SSL証明書を管理

SSL証明書をPassword Manager Proの一元化されたリポジトリに作成、ディスカバリーおよび保存が可能です。新しい証明書および既存の証明書へのドメイン追加要求を発生させます。証明書の有効期限が近づくと通知が届き、タイムリーな更新に役立ちます。 

Password Manager Proを使用して次のことが実施可能です。:

  1. ネットワークで自己署名証明書またはCA発行の証明書を作成、ディスカバリー、またはインポートします。
  2. 証明書署名要求(CSR)を生成します。
  3. 新しい証明書の要求を追加するか、既存の証明書にサブドメインを追加します。
  4. 証明書の有効期限が近づいたときに通知を受け取ります。

(ビルド10404から11000まで適用可能)
前提条件:

Password Manager Proは、ターゲットマシンにリモート接続を起動して、SSL証明書ディスカバリーとSSL証明書展開 を実行します。Password Manager Proでその実行をするには、下の手順を完了します:

1.このリンクから.zipフォルダーをダウンロードし、.zipフォルダーからremcom.exeファイルを抽出します。
2.Remcom.exeファイルをコピーして<PMP Installation Folder>/binディレクトリに貼り付けます。

ビルド11000以降、上記の機能はremcom.exeファイルなしで動作します。

SSL証明書を管理する手順

  1. ネットワークでの証明書のディスカバリー
    1.1 オンデマンドでのSSL証明書のディスカバリー
    1.2 SMTPサーバーからのSSL証明書のディスカバリー
    1.3 ロードバランサーに展開されたSSL証明書のディスカバリー
    1.4 共有ディレクトリパスからSSL証明書をディスカバリー
    1.5 KMPエージェントを使用したSSL証明書のディスカバリー
    1.6 スケジュールを介してSSL証明書を自動的にディスカバリー
    1.7 AWSでホストされているSSL証明書のディスカバリー(ACMおよびIAM)
    1.8 Active Directoryのユーザーアカウントにマップされた証明書のディスカバリー
  2. 自己署名証明書の作成
  3. CSRの生成
    3.1 CSRの管理
  4. 証明書署名
    4.1 Microsoft認証局
    4.2 エージェントを利用したMS CA
    4.3 ルートCAで署名
    4.4 自動更新
  5. 証明書のインポートとエクスポート
  6. 証明書の更新
  7. 証明書の編集と削除
  8. 証明書の要求
    8.1 証明書要求の追加
    8.2 証明書要求ステータス
    8.3 証明書要求ライフサイクルの終了
  9. 有効期限通知スケジュールのカスタマイズ
  10. WHOISルックアップによるドメインの有効期限の追跡
  11. SSL証明書グループ
    11.1 証明書グループの作成
    11.2 証明書グループの編集
    11.3 証明書グループの削除

1.ネットワークでの証明書のディスカバリー

CAに関係なく、Password Manager Proを使用して、ネットワークで使用可能なすべての証明書を自動的にディスカバリーできます。証明書は、必要に応じていつでも、スケジュールされたタスクに基づいて定期的にディスカバリーできます。ディスカバリーオプションは非常に柔軟です。単一のサーバーまたは複数のサーバーから、および複数のポートから一度に証明書をディスカバリーできます。

1.1 オンデマンドでのSSL証明書のディスカバリー

証明書を手動でディスカバリーするには:

  1. [証明書] >> [ディスカバリー] >> [証明書]に移動します。
  2. ディスカバリーのタイプのオプションを選択します。
  3. ホスト名/ IPアドレス – SSL証明書のディスカバリー元となるサーバーの名前またはIPアドレスを入力します。
  4. IPアドレス範囲 – IP範囲を指定し、その範囲に該当するサーバーで使用可能なすべてのSSL証明書をディスカバリーします。
  5. ファイル参照 – ネットワークで証明書を使用できるサーバーのリストをテキストファイルとして保存している場合は、直接ロードして、これらすべての証明書をディスカバリーできます。
  6. サブネット – このオプションを使用して、IP範囲内の特定のサブネットワークからリソースをディスカバリーします。
  7. SSLホスト名ディスカバリーで、ホスト名を特定のIPアドレスに解決する場合は、次に示すように、ホスト名の後にコロン(:)で区切ってIPアドレスを指定します:
    example.com:172.168.203.56
    ファイル参照のディスカバリーにおいても同じフォーマットです。

注:インポートするファイルは、個別の行として入力された、個々のサーバーのホスト名またはIPアドレスを含むテキストファイルである必要があります。次の表に示すように、各サーバーでスキャンするポートをスペースで区切って、別々の行に入力します。ポートを指定しない場合、デフォルトのポート443を使用するSSL証明書がディスカバリーされます。


0.0.0.0

6565

test-username-10

443

192.168.20.20 7272
  1. IPアドレス範囲とサブネットオプションを使用した一括ディスカバリーの場合、特定のリソースをディスカバリーから除外できる[IPアドレスを除外する]フィールドがあります。除外する必要のあるリソースのIPアドレスを指定します。 
  2. タイムアウトとポートオプションの値を指定します。
    1. タイムアウト:アプリケーションが証明書(それぞれ)のディスカバリーを試行する秒数を指します。デフォルト値は5秒です。
    2. ポート:SSH通信に使用されるエンドターミナルのポートを指します。デフォルトでは、SSL証明書にはポート443が使用されます。

    3. 注:

    1. 単一のディスカバリーインスタンスでSSL証明書をディスカバリーするために、コンマで区切って複数のポートを指定できます。
    2. SSLディスカバリー中またはPassword Manager Proリポジトリへ証明書を手動追加中、詳細(コモンネームとシリアル番号)を[管理タブ] >> [SSL証明書] >> [証明書を除外します]へ入力し、個別証明書を除外することができます。指定された証明書は、ディスカバリーまたは手動追加中、Password Manager Pro証明書リポジトリへのインポートから除外されます。
  3. [管理者設定]でプロキシサーバー設定を有効にしている場合は、[インターネット接続にプロキシ サーバーを使用]チェックボックスをオンにします。このオプションを選択すると、Password Manager Proはプロキシサーバーをバイパスし、オンライン証明書のディスカバリーを直接実行します。プロキシサーバーをバイパスするオプションは、ホスト名/ IPアドレス、IPアドレス範囲、ファイル参照、およびサブネットモードを使用したSSL証明書のディスカバリーに使用できます。さらに、スケジュールされた証明書のディスカバリー中にプロキシサーバーをバイパスすることもできます。
  4. [ディスカバリー]をクリックします。現在のディスカバリーインスタンスのステータスが更新される[ディスカバリーステータス]ページにリダイレクトされます。
    pmp-android-login

