Buypass Go SSL認証局とPAM360の統合

PAM360は、Buypass Go SSLとの統合を容易にします。Buypass Go SSLは、自動証明書管理環境(ACME)プロトコルを使用して、安全なSSL証明書を無料で提供する認証局(CA)です。この統合により、単一のインターフェースを通じて、ドメインにインストールされているBuypass Go SSL証明書のライフサイクル全体を管理できるようになります。このドキュメントでは、PAM360からBuypass Go SSLアカウントへの接続を確立し、証明書の取得、展開、更新、および証明書管理に関連するすべての操作を実行する手順について説明します。

以下の手順ごとの手続きに従って、Buypass Go SSLをPAM360と統合します:

  1. Buypass Go SSLアカウントの作成
  2. 証明書を要求する方法
  3. DNSアカウントの設定
  4. Buypass Go SSLチャレンジ検証
  5. 証明書の取得と保存
  6. Buypass Go SSL CA が発行した証明書の管理

メモ:

PAM360がBuypass Go SSLのCAサービスに接続できるように、ファイアウォールまたはプロキシに例外として次のベースURLとポートを追加します。

  • 本番環境URL: https://api.buypass.com/acme/directory
  • ステージングURL: https://api.test4.buypass.no/acme/directory
  • ポート:443

1.Buypass Go SSLアカウントの作成

Buypass Go SSLからSSL証明書を要求するプロセスを開始するには、アカウントを作成する必要があります。これは1回限りのプロセスであり、PAM360インターフェースから直接実行できます。

Buypass Go SSLアカウントを作成するには、以下の手順に従ってください。

  1. 「証明書」タブに移動し、「ACME」ドロップダウンをクリックして、「Buypass Go SSL」を選択します。
  2. [管理]をクリックします。[アカウント]タブで、[新しく登録]をクリックします。
  3. ポップアップで、アカウント名と有効な電子メールアドレスを入力します。要件に基づいて、本番環境またはステージング環境を選択します。
  4. チェックボックスをクリックして、Buypass Go SSLサブスクライバー契約に同意します。
  5. アカウント作成プロセスを完了するには、「登録」をクリックしてください。
    buypass-1

アカウントが作成されたら、アカウントの電子メールアドレスを更新するか、PAM360から削除するか、アカウントを完全に無効にすることができます。アカウントを削除すると、PAM360からのみ削除されることに注意してください。ここでアカウントを削除しても、Buypass Go SSLポータルで引き続きアクティブになります。同じアカウントをPAM360に再度追加するには、キーをエクスポートし、以前と同じ詳細で[アカウントの追加]オプションを使用します。

ただし、アカウントの削除中に[無効化]オプションを選択すると、Buypass Go SSLアカウントは完全に削除され、同じ詳細でPAM360に再度追加することはできません。

メモ:

  1. 上記の操作を実行できるのは、「SSHキーと証明書」ユーザーロールで「ACME」ロールが割り当てられているユーザーのみです。このユーザーロールをアクティブ化するには、[管理] >> [カスタマイズ] >> [役割]に移動します。
  2. PAM360から作成できるBuypass Go SSLアカウントは1つだけです。

2.証明書を要求する方法

Buypass Go SSLアカウントが登録されると、CAへの証明書要求の発行に進むことができます。証明書の要求を完了するには、ドメインを検証して要求した証明書を発行するために実行するチャレンジ検証が表示されます。

  1. [証明書] >> [ACME] >> [Buypass Go SSL] へ移動します。
  2. [証明書の要求]をクリックします。ドメイン名を入力し、チャレンジタイプを選択し、Key Algorithm、Algorithm Length、Signature Algorithm、Keystore Typeを選択し、鍵ストアのパスワードを入力して、[Create]をクリックします。
  3. dns-01チャレンジタイプの場合、既にDNS認証情報を設定済みであれば、ドロップダウンリストからDNSアカウントを選択して割り当てることができます。これは、要求で指定されたすべてのドメインの自動チャレンジ検証に使用されます。
  4. また、証明書が更新されるたびに秘密鍵を変更するオプションもあります。
  5. キーを変更する必要がある場合は、新しい鍵を使用してください。このオプションは、証明書が更新されるたびに新しいキーを生成します。
  6. 更新時に同じキーを保持する場合は、[同じ鍵]オプションを使用します。
  7. 独自のキーを使用するには、[鍵をインポート]オプションを使用します。このキーは、証明書が生成されたときに初めて使用され、その後の更新にも使用されます。
    buypass-2

