GoDaddyアカウントにログインします。
  3. ログインすると、API鍵を作成および管理できるAPI鍵ページにリダイレクトされます。[新しいAPI鍵の作成]をクリックします。
  4. アプリケーション名を入力し、環境タイプを本番として選択して、[次へ]をクリックします。
  5. API鍵とそのシークレットが生成されます。シークレットは再度表示されないため、コピーして安全な場所に保存してください。

次に、Password Manager Proインターフェースで、以下の手順に従ってGoDaddy DNSをSSLストア証明書リポジトリに追加します。

  1. [証明書] >> [SSLストア]に移動し、右端の[管理]をクリックします。
  2. [DNS]タブに切り替えて、[追加]をクリックします。
  3. [DNSプロバイダー]ドロップダウンメニューから[GoDaddy]を選択します。
  4. GoDaddyポータルから以前に生成されたシークレットを入力します。[保存]をクリックします。
    5. conf-pass-reset

2.1.6 ClouDNS

DNS検証にClouDNSを使用している場合は、以下の手順に従って、PMPを使用してDNSベースのドメイン制御検証手順を自動化します。

ClouDNS API資格情報を取得する手順:

  1. ClouDNSアカウントにログインし、Reseller APIに移動します。
  2. APIユーザーIDを既に作成している場合は、APIユーザーの下にあります。そうでない場合は、[APIの作成]をクリックして新しいAPIを生成します。

ClouDNS API認証IDの詳細については、ここをクリックしてください。

次に、PMPインターフェースで、以下の手順に従ってClouDNSをSSLストアCAに追加します。

  1. [証明書] >> [SSLストア]に移動し、右端の[管理]をクリックします。
  2. [DNS]タブに切り替えて、[追加]をクリックします。
  3. [DNSプロバイダー]ドロップダウンから[ClouDNS]を選択します。
  4. 次のいずれかのオプションを選択します。認証ID、サブ認証ID、サブ認証ユーザー
  5. 選択したClouDNS認証IDとそれぞれの認証パスワードを入力し、[保存]をクリックします。

3.ドメインの検証、証明書の発行と展開

前提条件

チャレンジファイルを展開するエンドサーバーがWindowsマシンの場合は、次の手順に従ってWindowsエージェントをインストールします。

  1. 必要なバージョンの下の[証明書] >> [Windowsエージェント]に移動します。32ビットまたは64ビット。
  2. 次のコマンドを実行します。

    Windowsサーバー用のKMPエージェントのインストール:

    KMPエージェントをWindowsサービスとしてインストールする方法

    1. コマンドプロンプトを開き、KMPエージェントのインストールディレクトリに移動します。
    2. コマンド「AgentInstaller.exe start」を実行します。

    エージェントを停止してWindowsサービスをアンインストールする方法

    1. コマンドプロンプトを開き、KMPエージェントのインストールディレクトリに移動します。
    2. コマンド「AgentInstaller.exe stop」を実行します。

認証局が注文を受け取ったら、ドメイン制御検証(DCV)と呼ばれるプロセスを実行し、完了時に証明書を受け取るドメインの所有権を証明する必要があります。PMPは、次の3つのDCVメソッドすべてをサポートします。

  1. 電子メールベースのDCV
  2. ファイルまたはHTTPベースのDCV
  3. DNSベースのDCV

3.1 電子メールベースのドメイン制御の検証

  1. 電子メールベースのドメイン制御検証では、認証局は、証明書の注文時に指定された承認者の電子メールIDに確認電子メールを送信します。
  2. このメールでは、ドメインコントロールの検証手順を完了するために実行する必要のある手順について説明します。
  3. 手順が完了したら、PMPサーバーに移動し、[証明書] >> [SSLストア™]タブに切り替えます。
  4. 注文を選択し、トップメニューから[注文ステータスの確認]をクリックします。
  5. 検証が成功すると、認証局は証明書を発行します。証明書はフェッチされ、PMPの安全なリポジトリに追加されます。証明書にアクセスするには、[証明書]タブに移動します。
  6. ここから、証明書ストアやIISサーバーPMPなどの必要なエンドポイントサーバーに証明書を展開します。

証明書の展開の詳細については、こちらをクリックしてください。

3.2 ファイル/ HTTPベースのドメイン制御の検証

  1. ファイル/HTTPベースのドメインコントロール検証を選択した場合、注文の作成時にチャレンジファイルが表示されます。
  2. ドメインサーバーに移動し、指定されたパスを作成して、そのパスにチャレンジファイルを展開します。

チャレンジファイルをエンドポイントサーバーに展開するこのプロセス全体は、PMPから自動化できます。これは、[管理] >> [展開]でサーバーの詳細を構成することで実現できます。ドメイン制御の検証を自動化するには、次の手順に従います。

  1. [証明書] >> [SSLストア™] >> [管理]に移動します。
  2. [展開]タブに切り替えて、[追加]をクリックします。
  3. 表示されるポップアップで、チャレンジタイプを「http-01」として選択し、ドメイン名を指定し、サーバータイプ(WindowsまたはLinux)を選択して、サーバーの詳細を入力します。[保存]をクリックします。
  4. チャレンジファイルは、指定されたパスの対応するエンドサーバーに自動的に展開されます。
conf-pass-reset
  1. チャレンジファイルを展開したら、PMPサーバーに移動し、[SSLストア™]タブに切り替えて注文を選択し、トップメニューから[注文ステータスの確認]をクリックします。
  2. ドメイン検証が成功すると、認証局は、フェッチされ、PMPの[証明書]タブに追加され、[管理] >> [展開]で以前に構成されたサーバーの指定されたパスにも展開される証明書を発行します。