1.2 SMTPサーバーからのSSL証明書のディスカバリー

ネットワークに存在するメールサーバーによって使用されるSSL証明書をディスカバリーし、それらをPassword Manager Proの一元化された証明書リポジトリに統合できます。メールサーバー証明書のディスカバリーを実行するには:

  1. [証明書] >> [ディスカバリー] >> [メールサーバー証明書]に移動します。
  2. 証明書のディスカバリー元のホスト名/IPアドレスを指定し、ポート番号を指定します。複数のポート値をコンマで区切って指定できます。
  3. [ディスカバリー]をクリックします。ディスカバリーが成功すると、証明書は指定されたリソースからフェッチされ、Password Manager Proのリポジトリに追加されます。
    pmp-android-login

1.3 ロードバランサーに展開されたSSL証明書のディスカバリー

Password Manager Proを使用すると、ネットワーク内のロードバランサーに展開されているSSL証明書をディスカバリーし、それらを安全な一元化されたリポジトリに統合できます。現在のところ、Password Manager ProはLinuxベースのロードバランサー(つまり、Nginx、F5など)からの証明書のディスカバリーのみをサポートしており、プロセスはSSH経由でトンネリングされます。ロードバランサー証明書のディスカバリーを実行するには:

  1. [証明書] >> [ディスカバリー] >> [ロードバランサー]に移動します。
  2. サーバー名、ポート、ユーザー名、クレジデンシャル種別、種別パスを指定します。
  3. [鍵を選択]オプションを選択すると、パスワードなしのリソースに対してキーベースの認証を選択できます。必要なユーザーアカウントに関連付けられている秘密鍵をアップロードし、キーのパスフレーズを指定します。
  4. ドロップダウンからロードバランサーのタイプを選択します。Password Manager Proは、次の3種類のロードバランサーディスカバリーをサポートしています:一般、BIG-IP F5、およびCitrix。Citrix種別ディスカバリーは、CLIコマンドの使用とRESTAPIの使用の2つの方法で実行できます。 
  5. ユーザーの資格情報を入力したら、証明書をディスカバリーする必要があるサーバー内のフォルダーへのパスを指定します。
  6. [証明書リストを発見する]オプションは、指定されたパスで使用可能なすべての証明書をフェッチし、ディスカバリーしてインポートする証明書を選択するのに役立ちます。
  7. Citrixロードバランサーをディスカバリーするには、次の手順を実行します:
    1. 種別として「一般」を選択し、Citrixロードバランサーパスを入力して、 「ディスカバリー」をクリックします。
    2. それが機能しない場合は、種別をCitrixとして選択し、パスを入力して、再試行してください。
    3. 上記の両方の方法が失敗した場合は、種別をCitrixとして選択し、[REST APIを使用する]チェックボックスを選択し、パスを入力して、[ディスカバリー]をクリックします。
  8. 証明書が正常にディスカバリーされれば、Password Manager Proの一元化された証明書リポジトリにインポートされます。それらは[証明書]タブから表示できます。[証明書リストのディスカバリー]オプションは、指定されたパスで使用可能なすべての証明書をフェッチし、ディスカバリーしてインポートする証明書を選択するのに役立ちます。
  9. 拡張子が.keystoreおよび.pfxの証明書ファイルは、証明書リポジトリに自動的にインポートされません。 Password Manager Proにインポートするには、パスフレーズを提供する必要があります。これらのファイルをインポートするには、ウィンドウの右上隅にある[JKS / PKCS]をクリックします。ポップアップ表示されるウィンドウで、インポートする証明書ファイルを選択し、トップメニューから[インポート]をクリックします。開いたポップアップで、ファイルのパスワードを入力し、もう一度[インポート]をクリックします。
  10. 選択した証明書ファイルが正常にインポートされ、Password Manager Proの証明書リポジトリに追加されます。

    11. 注:Citrix REST APIベースのロードバランサーのディスカバリー中に、提供するユーザー資格情報には、ファイルの読み取りとRESTAPIアクセスのための十分なアクセス許可が必要です。したがって、ディスカバリーを確実に成功させるために、スーパー管理者役割を持つアカウントの資格情報を提供することをお勧めします。

pmp-android-login

1.4 共有ディレクトリパスからSSL証明書をディスカバリー

Password Manager Proを使用すると、ネットワーク内の共有ディレクトリパスに保存されているSSL証明書をディスカバリーし、それらを安全な一元化されたリポジトリに統合できます。このオプションを使用すると、特定のフォルダーに保存されているすべての証明書ファイルをディスカバリーしてから、すべての証明書をリポジトリーに追加するか、インポートする証明書を選択できます。ディスカバリープロセス中、Password Manager Proは、パスで指定されたフォルダーのみをスキャンし、ターゲットマシンの他の場所はスキャンしません。

共有ディレクトリパスからSSL証明書をディスカバリーしてインポートするには、次の手順に従います:

  1. [証明書] >> [ディスカバリー] >> [共有されたパス]に移動します。[種別]ドロップダウンから[Windows]または[Linux / Mac OS]を選択します。
  2. Windows
    1. 共有パスが存在するターゲットマシンのサーバー名を入力します。ローカルマシンからディレクトリパスを入力する場合は、このフィールドを空のままにします。 
    2. 「認証にPassword Manager Proのサービスアカウント資格情報を使用してください」のチェックボックスを選択するか、ユーザー名とパスワードを入力します。
    3. ターゲットマシンのディレクトリパスを指定します。例:D:\sharedpath\subsharedpath。
  3. Linux / Mac OSの場合
    1. 共有パスが存在するターゲットマシンのサーバー名、ポート、およびユーザー名を入力します。 
    2. 認証の場合は、[パスワード]オプションを選択してパスワードを直接入力するか、 [鍵を選択]オプションを選択して、SSHキーベースの認証用のパスフレーズを含む秘密鍵をアップロードします。
    3. ターゲットマシンのディレクトリパスを指定します。例:\home\test\shared。
  4. [証明書リストを発見する]オプションをクリックして、指定したパスで使用可能なすべての証明書をフェッチします。このリストから、必要な証明書を選択し、[ディスカバリー]をクリックします。特定のファイルを選択しない場合、共有パスで見つかったすべての証明書ファイルがインポートされます。
  5. 拡張子が.keystoreおよび.pfxの証明書ファイルは、右上隅のJKS / PKCSオプションの下に個別にグループ化されます。これらの証明書をインポートするには、[JKS / PKCS]をクリックし、インポートする証明書ファイルを選択し、ファイルパスフレーズを入力して、[インポート]をクリックします。