3.DNSアカウントの設定

DNSアカウントを設定するには、以下の手順に従ってください。

  1. [Buypass Go SSL] >> [管理]に移動します。[DNS]タブに切り替えます。
  2. ここでは、サポートされているDNSプロバイダーごとに最大1つのDNSアカウントを追加できます。PAM360は現在、Azure DNS、CloudFlare DNS、Amazon Route 53 DNS、RFC2136 DNSアップデート(nsupdate)、GoDaddy DNS、ClouDNSの自動チャレンジ検証をサポートしています。「追加」をクリックします。
  3. 開いたポップアップで、DNSプロバイダーを選択します。

3.1 Azure DNS

  1. Azure DNSゾーンの[概要]ページで利用できるサブスクリプションIDを指定します。
  2. 「Microsoft Entra ID」 >> 「Properties」で確認できるディレクトリIDを指定してください。
  3. 既存のAzureアプリケーションがある場合は、そのアプリケーションIDとキーを入力します。
  4. そうでない場合は、ドキュメントに記載の手順に従って Azure アプリケーションおよびキーを作成し、API 呼び出しを行うための DNS ゾーンへのアクセス権をそのアプリケーションに付与してください。
  5. 最後に、DNSゾーンを作成したグループ名であるリソースグループ名を入力し、「保存」をクリックします。
  6. DNSアカウント情報は保存され、「管理」 >> 「DNS」に一覧表示されます。
    azuredns

3.2 Cloudflare DNS

  1. 「メールアドレス」欄に、Cloudflareアカウントに関連付けられているメールアドレスを指定してください。
  2. グローバルAPIキーの場合、Cloudflare DNSのドメイン概要ページで[Generate API]オプションを使用してキーを生成し、このフィールドに値を貼り付けます。「保存」をクリックしてください。
  3. DNSアカウント情報は保存され、「管理 >> DNS」に一覧表示されます。
    cloudflaredns

3.3 AWS Route 53 DNS

AWSアカウントに関連付けられたアクセスキーIDとシークレットを生成して指定します。AWSアカウントをお持ちでない場合は、以下の手順に従ってアカウントを作成し、アクセスキーIDとシークレットを生成してください。

amazon-route-53-dns
  1. AWSコンソールにログインし、[IAM Services] >> [Users]に移動します。[Add user]をクリックします。
  2. ユーザー名を入力し、アクセスタイプをProgrammatic accessとして選択します。
  3. 次のタブに切り替え、「Set Permissions」の直下にある「Attach existing policies directly」をクリックして、「AmazonRoute53FullAccess」を検索してください。
  4. 表示されているポリシーを割り当てて、次のタブに切り替えてください。tagsセクションで、適切なタグ(オプション)を追加し、次のタブに切り替えます。
  5. 入力したすべての情報を確認し、「Create user」をクリックしてください。
  6. ユーザーアカウントが作成され、続いてアクセスキーIDとシークレットが生成されます。キーIDとシークレットをコピーして、安全な場所に保存してください。これは二度と表示されません。
  7. 既にAWSユーザーアカウントをお持ちの場合は、そのユーザーに「AmazonRoute53FullAccess」権限を付与し、アクセスキーがない場合は生成する必要があります。ユーザーアカウントに既にアクセスキーが関連付けられている場合は、必要な権限が付与されていることを確認するだけで十分です。

必要な権限を付与するには、以下の手順に従ってください。

  1. [Permissions]タブに移動し、必要なユーザーアカウントを選択して、[Add Permission]をクリックします。
  2. 「Set Permissions」にある「Attach existing policies directly」をクリックして、「AmazonRoute53FullAccess」を検索してください。
  3. 記載されているポリシーを割り当てて、「Save」をクリックします。
  4. アクセスキーを生成するには、
  5. 特定のユーザーアカウントを選択し、[Security Credentials]タブに移動します。
  6. 開いたウィンドウで、「Create access key」をクリックします。
  7. アクセスキーIDとシークレットが生成されます。キーIDとシークレットは再度表示されないため、コピーして安全な場所に保存してください。

