Azure Key VaultとPAM360の統合

PAM360は、SSL証明書の管理を行うクラウドサービスであるMicrosoft Azure Key Vaultと統合します。この統合でユーザーは、PAM360リポジトリにインポートすることで、Azure Key Vaultに保存したSSL証明書を要求、更新および管理できます。証明書要求を自動更新し、Azure Key Vaultに保存および管理されるSSL/TLS証明書のエンド・ツー・エンドライフサイクル管理を、PAM360 Webインターフェースから直接、自動化できます。

1. PAM360 - Azure Key Vault統合はどのようなしくみですか？
2. Azure Key Vault のインポート
3. Azure Key Vault からの証明書の管理
4. PAM360によるAzure TLSシークレット管理

1.PAM360とAzure Key Vaultの統合の仕組み

Azureポータル内の多数のKey Vaultを管理するとします。また、それらの各Key VaultにはSSL証明書が多数含まれるとします。PAM360により、Azure認証情報を製品に追加でき、Azure認証情報に対応するKey VaultをPAM360リポジトリに自動インポートできます。Key Vaultが追加されると、検出操作を使ってKey Vaultに保存された証明書を検出できます。PAM360では、新しい証明書要求を作成でき、PAM360で作成されてAzure Key Vaultからインポートされた既存の証明書を更新できます。同じ証明書の別のバージョンをKey Vaultからインポートおよび管理できます。

2.Azure Key Vault のインポート

Azure ポータルで管理されているすべてのKey Vaultsをインポートするには、PAM360 に Azure の認証情報を追加する必要があります。以下の手順に従ってください。

1. [証明書] >> [Azure] >> [管理] に移動し、[追加] をクリックします。
2. Azure認証情報の追加ウィンドウで、次の属性を入力します。
   1. 資格情報名: Azure認証情報を識別するための一意の名前を入力してください。
   2. サブスクリプションID: AzureアカウントのサブスクリプションIDを入力してください。
   3. ディレクトリID: Azureアカウントに関連付けられているディレクトリ（テナント）IDを入力してください。
   4. アプリケーションID: 登録済みのAzureアプリのアプリケーション（クライアント）IDを入力してください。
   5. キー：登録済みの Azure アプリ用に生成されたシークレットキーを指定してください。
3. Azureの認証情報を保存するには、保存をクリックしてください。
   
   
   

認証情報が保存されたら、保存された認証情報に関連するすべてのKey VaultがPAM360に自動的にインポートされます。インポートされたvaultはすべて、Key Vaultタブに表示されます。key vaultがインポートされない場合は、［同期］ボタンをクリックして、プロセスを手動で起動します。Azureポータルに発行者IDがある場合は［同期］を押し、表示されるポップアップからKey Vaultを選択します。これで、選択したKey Vaultのすべての発行者証明書が発行者タブに一覧表示されます。

3.Azure Key Vault によって発行された証明書の管理

PAM360を使用すると、Azureポータルで管理されているSSL証明書の有効期限通知を検出、インポート、および設定できます。

3.1 Azure Key Vault からの証明書の検出

Azure Key Vault から PAM360 に証明書を取り込むには、以下の手順を実行してください。

1. [証明書] >> [Discovery] >> [Azure] へ移動します。
2. ドロップダウンリストから以下の属性を選択してください。
   1. 資格情報名 - Key Vaultにインポートする元となるAzure資格情報。
   2. Key Vault - 証明書をインポートする元の必要なkey vaultを選択します。証明書リストが完全に更新されていない場合は、Key Vault ドロップダウンの横にある［Sync］アイコンをクリックして、Azure ポータルから証明書リストを手動で同期してください。
   3. Key Vaults内の利用可能なすべてのバージョンの証明書をインポートするには、以前のバージョンをインポートするオプションを選択し、インポートをクリックします。選択したAzure Key Vaultからすべての証明書がインポートされ、Azureタブに表示されます。
      

3.2.証明書要求の作成

PAM360では、必要なAzure key vaultでAzure認証情報の要求SSL証明書要求を作成できます。同じ証明書名を入力して、既存の証明書の新しいバージョンを作成することもできます。PAM360で作成されたすべての証明書要求は、Azureポータルで自動更新されます。証明書要求を作成するには、以下の手順に従ってください。

1. 証明書 >> Azureに移動し、証明書の要求をクリックします。
2. ドロップダウンリストから、資格情報名と必要なKey Vaultを選択してください。
3. 証明書名、ドメイン名、SANS等の属性を入力します - 複数のSAN値をコンマで区切って追加できます。
4. メールアドレスを入力し、ドロップダウンから鍵のアルゴリズムと鍵のサイズを選択し、場所の詳細を入力します。
5. 証明書の有効期間を月単位で入力し、ドロップダウンから生涯アクションを選択します。有効期間切れのときに証明書を自動更新するか、Azureポータルの証明書連絡先にメール通知を送信するかを選択できます。
6. ［生涯アクションまでの日数］（選択したライフタイム操作が呼び出されるまでの日数）を入力します。
   
7. 新しい証明書にオプションのプロパティを追加するには、［追加のオプション］をクリックしてメニューを展開します。ここでは、キーの使用と拡張キーの使用の2つのカテゴリのオプションがあります。必要なオプションを選択して、証明書の優先フラグを設定し、新しい証明書を使用する目的を示します。[キーの使用]オプションには、否認防止、デジタル署名、データまたは鍵の暗号化、サーバー/クライアント認証などがあります。チェックボックスの選択により、プロパティが選択され重要なものとしてマークされます。
   