ディスカバリーのステータスを確認するには、[ディスカバリー監査]タブをクリックします。

注:サイズが30KBを超える証明書ファイルは、このディスカバリー操作中にインポートされません。

pmp-android-login

1.5 KMPエージェントを使用したSSL証明書のディスカバリー

Password Manager ProのWebインターフェイスから直接KMPエージェントを使用して、ネットワーク全体に展開されているSSL証明書をディスカバリーできます。この機能を使用すると、KMPWindowsエージェントをダウンロードしてターゲットシステムに展開できます。また、これらのシステムから証明書をディスカバリーして、Password Manager ProWebインターフェースから直接一元化された証明書リポジトリにインポートすることもできます。エージェントが展開されているサーバーは、安全なHTTPS接続を介してPassword Manager Proサーバーに接続されています。

KMPエージェントを介して証明書をディスカバリーすると、次のシナリオで役立ちます:

  1. ディスカバリー操作の実行に必要なターゲットサーバーの管理者資格情報がPassword Manager Proサーバーで使用できない場合。
  2. たとえば、DMZ内のサーバーなど、Password Manager Proが直接アクセスできないサーバーから証明書をディスカバリーする必要がある場合です。このような場合、エージェントは通常、リモートサーバーにアクセスし、必要な情報をPassword Manager Proサーバーに渡す権限を持つ中間ジャンプサーバーにインストールされます。

KMPエージェントを使用してSSL証明書をディスカバリーするには、最初にエージェントをダウンロードしてインストールする必要があります。次の手順に従ってください:

KMPエージェントを介してSSL証明書のディスカバリーを実行する手順:

  1. [証明書] >> [ディスカバリー] >> [エージェント]に移動します。
  2. 実行するディスカバリーの種類(ドメインベース、証明書ストア、またはMicrosoft認証局によって発行された証明書)を選択します。
  3. ドロップダウンから必要なエージェントを選択して、操作を実行します。
  4. エージェントがビジー状態の場合は、しばらく待ってから再試行してください。
  5. Microsoft CAディスカバリーの場合、期限切れ/失効した証明書を除外するか、提供されたフィルターを使用して発行日または証明書テンプレートに基づいてディスカバリーを実行するかを選択できます。
  6. [ディスカバリー]をクリックします。

証明書は、エージェントがインストールされているサーバーからディスカバリーされ、Password Manager Proの証明書リポジトリにインポートされます。

1.5.i リモートマシンのディレクトリパスからSSL証明書をディスカバリー

Password Manager Proを使用すると、Password Manager Proサーバーから直接アクセスできないリモートマシンのディレクトリパスに保存されているSSL証明書をディスカバリーができます。これは、KMPエージェントを介して実行されます。証明書がディスカバリーされたら、それらをPassword Manager Proの一元化されたリポジトリに統合できます。このオプションを使用すると、特定のフォルダーに保存されているすべての証明書ファイルをディスカバリーし、すべての証明書をリポジトリーに追加するか、必要なものだけを選択できます。ディスカバリープロセス中、KMPエージェントはパスで指定されたフォルダーのみをスキャンし、ターゲットマシンの他の場所はスキャンしません。

以下の手順に従って、リモートマシンのディレクトリパスからSSL証明書をディスカバリーしてインポートします:

  1. [証明書] >> [ディスカバリー] >> [エージェント]に移動し、ディスカバリーの種類として[ディレクトリ]を選択します。
  2. ドロップダウンメニューからエージェントを選択します。
  3. ターゲットマシンのディレクトリパスを指定します。例:D:\sharedpath\subsharedpath。
  4. [証明書リストのディスカバリー]オプションをクリックして、指定したパスで使用可能なすべての証明書をフェッチします。
  5. このリストから、必要な証明書を選択し、[ディスカバリー]をクリックします。
  6. タイムアウト間隔を秒単位で入力します。
  7. 拡張子が.keystoreおよび.pfxの証明書ファイルは、右上隅のJKS / PKCSオプションの下に個別にグループ化されます。これらの証明書をインポートするには、[JKS / PKCS]をクリックし、インポートする証明書ファイルを選択し、ファイルパスフレーズを入力して、[インポート]をクリックします。

ディスカバリーのステータスを確認するには、[ディスカバリー監査]タブをクリックします。

注:

  • この機能は、最新のKMPエージェントでのみ機能します。
  • サイズが30KBを超える証明書ファイルは、このディスカバリー操作中にインポートされません。

1.6 スケジュールを介してSSL証明書を自動的にディスカバリー

SSL証明書のディスカバリーは、定期的に実行するようにスケジュールすることもできます。

  1. [管理タブ] >> [SSH / SSL変換] >> [SSH/SSLスケジュール]に移動します。
  2. [スケジュールを追加]ボタンをクリックします。
  3. [スケジュールを追加]ウィンドウで、スケジュールの名前を入力し、SSLディスカバリーとしてスケジュールのタイプを選択します。
  4. SSL証明書を確認するために、開始IPアドレスと終了IPアドレス、および終了端末のポートを指定します。
  5. 繰り返しの種別を選択します – 毎時、毎日、毎週、毎月、または1回のみ。選択したオプションに対応する開始時刻、日付、または曜日を設定します。
  6. 通知するユーザーのメールアドレスを入力します。電子メール設定は、 [セットアップ] >> [メールサーバー設定]タブから構成できます。
  7. 保存ボタンをクリックします。

新しいスケジュールの追加を確認するメッセージが表示されます。

1.7 AWSでホストされているSSL証明書のディスカバリー(ACMおよびIAM)

Password Manager Proを使用すると、次のアマゾンウェブサービスでホストされているSSL証明書の有効期限通知をディスカバリー、インポート、および設定できます:AWS Certificate Manager(ACM)およびAWS Identity and Access Management(IAM)