3.3 DNSベースのドメイン制御の検証

  1. DNSベースのドメイン制御検証を選択した場合、注文の作成時にDNSチャレンジ値とテキストレコードが表示されます。
  2. テキストレコードをコピーして、ドメインサーバーに手動で貼り付けます。

HTTPチャレンジと同様に、チャレンジ検証プロセス全体をPMPから自動化できます。これは、[管理]の下の[展開]タブでサーバーの詳細を構成することで実現できます。ドメイン制御の検証を自動化するには、

    1. [証明書] >> [SSLストア™] >> [管理]に移動します。
    2. エンドサーバーがWindowsマシンの場合は、最初に、前のセクションで説明した手順を使用して、[Windowsエージェント]タブからWindowsサーバー用のKMPエージェントをダウンロードしてインストールします。
    3. [展開]タブに切り替えて、[追加]をクリックします。
    4. 開いたポップアップで、チャレンジタイプを「dns-01」として選択し、ドメイン名を指定し、DNSプロバイダー(Azure、Cloudflare、Amazon Route 53 DNS、RFC2136 DNS、ClouDNS、またはGoDaddy DNS)を選択してから、サーバーの詳細を入力します。
    5. [証明書]オプションをオンにして、調達後に証明書をエンドサーバーに展開します。[保存]をクリックします。
    6. DNSチャレンジ値とテキストレコードは、対応するDNSサーバーに自動的に作成されます。
    conf-pass-reset
    conf-pass-reset
    1. チャレンジが記入された後、PMPサーバーに移動し、[証明書] >> [SSLストア™]タブに切り替えて、注文を選択し、トップメニューから[注文ステータスを確認]をクリックします。
    2. ドメイン検証が成功すると、認証局は証明書を発行します。証明書はフェッチされ、PMPの証明書リポジトリに自動的に追加されます。証明書にアクセスするには、[証明書]タブに移動します。
    3. ここから、証明書ストアやIISサーバーなどの必要なエンドポイントサーバーにPMPから直接証明書を展開します。証明書の展開の詳細については、こちらをクリックしてください。
    4. また、[管理] >> [展開]でサーバーの詳細を構成するときに[証明書の展開]オプションを有効にした場合、証明書は発行後に対応するエンドサーバーに自動的に展開されます。

    注:

    i. DNSベースのドメイン制御検証の場合、注文時に[管理] >> [DNS]で構成されたDNSアカウントを選択した場合、PMPはそのアカウントを使用してチャレンジ検証を自動化します。代わりに、[管理] >> [展開]でドメインとサーバーの詳細を既に構成している場合は、チャレンジの検証と、その後の証明書の展開が、その特定のドメインとサーバーに対してのみ実行されます。

    ii.RFC2136 DNS更新の場合、グローバルDNS構成を選択した場合、ドメイン名自体がゾーン名として機能します(グローバルDNS構成は、すべてのゾーンに同じ秘密鍵を使用している場合にのみ可能です)。一方、ドメインエージェントマッピングを選択した場合は、ドメインごとにゾーン名、鍵名、および秘密鍵を個別に指定する必要があります。

4.更新、再発行、および削除

PMPからサードパーティの認証局に送信された証明書の注文を更新、再発行を要求、または削除できます。

証明書を更新するには、

  1. [証明書] >> [SSLストア™]に移動します
  2. 必要な注文を選択し、トップメニューから[証明書の更新]をクリックします。
  3. 必要に応じて、ドメイン制御検証(DCV)手順を完了します。
  4. 検証が成功すると、証明書が発行され、[証明書]タブで新しいバージョンが自動的に更新されます。

注:再発行は、PMPから要求された証明書に対してのみ要求でき、インポートされた注文に対しては要求できません。

    証明書要求を削除するには、次の手順に従います

    1. [証明書] >> [SSLストア™]に移動します。
    2. 必要な証明書を選択し、[詳細]メニューから[削除]をクリックします。
    3. 証明書要求はPMPから削除されます。

注:証明書要求が削除されると、PMPからのみ削除されます。アカウントのSSL Store™Webサイトで注文を見つけ、必要に応じて[SSL Store™] >> [詳細] >> [インポートオプション]を使用してPMPにインポートできます。

免責事項:PMPからの公開CA証明書の調達は、ユーザーがSSL Store™で専用のエンタープライズアカウントにサインアップした場合にのみ正常に完了できます。PMPは、SSL Store™のAPIを使用して発行後に証明書をインポートし、より優れたPKI管理機能を提供します。すべての個人情報(支払いの詳細を含む)はSSL Store™によって収集および処理され、ManageEngineは支払い関連の問題について責任を負いません。PMPを使用したSSL Store™と提携している公開CAからの証明書の支払いと調達で問題が発生した場合は、SSL Store™のテクニカルサポートチームに連絡してください。

       概要