3.4 RFC2136 DNSアップデート

RFC2136 DNS 更新をサポートする Bind、PowerDNS などのオープン ソース DNS サーバーを使用している場合は、以下の手順に従って、PAM360 を使用して DNS ベースのドメイン制御検証手順を自動化します。

  1. DNSサーバーのIP/ホスト名は、DNSサーバーがインストールまたは実行されているサーバー名/IPアドレスを表します。
  2. これらの詳細は通常、サーバーのインストールディレクトリにあります。たとえば、Bind9 DNSサーバーの場合、これらはサーバーのインストールディレクトリにあるnamed.local.confファイルにあります。
  3. シークレットキーを入力します。これは、サーバーのインストールディレクトリにあるキーコンテンツに他なりません。
  4. 鍵名を入力し、署名アルゴリズムを選択します。[保存]をクリックします。
    rfc2136update

3.5 GoDaddy DNS

DNS検証にGoDaddy DNSを使用している場合は、以下の手順に従って、PAM360を使用してDNSベースのドメイン制御検証手順を自動化します:

GoDaddy APIの認証情報を取得するには、以下の手順に従ってください。

  1. GoDaddyの開発者ポータルにアクセスし、「API keys」タブに切り替えてください。
  2. まだログインしていない場合は、GoDaddyアカウントにログインします。
  3. ログインすると、APIキーを作成および管理できるAPIキーページにリダイレクトされます。
  4. 「Create New API key」をクリックしてください。
  5. アプリケーション名を入力し、環境タイプとして「Production」を選択して「Next」をクリックします。
  6. APIキーとそのシークレットが生成されます。シークレットは再度表示されないため、コピーして安全な場所に保存してください。

次に、PAM360インターフェースで、以下の手順に従ってGoDaddy DNSをBuypass Go SSL CAに追加します:

  1. 「証明書」 >> 「ACME」 >> 「Buypass Go SSL」の順に移動し、右端にある「管理」をクリックしてください。
  2. [DNS]タブに切り替えて、[追加]をクリックします。DNSプロバイダのドロップダウンメニューからGoDaddyを選択してください。
  3. GoDaddyポータルから以前に生成されたキー選択を入力します。
  4. [保存]をクリックします。
    godaddy-dns

3.6 ClouDNS

DNS検証にClouDNSを使用している場合は、以下の手順に従って、PAM360を使用してDNSベースのドメイン制御検証手順を自動化します:

ClouDNS APIの認証情報を取得するには、以下の手順に従ってください。

  1. ClouDNSアカウントにログインし、Reseller APIにアクセスしてください。
  2. 既にAPIユーザーIDを作成済みの場合、APIユーザー一覧に表示されます。そうでない場合は、「Create API」をクリックして新しいAPIを生成してください。

ClouDNS API認証IDの詳細については、こちらをクリックしてください。

次に、PAM360インターフェースで、以下の手順に従ってClouDNSをBuypass Go SSL CAに追加します:

  1. 「証明書」 >> 「ACME」 >> 「Buypass Go SSL」に移動し、ページ右上の「管理」をクリックします。
  2. [DNS]タブに切り替えて、[追加]をクリックします。
  3. DNSプロバイダのドロップダウンメニューから「ClouDNS」を選択してください。
  4. 以下の選択肢から1つを選んでください。認証IDサブ認証IDサブ認証ユーザー
  5. 選択したClouDNS認証IDと、それに対応する認証パスワードを入力し、「保存」をクリックします。
    cloudns

3.7 DNS Made Easy

  1. 「名前」欄に、お好みの名前を入力してください。
  2. キー選択は、DNS Made Easyのウェブサイトにて「Config」 >> 「Account Information」よりご確認いただけます。それぞれの欄に詳細を入力してください。
  3. それでは、「保存」をクリックして、DNSアカウントの詳細を保存してください。保存されたDNS情報は、[管理] >> [DNS]に表示されます。
    dnsmadeeasy

メモ:

  • 1つの証明書で最大5のドメインを保護できます。「ドメイン名」欄には最大5つの名前を入力できます。そのうち最初の名前が共通名として扱われ、残りはサブジェクト代替名(SAN)として扱われます。
  • Buypass Go SSLには、ベースドメインに対して7日ごとに20の証明書のレート制限があります。重複する証明書を取得するために、7日ごとに最大5つの要求をサポートします。
  • Buypass Go SSLは、ワイルドカード証明書をサポートしていません。
  • PAM360とBuypass Go SSLの統合は、RSAおよびECアルゴリズムによる暗号化をサポートします。
  • PAM360は、http-01およびdns-01ベースのドメイン検証をサポートしています。要件に基づいてチャレンジタイプを選択します。
  • dns-01 ベースのドメイン検証の場合、チャレンジ検証に設定済みの DNS アカウントを使用している場合は、[管理] >> [DNS] で選択した DNS アカウントのステータスが「有効」になっていることを確認してください。
  • 秘密鍵を変更するオプションは、現在RSA鍵アルゴリズムでのみ機能します。

4.Buypass Go SSLチャレンジ検証

PAM360は、HTTP-01およびDNS-01チャレンジ(現在、Azure、Cloudflare、Amazon Route 53、RFC2136 DNSアップデート、GoDaddy DNS、ClouDNS)の自動検証を通じて、ドメイン検証を促進します。自動化を有効にするには、最初にエンドサーバーの詳細をPAM360にマップする必要があります。これは、1回限りのプロセスです。

4.1 HTTP-01チャレンジ検証によるドメイン検証

http-01チャレンジによるドメイン検証の場合、

  1. 実行するチャレンジを表示するウィンドウが開きます。
  2. Agent mappingアイコンをクリックします。
  3. ポップアップウィンドウが開きます。ドメインサーバーがLinuxマシンである場合は、必要な詳細情報を入力し、「 Save」をクリックしてください。
  4. ドメインサーバーがWindowsマシンである場合は、ドメインサーバーにWindowsエージェントをダウンロードしてインストールしてください。
  5. 上記のエージェントマップ設定が完了すると(エージェントマップは一度だけ設定するものです)、PAM360はBuypass Go SSLによって提示されるチャレンジの検証を自動的に処理します。

エージェントマップを設定したら、保留中の要求の「Pending」をクリックし、「検証」をクリックします。チャレンジが検証され、証明書要求がBuypass Go SSL CAに送信されます。

buypass-3

4.2 DNS-01チャレンジ検証によるドメイン検証

PAM360からのDNS-01チャレンジ検証の場合、

  1. [Buypass Go SSL]タブに切り替えて、証明書要求に対応する要求ステータス(保留中)をクリックします。
  2. DNSチャレンジ値とTXTレコードを表示するウィンドウが表示されます。
  3. DNSアカウントの詳細を既に構成していて、証明書要求の作成時にDNSを選択している場合は、DNSアカウントを要求に割り当てることができます。
  4. 要求を選択し、上部メニューの「More」から「Assign DNS」を選択して、必要なDNSアカウントを選択します。
  5. DNSアカウントが構成されていない場合、または証明書要求を発行するときにDNSアカウントを選択していない場合、PAM360には、エージェントマップを介してDNS-01チャレンジ検証を自動化するオプションがあります。
  6. 要求の左側にあるAgent Mappingアイコンをクリックしてください。エージェントマップは1回限りの設定です。

開いたDeployウィンドウで、以下の操作を実行して、エンドサーバーの詳細情報をPAM360にマップして保存します。

  1. 開いたDeployウィンドウで、以下の操作を実行して、エンドサーバーの詳細情報をPAM360にマップして保存します。
  2. DNSプロバイダーを選択します。Azure DNSの場合、必要な詳細(サブスクリプションID、ディレクトリID、アプリケーションID、アプリケーションキー、およびリソースグループ名)を入力します。
  3. Cloudflare DNSの場合、Cloudflareアカウントに関連付けられているメールアドレスとグローバルAPIキーを入力します。
  4. Amazon Route 53 DNSの場合は、AWSアカウントに関連付けられているアクセスキーIDとシークレットを入力してください。
  5. 「Deploy Certificate」チェックボックスを有効にすると、ドメイン検証後および更新のたびに、対応するエンドサーバーへの証明書のデプロイを自動化できます。
  6. Linuxの場合、エンドサーバーは必要な詳細を提供しますが、Windowsの場合、エンドサーバーはhttp-01チャレンジで説明したのと同じ手順を使用してWindowsエージェントをダウンロードしてインストールします。
  7. 詳細を入力したら、「Save」をクリックしてください。エンドサーバーの詳細は正常にマップされ、PAM360 に保存されます。これは、[Manage]>>[Deploy]タブから表示または編集できます。
    buypass-4