以下の手順に従って、SSL証明書をディスカバリーしてACM / IAMからPassword Manager Proにインポートします。

手順1:Password Manager ProでAWS資格情報を設定

Password Manager ProでAWS資格情報を追加するには、

  1. [証明書] >> [ディスカバリー] >> [AWS] >> [AWS資格情報を管理]に移動し、[追加]をクリックします。
  2. 開いた[AWS資格情報を追加]ウィンドウで、資格情報名、説明、アクセスキーシークレットキーを入力します。
  3. [テストログイン]オプションを使用して、ログインが成功したかどうかを確認します。ログインに成功すると通知されます
  4. 次に、[保存]をクリックします。資格情報はPassword Manager Proに正常に保存されます。

手順2:ディスカバリーとインポート

  1. [証明書] >> [ディスカバリー] >> [AWS]タブに切り替えます。
  2. Password Manager Proで設定されたものの中から適切なAWS資格情報を選択するか、アクセスキーシークレットキーを提供します。
  3. 証明書のインポート元となる必要なAWSサービスを選択します:ACMまたはIAM
  4. ACMから証明書をインポートするには、AWSサービスでACMを選択し、サービスリージョンを選択します。
  5. [ディスカバリー]をクリックします。
  6. 証明書は、選択したリージョンのリソースからディスカバリーされ、Password Manager Proにインポートされます。
  7. IAMから証明書をインポートするには、必要なAWSユーザー名を指定するか、[AWSユーザー名を一覧表示]オプションを使用してユーザー名を取得します。必要なユーザー名を選択し、[ディスカバリー]をクリックします。
  8. [サーバー証明書を含める]オプションをオンにして、対応するAWSユーザーのサーバー証明書をインポートすることもできます。

ユーザー証明書はPassword Manager Proにインポートされます。

pmp-android-login

1.8 Active Directoryのユーザーアカウントにマップされた証明書のディスカバリー

Password Manager Proは、Active Directoryのユーザーアカウントにマップされた証明書をディスカバリーおよび管理するのに役立ちます。

ADユーザー証明書のディスカバリーを実行するには、

  1. [証明書] >> [ディスカバリー] >> [ADユーザー証明書]に移動します。
  2. ドロップダウンから、ADの一部を形成する必要なドメイン名を選択します。
  3. ドメインコントローラーのDNS名を指定します。このドメインコントローラーが、プライマリドメインコントローラーになります。
  4. プライマリドメインコントローラーがダウンしている場合は、セカンダリドメインコントローラーを使用できます。セカンダリドメインコントローラがある場合は、それらのDNS名をカンマ区切り形式で指定します。利用可能なセカンダリドメインコントローラの1つが使用されます。SSLモードを使用する場合は、ここで指定するDNS名がドメインコントローラーのSSL証明書で指定するCN(共通名)と一致していることを確認してください。
  5. 特定のドメイン内のユーザーアカウントの有効なユーザー資格情報(ユーザー名とパスワード)を入力します。次に、証明書のディスカバリーを実行するユーザー/ユーザーグループ/OUを入力し、[インポート]をクリックします。グループ/OU全体の証明書ディスカバリーを実行するには、[グループ/OUツリーのインポートタイプ]を選択し、ドロップダウンリストから必要なグループを選択します。
  6. Password Manager Proには、証明書のディスカバリーの実行中にADユーザーをインポートするオプションもあります。[ADユーザーのインポート]チェックボックスを有効にして、証明書のディスカバリーが行われるPassword Manager ProにそれらのADユーザーアカウントをインポートします。
  7. ディスカバリーされた証明書は、Password Manager Proの証明書リポジトリに自動的に追加されます。
    pmp-android-login

1.8.i MS証明書ストアおよびローカルCAからの証明書の管理

Password Manager Proは、MS証明書ストアおよびローカル証明機関によって発行された証明書を要求、取得、ディスカバリー、統合、追跡、および管理するのに役立ちます。MS証明書ストアおよびローカルCAから証明書をインポート/取得する前に、ドメイン管理者アカウントをPassword Manager Proのサービスログオンアカウントとして使用していることを確認してください。

  1. [証明書] >> [ディスカバリー] >> [MS証明書ストア]に移動します。
  2. Microsoft CAのみによって発行された証明書をディスカバリーしてインポートするには、ドロップダウンから[Microsoft Certificate Authority]オプションを選択します。その過程で、以下のチェックボックスの選択を解除することで、期限切れ/失効した証明書を除外することを選択できます。
  3. MS証明書ストアからすべての証明書をディスカバリーするには、ドロップダウンメニューから[証明書ストアの種類]を選択します。
  4. チェックボックスを選択して、認証にPassword Manager Proサービスアカウントの資格情報を使用するか、Windowsドメインコントローラーマシンの名前やドメイン管理者の資格情報などの他の詳細を指定できます。
  5. 認証にPassword Manager Proサービスアカウント資格情報を使用することを選択した場合は、[IPアドレス範囲]を選択して、証明書をディスカバリーするための開始IP終了IPを指定できます。
  6. 証明書のディスカバリーおよびインポート元の証明書ストア名を指名します。
    すなわち、証明書ストア名を指定しているときに使用する形式に従う:\\server_name\store_name
    i. 例. server_name\Root (信頼されるルート認証局から証明書をディスカバリーする)
    ii. 例., server_name\My (個人証明書をディスカバリーする)
  7. または、[ストアの取得]をクリックして、Windowsドメインコントローラーで使用可能なストアのリストを取得し、ディスカバリーする必要のある証明書ストアを選択することもできます。
  8. [ディスカバリー]をクリックします。ディスカバリーされた証明書は、 [証明書]タブで表示できます。
  9. 特定のMSCAによって発行された証明書をディスカバリーするには、プルダウンから[Microsoft認証局]を[種別]として選択し、サーバー名と必要な資格情報を入力して、[Microsoft認証局]テキストボックスにMSCA名を入力します。このテキストボックスは、Password Manager ProサーバーがWindows Serverマシンにインストールされている場合にのみ表示されることに注意してください。
  10. ディスカバリー中に、それぞれのチェックボックスを選択することにより、期限切れの失効した証明書を含めることを選択できます。[日付フィルター]を選択し、日付範囲を入力して、指定された範囲に従ってディスカバリーされた証明書をフィルターします。テンプレート名/ OIDオプションを選択して、証明書テンプレートを選択します。ディスカバリー操作ごとに最大5つの証明書テンプレートを追加できます。このオプションは、特定のMSCAによって発行された証明書のスケジュールされたディスカバリー中にも使用できます。