8. すべての詳細を追加した後、［証明書を要求する］をクリックします。新しい証明書要求は、PAM360とAzureポータルの両方で作成されます。

要求が作成されたら、要求の状態タブに進み、証明書に関連するステータスおよびその他詳細を表示します。要求から最新の証明書を取得するには、証明書の横にある［証明書の取得］をクリックします。以下の操作は、Azureタブから管理されている証明書で実行できます：

1. Obtain Certificate - このオプションで、選択した証明書をAzureポータルから取り込みます。
   
2. Obtain History - このオプションで、選択した証明書のすべてのバージョンをAzureポータルから取り込みます。
   

3.3 証明書の更新

PAM360インターフェースから直接Azure証明書を更新するには、以下の手順に従ってください。

1. 更新する証明書を選択し、上部の［更新］オプションをクリックします。
2. 有効期間を月単位で入力し、［更新］をクリックします。証明書は、指定した有効期間で更新され、PAM360とAzureポータルの両方で更新されます。
   

   メモ：

   PAM360では、以下の証明書の更新はできません。

   1. 第三者発行者が発行した、およびAzureポータルで現在管理されている証明書。
   2. 既存の証明書の前のバージョン。

3.4 証明書の削除

PAM360 から Azure 証明書を削除するには、

1. チェックボックスを使って、1つ以上の証明書を選択します。
2. 上部メニューから削除をクリックしてください。
3. 表示されるポップアップ画面で、選択した証明書を削除する操作を確認してください。

   メモ：

   証明書はPAM360インターフェースからのみ削除され、この操作はAzureポータルにおける証明書のステータスには影響しません。

3.5 証明書のフィルタリング

証明書のバージョンを絞り込むには、表示ドロップダウンをクリックして、オプションから選択します。

1. 現在の証明書 - このオプションには、証明書の現在のバージョンのみが表示されます。
2. 以前のバージョン - このオプションには、利用可能な証明書の古いバージョンが表示されます。
3. 全て - このオプションには、利用可能な証明書の全バージョンが表示されます。
   

4.PAM360によるAzure TLSシークレット管理

この統合の一環として、PAM360からSSL証明書とともに、Azure Key Vaultに保存されているAzure TLSシークレットを管理することができます。さらに、PAM360を使用すると、新しいTLSシークレットを作成し、目的のAzure Key Vaultsにデプロイできます。

4.1 Azure Key Vault から TLS シークレットを検出する

Azure Key Vaultに保存されているTLSシークレットを検出して効果的に管理するために、PAM360はシームレスなソリューションを提供します。以下の手順に従って、Azure Key VaultからPAM360へのTLSシークレットを検出します。

1. [証明書] >> [Discovery] >> [Azure]、または [証明書] >> [Azure] >> [Azure Secrets] >> [ディスカバリー] へ移動します。
2. 目的のTLSシークレットの検出プロセスを開始するには、適切な資格情報名、Key Vault、およびディスカバリー種別を選択してください。TLS シークレットをインポートするための新しい Azure 認証情報を追加するには、[資格情報名]フィールドの横にある[Azure認証情報を追加する]ボタンを使用します。
3. シークレットを通じて検出された証明書をPAM360のSSLリポジトリに保存する場合は、［ディスカバリされた証明書タイプのシークレットを証明書に追加します］チェックボックスを有効にしてください。
4. 最後に、インポートをクリックして、Azure Key VaultからPAM360へのTLSシークレットを簡単に検出します。
   

4.2 PAM360 から Azure TLSシークレットを管理する

PAM360を使用してAzure TLSシークレットを効果的に管理するには、次の手順に従ってください。

1. PAM360で、[証明書] >> [Azure] >> [Azure Secrets]に移動します。ここでは、Azure Key Vaultで発見された、または新たに作成されたすべてのTLSシークレットの包括的なリストをご覧いただけます。
   
2. PAM360 から新しい Azure TLS シークレットを作成するには、上部のパネルにある[秘密を作成]をクリックします。ポップアップウィンドウに、資格情報名、Key Vault、シークレット名などの必要な情報を入力し、SSL証明書を.pfx形式でアップロードしてください。残りの項目を入力し、シークレット ステータスを選択して、秘密を作成をクリックしてください。
   
3. Azure TLS シークレットを更新するには、該当するシークレットを選択し、上部のパネルにある[シークレットの更新]をクリックします。ポップアップウィンドウで、必要に応じて発効日/有効期限とシークレット ステータスを変更し、保存をクリックします。
4. 場合によっては、Azure TLS シークレットのバージョンが Microsoft Azure ポータルで更新されても、PAM360 と同期されないことがあります。同期ステータスを維持するには、以下の手順に従ってください。
   1. 該当する Azure TLS シークレットを選択し、上部のパネルで[再ディスカバリ]をクリックして、再検出プロセスが完了するまで待ちます。これにより、TLSシークレットが最新バージョンに更新されます。
   2. シークレットの証明書の新しいバージョンを取得するには、シークレットステータスの横にあるObtain Certificateアイコンをクリックします。シークレットのKey Vaultsに関連付けられている適切な認証情報を選択し、Obtain Certificateをクリックします。シークレットの証明書の新しいバージョンはPAM360に更新され、View Associated Certificateアイコンをクリックすることで確認またはエクスポートできます。
5. 必要に応じて、上部パネルの削除ボタンを使用して、PAM360からAzure TLSシークレットを削除できます。削除するAzure TLSシークレットを選択し、削除をクリックして続行します。
   

   メモ：

   PAM360からAzure TLSシークレットを削除しても、Azure Key Vaultから完全に削除されるわけではないことに注意してください。TLS シークレットを完全に削除するには、Azure ポータルから操作する必要があります。