AWS-ACM Certificate ManagerとPAM360の統合

PAM360は、SSL証明書マネージャーおよびプライベート認証局であるAWS Certificate Manager(ACM)との統合を容易にします。この統合では、AWS-ACMからPAM360に証明書を要求および取得できます。また、PAM360からAWS-ACMリポジトリに証明書を展開することができます。

証明書要求を自動更新し、ACMが発行および管理するSSL/TLS証明書のエンド・ツー・エンドライフサイクル管理を、PAM360 Webインターフェースから直接、自動化できます。

  1. PAM360とAWS-ACMの統合の仕組み
  2. PAM360でAWS-ACM証明書を検出する
  3. 証明書のAWS-ACMへの展開
  4. AWS-ACMから証明書の要求
  5. ドメインの検証、証明書の発行、および展開
  6. AWS-ACM が発行する証明書の管理

1.PAM360とAWS-ACMの統合の仕組み

PAM360の証明書検出機能により、AWS-ACM証明書をPAM360リポジトリにインポートします。検出が完了すると、PAM360は、AWSタグのすべてのリージョンに展開されているAWS証明書を表示します。AWSでサポートされているリージョンについて詳しくは、こちらをクリックしてください。

AWS-ACMの証明書には2種類あります:公開証明書とプライベート証明書です。AWS-ACMでは、ACMが提供する公開証明書、またはACMにインポートされた証明書を使用できます。ACMプライベートCAを使ってCAを作成する場合、ACMは、証明書を発行し、そのプライベートCAから証明書を更新を自動化できます。

PAM360では、新しい証明書を作成し、製品中で管理できます。AWS-ACMは、新しい証明書の作成をサポートしていません。ただし、証明書をPAM360からAWS-ACMに作成、要求およびインポートでき、AWS 管理コンソールから管理できます。AWS-ACMへの証明書のインポート方法について詳しくは、こちらをクリックしてください。

メモ:

  1. AWS-ACM統合を実行するには、管理者はAWS-ACMに以下のユーザーロール許可が必要です:AWSCertificateManagerFullAccess。このポリシーにより、ACMのすべての操作およびリソースへの完全なアクセスが可能になります。AWSのユーザーロールポリシーの詳細については、こちらをクリックしてください。
  2. この統合には、API AccessKeySecretKeyが必要です。これらの資格情報は、AWS証明書検出を実行してAWS-ACM証明書をPAM360にインポートするのにも必要です。

2.PAM360でAWS-ACM証明書を検出する

PAM360を使用すると、次のAmazon WebサービスでホストされているSSL証明書の有効期限通知を検出、インポート、および構成できます:AWS Certificate Manager(ACM)およびAWS Identity and Access Management(IAM)です。AWS-ACM証明書の検出方法に関する詳細な手順については、こちらをクリックしてください。

メモ:

PAM360ビルド6200の前に追加されたAWS証明書で操作を実行すると、PAM360は、操作の再検出を自動的に実行し、テーブルのデータを再入力して、Amazonリソース名(ARN) IDを取得します。自動検出が行われるのは、PAM360ビルド6200 以降のみですので、注意してください。

[証明書] >> [AWS] タブで、

  • Amazonから要求された公開証明書はAmazon Issuedとしてマークされます。
  • プライベート証明書はPrivateと表示されます。
  • PAM360からAWS-ACMにインポートされた証明書は、Importedとマークされます。

3.証明書のAWS-ACMへの展開

PAM360のAWS-ACMとの統合により、証明書をAWS-ACMに展開し、そのコンソールから管理することができます。証明書をAWS-ACMに展開するには、下の手順に従います:

  1. [証明書] >> [証明書]の順に移動します。
  2. 必要なAWS証明書を選択し、トップメニューから[展開] >> [AWS-ACM]とクリックします。
  3. 表示されるダイアログボックスで、以下の属性を選択します:
    1. ドロップダウンメニューからAWS資格情報を選択してください。
      aws-acm-1
    2. チェックボックスを使用して、1つまたは複数のリージョンを選択してください。

      メモ:

      証明書は、秘密鍵が利用可能な場合に限り、サポートされているすべてのリージョンに展開できます。

    3. ACM で同じ証明書が見つかった場合はデプロイメントして置き換える:重複していることが分かり、ACMの証明書を展開後で置き換える場合は、このオプションを選択します。
    4. 更新時に証明書を ACM に自動的に再デプロイします。:このオプションを選択して、PAM360とAWS-ACMの証明書が常に同期されるように、更新されるごとに、証明書をACMに自動的に再展開します。

      メモ:

      デプロイされた証明書に不一致がある場合、PAM360 の AWS タブで赤色で表示されます。

4.AWS-ACMから証明書の要求

PAM360では、AWS-ACMから公開とプライベート証明書の両方を要求でき、PAM360インターフェースから管理できます。

4.1 公開証明書の要求

  1. 証明書 >> AWSに移動します。
  2. 証明書の要求ドロップダウンをクリックし、公開証明書をクリックします。
    aws-acm-2
  3. 開いたページで、以下の属性を入力します:
    1. ドロップダウンメニューからAWS資格情報を選択してください。
    2. ドメイン名SANを入力します。.
    3. 検証の種類を選択:メールまたはDNS.
    4. ドロップダウンメニューからリージョンを選択してください。
    5. 次に、[証明書を要求する]をクリックします。