注:Windows証明書ストアのディスカバリー中に、ターゲットサーバー名が指定されていない場合、[ストアの取得]オプションを選択すると、ローカルホストで使用可能なすべての証明書ストアが一覧表示されます。

pmp-android-login

Password Manager ProからローカルCAに保存されている証明書を要求および取得するには、最初に証明書署名要求を生成してから、以下の手順を使用してローカル証明機関から署名を取得する必要があります:

  1. [証明書] >> [CSRの作成]に移動し、[作成]をクリックします。
  2. 開いた[CSRを作成]ウィンドウで、ドメインの詳細、組織の詳細を入力し、鍵アルゴリズム、鍵サイズ、署名アルゴリズム、鍵ストア種別を選択し、有効期間(日)とキーストアパスワードを指定して、[作成]をクリックします。
    pmp-android-login
  3. 既存のキーからCSRを生成する場合は、 [秘密鍵からCSRを作成]オプションを選択し、キーの場所とパスワードを指定して、[作成]をクリックします。 
  4. CSRが生成され、 [証明書] >> [CSR]タブから表示できます。

Microsoft Certificate Authorityから署名されたCSRをPassword Manager Pro本体から直接取得することもできます。

  1. [証明書] >> [CSRの作成]タブに移動し、必要なCSRを選択して、CSRテーブルビューの上にあるオプションから[署名]をクリックします。  
  2. 開いたダイアログボックスで、内部証明機関を実行するサーバーの名前、CA名を入力し、要件に基づいて証明書テンプレートを選択します。[署名]をクリックします。
  3. CSRが署名され、発行された証明書は[証明書]タブから表示できます。
    pmp-android-login

1.8.ⅱ SSL証明書を再ディスカバリー

ビルド11300以降、Password Manager Proでは、前回のディスカバリー操作で入力したサーバーの詳細を使用して、同じソースからSSL証明書を再ディスカバリーできます。以下の手順に従って、証明書の再ディスカバリーを実行します:

  1. [証明書]タブに移動します。
  2. 必要な証明書を選択し、[詳細] >> [再ディスカバリー]をクリックします。

再ディスカバリー操作はすぐに開始されます。ディスカバリーステータスは、[ディスカバリー監査]ページで追跡できます。エージェントベースのディスカバリーが正しく機能するためには、ディスカバリー操作を開始する前に、KMPエージェントをビルド11300にアップグレードすることに注意してください。

1.8.ⅲ 一元化された証明書リポジトリ

ディスカバリーされたすべてのSSL証明書、手動でディスカバリーされたもの、およびスケジュールされたディスカバリー操作でディスカバリーされたものは、Password Manager Proの一元化されたリポジトリに自動的に追加されます。これらの証明書は、ユーザーインターフェイスの[証明書] >> [証明書]オプションで表示できます。

pmp-android-login

i. SSL証明書を検索

Password Manager Proを使用すると、共通名、DNS名、発行者、鍵サイズ、署名アルゴリズム、説明、追加フィールドなどを使用して証明書を検索できます。

  1. [証明書] >> [証明書]に移動します。
  2. テーブルヘッダーの右隅にある検索アイコンをクリックし、表示されるテキストボックスに検索フレーズを入力します。
    pmp-android-login

1.8.ⅳ 秘密鍵/キーストアファイルのエクスポート

Password Manager Proを使用すると、証明書リポジトリに保存されているSSL証明書の秘密鍵/キーストアファイルを識別してエクスポートできます。PKCS12 / PFXやPEM形式などの他の形式で証明書をエクスポートすることもできます。Password Manager Proを使用して秘密鍵を管理する証明書の横にある有効なキーストアアイコン()をクリックします。

秘密鍵または証明書ファイルをエクスポートするには:

  1. [証明書] >> [証明書]に移動します。
  2. 秘密鍵をエクスポートする必要がある証明書の横にあるキーストアアイコン()をクリックします。
  3. ドロップダウンから、要件に応じて次のオプションから選択します:
    1. キーストア/ JKSのエクスポート:選択した証明書のキーストアファイルがダウンロードされます。
    2. PKCS12 / PFXのエクスポート:選択した証明書がPFX形式でダウンロードされます。
    3. PEMのエクスポート:選択した証明書は、PEM(Privacy Enhanced Mail)形式でダウンロードされます。
    4. 秘密鍵のエクスポート:選択した証明書の秘密鍵がダウンロードされます。
  4. 対応する証明書が選択した形式でダウンロードされます。

1.8.ⅴ さまざまな証明書バージョンの追跡と管理

同じドメインの異なるエンドサーバーで異なる証明書を使用しなければならない状況が発生する場合があります。このような状況では、これらの証明書が共通のドメインを表している場合でも、これらすべての証明書の使用状況と有効期限を個別に追跡する必要があります。このようなさまざまな証明書バージョンを手動で監視することは、困難でエラーが発生しやすくなります。Password Manager Proを使用すると、さまざまな証明書バージョンの使用状況と有効期限を1つのウィンドウから同時に追跡および管理できます。

証明書のバージョンを追跡するには:

  1. [証明書]タブに移動します。
  2. 必要な証明書に対応する、テーブルビューの右隅にある証明書履歴アイコン()をクリックします。
  3. 開いた証明書履歴ウィンドウで、管理する証明書のバージョンを選択し、証明書設定アイコンをクリックします。[証明書の管理]をクリックします。
  4. 特定の証明書バージョンが管理用に設定され、Password Manager Proはそのバージョンの使用状況と有効期限の追跡を個別に開始します。 
  5. 管理するすべての証明書バージョンに対して同じ手順を繰り返します。

1.8.ⅵ 最新の証明書バージョンでサーバーの更新

ワイルドカード証明書または単一のSSL証明書が複数のサーバーに展開されている場合は、証明書が展開されているサーバーを追跡し、最新の証明書バージョンが使用されているかどうかを確認する必要があります。Password Manager Proは、これを確実にするのに役立ちます。