メモ:

  • Buypass Go SSL統合を使用して、パブリックドメインの証明書のみを要求および取得できます。
  • 課題の処理は、自動化せずに手動で行うこともできます。チャレンジ値/テキストレコードをコピーして、ドメインサーバーに手動で貼り付けます。次に、PAM360サーバーで「Pending Requests」ページに移動し、「Verify」をクリックします。チャレンジが検証され、証明書が発行されます。
  • PAM360は、エージェントマップが利用できない場合にのみ、証明書要求にDNSを使用してチャレンジ検証を自動化します。エージェントの詳細が「Manage」 >> 「Deploy」タブで確認できる場合、チャレンジの検証はエージェントによって自動化されます。
  • 現在、SSLエージェントはWindows Serverリソースでのみ利用可能です。
  • RFC2136 DNS更新の場合、グローバルDNS構成を選択した場合、ドメイン名自体がゾーン名として機能します(グローバルDNS構成は、すべてのゾーンに同じキーシークレットを使用している場合にのみ可能です)。一方、ドメインエージェントマップを選択した場合は、各ドメインごとにゾーン名、キー名、キーシークレットを個別に指定してください。

5.証明書の取得と保存

検証が成功すると、Buypass Go SSLは要求された証明書を発行します。

  1. ウィンドウは自動的に証明書とそのステータスを表示するページにリダイレクトされます(チャレンジ検証が成功した場合はステータスが「利用可能」、失敗した場合は「失敗」と表示されます)。
  2. 「Available」ボタンをクリックすると、証明書をPAM360リポジトリに保存したり、メールで送信したり、エクスポートしたりできます。
  3. チャレンジに失敗した場合は、「New challenge」をクリックして別のチャレンジセットを取得し、上記の手順を繰り返してください。
  4. 証明書をPAM360リポジトリに保存すると、[証明書] >> [証明書]タブから表示できます。

6.Buypass Go SSL CA が発行した証明書の管理

このセクションでは、PAM360 から Buypass Go SSL CA が発行した証明書を更新、失効、削除する方法について説明します。

6.1 証明書の更新

Buypass Go SSLによって発行された証明書の有効期間は180日で、それ以降は無効になります。証明書の更新は、手動で実行することも、自動ドメイン検証を通じて自動的に実行することもできます。証明書を手動で更新するには、

  1. [証明書] >> [ACME] >> [Buypass Go SSL] へ移動します。
  2. 更新する証明書を選択して、[Renew Certificate]ボタンをクリックします。
  3. 証明書が更新され、[Certificate Status]バーに[更新済み]と表示されます。
  4. それをクリックして、更新されたバージョンの証明書をPAM360証明書リポジトリに保存します。

    メモ:

    証明書は、証明書リポジトリで更新するために、更新後に保存する必要があります。それ以外の場合は、古いバージョンの証明書のみが引き続きリポジトリに残ります。

6.2 自動ドメイン検証による自動更新

エージェントマップが構成されている場合、証明書の更新プロセスは手動の介入なしに自動的に実行されます。Buypass Go SSLから取得した組織内のすべての証明書は、有効期限が切れる15日前に自動的に更新され、アカウント所有者の電子メールアドレスに通知が送信されます。

メモ:

自動更新は、PAM360リポジトリに保存されている証明書にのみ適用されます。つまり、Buypass Go SSLから証明書を取得した後、自動更新を有効にするには、証明書を保存する必要があります。

6.2 証明書の取り消し

証明書を取り消すと、証明書が無効になり、すぐにWebサイトからHTTPSが削除されます。

証明書を取り消すには、

  1. 「証明書」 >> 「ACME」 >> 「Buypass Go SSL」タブに移動します。
  2. 取り消す証明書を選択し、[証明書の失効]をクリックします。
  3. 証明書は取り消され、無効になります。
    buypass-5

6.3 証明書の削除

証明書を削除すると、PAM360リポジトリから証明書が削除されますが、証明書は引き続き有効です。

証明書を削除するには、

  1. [証明書] >> [ACME] >> [Buypass Go SSL] タブに移動します。
  2. 削除する証明書を選択し、[詳細] >> [削除]をクリックします。
  3. 証明書はPAM360データベースから削除されます。
    buypass-6