入力した資格情報と一致する証明書がPAM360にインポートされます。AWS-ACMの公開証明書には秘密鍵がありませんので、注意してください。

4.2 プライベート証明書の要求

  1. 証明書 >> AWSに移動します。
  2. 証明書の要求ドロップダウンをクリックし、プライベート証明書をクリックします。
    aws-acm-3
  3. 開いたページで、以下の属性を入力します:
    1. ドロップダウンメニューからAWS資格情報を選択してください。
    2. ドロップダウンリストからACM プライベート CAを選択してください。
    3. ドメイン名SANを入力します。.
    4. 次に、[証明書を要求する]をクリックします。

検証が完了すると、要求された証明書が発行され、リポジトリに追加されます。

4.3 証明書ステータスの要求

証明書をAWS-ACMから要求したら、トップメニューから[要求の状態 ]オプションをクリックし、証明書のステータスを表示および検証します。

このページでは、プライベート証明書と公開証明書の両方について、申請、更新、ドメイン検証のステータスを確認できます。証明書要求が作成されたら、証明書のステータスがこのテーブルにPending Validation/Deploy Challenge/Sync Recordsと表示されます。

aws-acm-4

DNSベースのチャレンジ検証を構成した場合、ステータスをクリックして、チャレンジを展開します。ステータスがDeploy Challengeに変更され、検証プロセスが開始されます。完了すると、ステータスがIssuedに変更されます。

5.ドメインの検証、証明書の発行、および展開

証明局がオーダーを受け取ったら、ドメイン制御検証(DCV)と呼ばれるプロセスを実行し、完了時に証明書を受け取るドメインの所有権を証明する必要があります。PAM360は、2つの検証方法をすべてサポートしています:

  1. メール検証
  2. DNS検証

5.1 メール検証

  1. メールベースのドメイン制御検証では、認証局は、証明書のオーダー時に指定された承認者のメールIDに確認電子メールを送信します。
  2. このメールでは、検証手順を完了するために実行する必要のある手順について説明します。検証オプションに進み、メールから検証します。要求の状態に進み、保留中の検証をクリックして、証明書を取得します。
  3. 手順が完了したら、PAM360 Serverに移動し、AWSタブに切り替えます。
  4. 検証が成功すると、認証局は証明書を発行します。証明書は取り込まれ、PAM360のセキュアリポジトリに追加されます。証明書には、[証明書] >> [証明書]タブからアクセスできます。証明書のデプロイメントに関する詳細については、こちらをクリックしてください。

5.2 DNS検証

DNSの与えられた詳細で公開証明書をオーダーするときDNS検証を選択した場合::

  1. 要求の状態ページに進み、[Deploy Challenge]オプションをクリックして、DNSレコードを作成します。
    aws-acm-5
  2. DNSチャレンジ値とテキストレコードは、上の操作の後、対応するDNSサーバーに自動的に展開されます。
  3. DNS検証に成功すると、認証局は証明書を発行します。
    aws-acm-6
  4. 証明書が発行されたら、ステータスはそれにしたがって変更され、証明書には[証明書] >> [証明書]タブからアクセスできます。

DNS詳細なしで公開証明書をオーダーするときにDNS検証を選択した場合:

  1. 要求の状態ページに進み、[Sync Records]オプションをクリックして、DNSレコードを作成します。
    aws-acm-7
  2. DNSチャレンジ値とテキストレコードがポップアップに表示されます。テキストレコードを手動でコピーして、ドメインサーバーに手動で貼り付けます。
    aws-acm-8
  3. その特定オーダーについて、要求の状態のボタンをクリックして、オーダーの現在のステータスを同期できます。
  4. DNS検証に成功すると、認証局は証明書を発行し、証明書には [証明書] >> [証明書]タブでアクセスできます。

6.AWS-ACM が発行する証明書の管理

PAM360を使用すると、プライベート証明書を更新できます。証明書更新をPAM360から要求された場合、AWS-ACMから更新証明書が取り込まれます。ただし、証明書をAWS-ACMで更新する場合、PAM360では自動的に更新されません。不一致を修正するには、PAM360で証明書を再検出し、データを再入力します。

aws-acm-9

6.1 証明書の更新

  1. 証明書 >> AWSに移動します。
  2. 必要なオーダーを選択し、トップメニューから[証明書の更新]をクリックします。
  3. 必要に応じて、ドメイン検証手順を完了します。
  4. 検証が成功すると、証明書が発行され、[証明書] >> [AWS] タブで新しいバージョンが自動的に更新されます。

    メモ:

    ここに記載されているすべての条件を満たす証明書のみが更新されます。AWSの証明書更新の要件については、こちらをクリックしてご確認ください。

6.2 証明書要求の取り消し

  1. 証明書 >> AWSに移動します。
  2. 取消が必要な証明書を選択し、[詳細] >> [証明書の失効]をクリックします。

    メモ:

    失効オプションは、AWS-ACM のプライベート証明書にのみ適用されます。証明書要求を取り消すと、証明書エントリがPAM360のみから削除されます。

6.3 秘密鍵の取り込み

プライベート証明書の秘密鍵を取得するには、以下の手順に従ってください。

  1. 証明書 >> AWSに移動します。
  2. 必要なプライベート証明書を選択し、上部メニューから詳細 >> 秘密鍵を取得するをクリックします。

この操作では、選択したプライベート証明書の秘密鍵をAWS-ACMから取り込みます。

メモ:

これは有料オプションであり、AWS-ACMライセンスに応じて費用が発生する場合があります。


6.4 証明書の削除

  1. 証明書 >> AWSに移動します。
  2. 必要な証明書を選択し、トップメニューから[詳細] >>[削除]をクリックします。
  3. AWSタブから証明書要求が削除されます。

    メモ:

    削除オプションを使用すると、PAM360インターフェースから証明書が削除されます。製品から管理することはできなくなりました。しかし、AWS-ACMから証明書を削除するわけではありません。証明書は引き続きAWSコンソールから表示および管理できます。