  1. [証明書] >> [証明書]タブに移動します。
  2. 必要な証明書に対応する[証明書の履歴]アイコン()をクリックします。
  3. ウィンドウが開き、証明書のさまざまなバージョンが一覧表示されます。証明書の最新バージョンがメイン証明書として設定されていることを確認してください。そうでない場合は、必要なバージョンの横にある()アイコンをクリックして、そのバージョンの証明書をPassword Manager Proリポジトリのメイン証明書として設定します。
  4. 次に、もう一度、[証明書] >> [証明書]タブに移動し、必要な証明書に対応する[複数のサーバー]アイコン()をクリックします。
  5. ウィンドウが開き、証明書が展開されているサーバーと、IPアドレス、ポート、証明書の有効性などの他の情報が一覧表示されます。
  6. リストされているサーバーのいずれかに古いバージョンまたは期限切れのバージョンの証明書がある場合は、すぐに最新バージョンに更新してください。サーバーを選択し、[展開]をクリックします。詳細な展開手順については、こちらをご覧ください。
  7. [追加]をクリックして、新しいサーバーを追加します。 
  8. 表示されるポップアップで、 DNS名、IPアドレス、およびポートを指定します。 
  9. [保存]をクリックします。
  10. 必要なサーバーに対応する編集アイコンをクリックしてサーバーの詳細を変更し、[保存]をクリックします。
    pmp-android-login

また、証明書を選択して[その他]ドロップダウンをクリックすると、特定の証明書に関連する詳細を編集したり、無関係な証明書を削除したりできます。

2.自己署名証明書の作成

Password Manager Proを使用すると、管理者はJava keytoolを使用して独自の自己署名証明書を作成できます。これらの証明書は、作成が成功すると、Password Manager Proリポジトリに自動的にインポートされます。

Password Manager Proを使用して自己署名証明書を作成するには:

  1. [証明書] >> [証明書] >> [作成]に移動します。
  2. 組織と証明書の有効性の詳細を入力し、[鍵のアルゴリズム][鍵のサイズ][署名アルゴリズム]を選択して、[証明書の作成]タブの[ストアのパスワード]にキーを入力します。[パスワードの生成]アイコンをクリックして、キーストアのパスワードを生成します。
  3. [有効種別]日数として選択し、証明書が有効になる日数を指定します。
  4. 有効期間が制限された一時的な証明書を作成するには、[有効種別][時間]または[分]として選択し、有効期間を指定します。証明書は指定された時間後に期限切れになります。
  5. 期限切れ通知メールの送信先となるメールアドレスを記載してください。
  6. [ルート証明書を生成する]チェックボックスをオンにすると、生成する証明書をルート証明書として生成することができます。 
  7. 新しい証明書にオプションのプロパティを追加するには、[追加のオプション]をクリックしてメニューを展開します。ここでは、キーの使用法拡張キーの使用法の2つのカテゴリのオプションがあります。必要なオプションを選択して、証明書の優先フラグを設定し、新しい証明書を使用できる目的を示します。[キーの使用法]オプションには、否認防止、デジタル署名、データまたはキーの暗号化、サーバー/クライアント認証などがあります。[重大]チェックボックスをオンにすると、プロパティを選択して重大としてマークできます。
  8. [作成]ボタンをクリックします。証明書の内容が表示されている証明書ウィンドウにリダイレクトされます。
  9. 証明書の内容をコピーするか、証明書を必要な電子メールまたはシステムにエクスポートできます。
    1. 電子メール – このチェックボックスをオンにすると、証明書ファイルが電子メールで指定されたメールIDに送信されます。
    2. エクスポート – このチェックボックスを選択して、ファイルをシステムにエクスポートします。
  10. [保存]ボタンをクリックすると、両方のオプションが有効になります。
  11. 前の手順で選択した場合は、[保存]ボタンをクリックして証明書を証明書リポジトリに保存し、証明書ファイルをエクスポートします。

    (ビルド11000以降に適用可能)

    注:

    [コモンネーム]フィールドにワイルドカード証明書名を入力する以外に、自己署名証明書を作成するときに[SAN]フィールドにワイルドカード名を追加できます。ワイルドカード証明書を使用すると、登録されたベースドメインに対して無制限の数のサブドメインを保護できます。

    たとえば、ベースドメインのzoho.comについて考えてみましょう。*.zoho.comのワイルドカード証明書を使えば、any-subdomain.zoho.comを保護できます。アスタリスク(*)は、有効なサブドメインに対応するワイルドカードです。

    12. pmp-android-login
    pmp-android-login

3.CSRの生成

Password Manager ProからJavaキーツールを使用してCSRを生成するには、次のようにします:

  1. [証明書] >> [CSRの作成]に移動します。利用可能なすべてのCSRが、ドメイン名、作成者、作成時間、鍵のサイズ、鍵のアルゴリズムなどの詳細とともにリストビューに表示されます。
  2. [作成]をクリックして、新しいCSRを生成します。表示されたフォームで、次の手順を実行します:
    1. 手動でCSRを作成するか、秘密鍵からCSRを作成するかを選択します。CSRテンプレートから選択することもできます。[CSRテンプレートの管理]リンクをクリックして、1つを選択します。 
    2. するを選択した場合:
      1. [参照]をクリックして、キーストアファイルを選択します。
      2. 秘密鍵のパスワードを入力し、[作成]をクリックします。
    3. CSRを手動で作成することを選択した場合:
      1. コモンネーム、SAN、組織単位、組織、場所、州などの必要な詳細を指定します。
      2. 鍵アルゴリズム、鍵のサイズ、署名アルゴリズム、および鍵ストア種別を選択します。
      3. 有効タイプ(日数、時間または分)を選択し、有効期間について説明します。
      4. ストアのパスワード期限切れ通知メールアドレスを入力します。[パスワードの生成]アイコンをクリックして、キーストアのパスワードを生成します。
      5. 署名タイプを選択し、必要な詳細を入力します。
      6. 今すぐ署名タイプを選択せずに、後でCSRに署名することもできます。後でCSRに署名する方法についての詳細は、ここをクリックしてください。
      7. [作成]をクリックします。CSRコンテンツが表示されるCSRウィンドウにリダイレクトされます。

CSRが正常に作成され、リストビューに追加されました。 

      (ビルド11000以降に適用可能)

      注:

      [コモンネーム]フィールドにワイルドカード証明書名を入力する以外に、自己署名証明書を作成するときに[SAN]フィールドにワイルドカード名を追加できます。ワイルドカード証明書を使用すると、登録されたベースドメインに対して無制限の数のサブドメインを保護できます。

      たとえば、ベースドメインのzoho.comについて考えてみましょう。*.zoho.comのワイルドカード証明書を使えば、any-subdomain.zoho.comを保護できます。アスタリスク(*)は、有効なサブドメインに対応するワイルドカードです。

    pmp-android-login

注:自己署名証明書とCSRは、以下の詳細に従って、RSA / DSA / ECキーアルゴリズムとSHA署名アルゴリズムを使用して生成できます:

  • RSA – 1024、2048、または4096ビットキー。SHA-2(256、384、または512ビット)署名。
  • DSA – 512、または1024ビットキー。SHA-1(160ビット)署名。
  • EC -128または256ビットキー。SHA-2(256、384、または512ビット)署名。

3.1 CSRの管理

  1. パスフレーズを表示:すべてのCSRに対応するパスフレーズの表示アイコン()を使用すると、管理者はそれぞれのCSRファイルの鍵ストアパスワードを表示できます。
  2. エクスポート:リストビューないに表示されるCSRのアイコンを使用して、指定したメールIDにCSRをエクスポートしてメールで送信できます。
  3. インポート:CSRのインポートを選択する場合は、[インポート]をクリックします。ポップアップが表示されます。
    1. CSRファイルを参照して選択し、鍵ファイルを選択します。
    2. 秘密鍵のパスワードを入力し、 [インポート]をクリックします。
    3. CSRが正常にインポートされ、リストビューで表示できます。
    4. Password Manager Proは、証明書ファイルを対応する秘密鍵に自動的に固定し、一元化されたリポジトリに追加します。
  4. 削除:CSRを削除するには、削除するCSRを選択し、[削除]をクリックします。
    1. 表示されるポップアップで、[OK]をクリックします。
    2. 選択したCSRが正常に削除されました。
  5. CSRテンプレート:[CSRテンプレート]をクリックして、テンプレートを追加、削除、または管理します。生成後のこれらのテンプレートは、CSRの生成中に使用できます。

Password Manager ProからCSRを生成するだけでなく、アプリケーションの外部から生成されたCSRをアップロードし、トップメニューの[インポート]オプションを使用してPassword Manager Proからステータスを追跡することもできます。

4.証明書署名

Password Manager Proには、Microsoft認証局から、または環境内で信頼されているカスタムルートCA証明書を使用して、ネットワーク内のすべてのクライアントに署名して証明書を発行するオプションがあります。

Password Manager ProからローカルCAに証明書を要求して取得するには、最初に証明書署名要求を生成してから、以下の手順を使用してローカル証明機関から署名を取得する必要があります。

証明書に署名する方法は3つあります:

  1. MS証明機関
  2. エージェント付きMS CA
  3. ルートで署名する

[証明書] >> [CSRの作成]に移動します。

4.1 Microsoft認証局

Password Manager ProのMicrosoft認証局から署名されたCSRを取得できます。

  1. 必要なCSRを選択し、トップメニューから[署名]をクリックします。 
  2. 署名タイプMicrosoft CAとして選択します。
  3. 内部CAを実行するサーバー名証明する機関を指定します。
  4. 要件に基づいて証明書のテンプレートを選択するか、[テンプレートを使用]リンクをクリックして事前定義されたテンプレートのいずれかを選択し、[署名]をクリックします。

CSRに署名し、発行された証明書は[証明書] >> [証明書]から表示できます。

pmp-android-login

注: 

  1. ドメイン管理者アカウントを使用してPassword Manager Proを起動し、Microsoft認証局からの証明書とローカルCAによって発行された証明書の管理を開始します。ドメインサービスアカウントを使用してPassword Manager Proを実行する場合は、事前にローカル管理者グループでアカウントを構成していることを確認してください。
  2. MS CAストアのディスカバリー中に、 [サーバー名]フィールドが空のままの場合、[ストアの取得]オプションはローカルホストで使用可能なすべてのストアを一覧表示します。
  3. MS CAの自動更新を有効にするには、証明書の種類がMicrosoft CAである必要があります。手動で追加された証明書の場合、 [その他]トップメニューの[編集]オプションを使用して、証明書の種類をMicrosoft CAに変更する必要があります。

4.2 エージェントを利用したMS CA

  1. リストビューから必要なCSRを選択し、トップメニューから[署名]をクリックします。
  2. 表示されるポップアップで、
    1. 署名タイプ[エージェントを利用したMS CA]として指定します。
    2. ドロップダウンリストからエージェントを選択します。リンクをクリックしてエージェントを管理することもできます。エージェントの管理の詳細については、こちらをクリックしてください。
    3. 証明書テンプレートを指定するか、[テンプレートを使用]をクリックして新しいテンプレートを取得します。 
    4. エージェントが応答する必要がある秒単位のエージェントタイムアウトについて説明します。エージェントがタイムアウト期間内に応答しない場合、操作は失敗として監査されます。
    5. [署名]をクリックします。

CSRに署名し、発行された証明書は[証明書] >> [証明書]から表示できます。

4.3 ルートCAで署名

Password Manager Proには、Microsoft認証局から、または環境内で信頼されているカスタムルートCAを使用して、ネットワーク内のすべてのクライアントに署名して証明書を発行するオプションがあります。

  1. カスタムルートCAを作成
  2. カスタムルートCAを使用して証明書に署名
  3. 署名された証明書をターゲットシステムに展開

4.3.ⅰ カスタムルートCAを作成

ローカルで生成された証明書要求にルートCA証明書を使用して署名するには、最初にカスタムルートCAを作成する必要があります。

  1. [証明書] >> [証明書]タブに移動します。
  2. リストビューから証明書を選択し、[詳細] >> [ルートとしてマーク]をクリックします。

選択した証明書は、ルートCA証明書として正常に指定され、 [ルート証明書]タブに一覧表示されます。次に、この証明書を使用して、ローカルで生成された証明書要求に署名できます。

pmp-android-login

注: [証明書] >> [証明書] >> [作成]オプションから証明書を作成するときに[ルート証明書を生成]チェックボックスをオンにして、Password Manager Proから新しいルートCA証明書を生成することもできます。

4.3.ⅱ カスタムルートCAを使用した証明書への署名

カスタムルートCAを使用して証明書に署名するには、証明書署名要求(CSR)を生成してから、ルート証明書を使用して署名します。

  1. 必要なCSRを選択し、トップメニューから[署名]をクリックします。
  2. [署名タイプ][ルートでログイン]として選択します。
  3. ルート証明書を選択し、有効性を日数で指定して、[署名]をクリックします。

証明書は、選択したルート証明書に基づいて署名され、 [証明書] >> [証明書]タブに一覧表示されます。

また、ルートCA証明書を使用して、Password Manager Proから直接、証明書の生成とユーザーグループへの署名を同時に行うことができます。

  1. [証明書]に移動し、ウィンドウの右上隅にある[ルート証明書]をクリックします。
  2. 必要なルートCA証明書を選択し、[署名]をクリックします。表示されるポップアップで、[署名タイプ]と証明書を作成して展開する必要がある[ユーザー/ユーザーグループ]を選択し、SAN有効期間(日数)を指定します。
  3. 署名タイプのユーザー管理を使用すると、Password Manager Proでユーザーアカウントの証明書を生成して署名できます。
    1. 証明書を生成する必要があるユーザーアカウントを選択します。
    2. デフォルトでは、ユーザー証明書はルート証明書と同じパラメーターを継承します。[ルート証明書の詳細を使用する]オプションの選択を解除すると、変更できます。
    3. 詳細を入力したら、[署名]をクリックします。

証明書は署名されており、Password Manager Proの証明書リポジトリにリストされています。

pmp-android-login

署名タイプのActive Directoryユーザーを使用すると、ネットワーク環境内のActive Directoryにマップされたユーザーアカウントに証明書を生成して署名できます。

  1. ドメイン名を選択し、プライマリドメインコントローラーのアドレス、ユーザー名、およびパスワードを入力します。
  2. 単一のインポートタイプを選択してユーザーグループを指定するか、グループ/OUツリーのインポートタイプを使用して、証明書を作成する必要があるユーザーまたはユーザーグループを選択します。
  3. ユーザーを選択した後、証明書の有効期間を日数で入力します。デフォルトでは、ユーザー証明書はルート証明書と同じパラメーターを継承します。[ルート証明書の詳細を使用する]オプションの選択を解除すると、変更できます。
  4. 詳細を入力したら、[署名]をクリックします。

これにより、選択したユーザーの証明書が生成され、Password Manager Proの証明書リポジトリに一覧表示されます。

pmp-android-login

4.3.ⅲ 署名付き証明書のターゲットシステムへの展開

証明書要求に署名して証明書を取得したら、それらを必要なエンドサーバーに展開する必要があります。証明書の展開に関する詳細な説明については、ヘルプのこのセクションを参照してください。

注: WebアプリケーションのカスタムルートCAを使用して証明書に署名する場合は、セキュリティエラーメッセージを回避するために、ネットワーク内のすべてのブラウザがルートCA証明書を信頼するように構成されていることを確認してください。

4.4 自動更新

ローカルCAによって発行された証明書は、Password Manager Proから自動的に更新できます。 

ローカルCA証明書の自動更新を有効にするには、

  1. [管理] >> [SSL証明書] >> [証明書の更新]に移動します。
  2. Microsoft認証局エージェントを利用したMSCA、または自己署名を有効にします。
  3. すでに期限切れの証明書や、10日以内に期限切れを迎える証明書は、自動的に更新され、証明書リポジトリに反映されます。
  4. [期限切れまでの時間]フィールドに記載されている日数で有効期限が切れる証明書も自動更新されます。
    pmp-android-login

5.証明書のインポートとエクスポート

5.1 許可される証明書の種類

Password Manager Proを使用すると、次の種類の証明書をインポートおよびエクスポートできます:

  • .cer
  • .crt
  • .pem
  • .der
  • .p7b
  • .pfx
  • .p12
  • .pkcs12
  • .jks
  • .keystore

5.2 ネットワークに証明書をインポートする手順

  1. [証明書] >> [証明書]タブに移動し、[追加]ボタンをクリックします。
  2. [サーバーオプション]ウィンドウで適切なラジオボタンをクリックします。
    1. ファイルベース – 必要な証明書ファイルを参照してシステムから直接インポートします。
    2. 証明書コンテンツベース – 必要な証明書ファイルの内容をコピーして、テキストボックスに貼り付けます。
    3. 鍵ストアベース – 鍵ストアで利用可能なすべての個別の証明書を同時にインポートします。必要なキーストアファイルをアップロードし、対応するパスワード(ある場合)を入力します。
  3. [追加]をクリックします。
  4. 証明書はPassword Manager Proリポジトリにインポートされます。

5.3 ネットワークに証明書をエクスポートする手順

  1. [証明書] >> [証明書]に移動します。
  2. リストビューで、エクスポートする証明書名をクリックします。
  3. 開いた証明書の詳細ウィンドウで、右上隅にある[エクスポート]をクリックし、証明書をエクスポートする必要のある形式を選択します。
  4. 証明書は、選択した形式でマシンにダウンロードされます。

6.証明書の更新

Password Manager Proの[証明書]タブは、自己署名、ルート署名、Microsoft CA署名、サードパーティのCAによって発行された証明書など、すべての種類のSSL証明書が統合されて表示される一元化されたコンソールです。[更新]オプションを使用すると、これらの証明書の種類を[証明書]タブで直接更新できます。これらの更新された証明書は、展開されたサーバーとその資格情報を自動的に継承します。サードパーティのCAによって発行された証明書の場合、更新が開始され、それぞれのCAのタブにリダイレクトされます。さらに先に進むには、以下の手順に従ってください:

  1. [証明書] >> [証明書]に移動します。
  2. 証明書の更新には次の3つのタイプがあります:
    1. 自己署名証明書の更新
    2. ルート署名証明書の更新
    3. Microsoft CA署名済み/エージェント証明書更新で署名済み

6.1 自己署名証明書の更新

自己署名証明書を更新するには、次の手順に従います:

  1. 自己署名証明書を選択し、上部にある[更新]をクリックします。
  2. 更新タイプは、デフォルトで自己署名になります。
  3. [有効性]フィールドで、証明書が有効になる日数を指定します。[更新]をクリックします。

証明書は正常に更新され、有効期限は指定された新しい有効期間に応じて変更されます。

6.2 ルート署名証明書の更新

ルート署名付き証明書を更新するには、次の手順に従います:

  1. ルート署名付き証明書を選択し、上部にある[更新]をクリックします。
  2. 更新タイプはデフォルトで[ルート更新]となり、ルート名フィールドには発行者名が自動的に入力されます。
  3. [有効性]フィールドで、証明書が有効になる日数を指定します。[更新]をクリックします。

証明書は正常に更新され、有効期限は指定された新しい有効期間に応じて変更されます。

6.3 Microsoft CAの署名/エージェント証明書の更新による署名

Microsoft CA署名付き証明書を更新するには、次の手順に従います:

  1. Microsoft CA署名付き証明書を選択し、上部にある[更新]をクリックします。
  2. 証明書に秘密鍵がない場合、Password Manager Proでは新しい秘密鍵を作成できます。表示されるポップアップで[OK]をクリックします。
  3. 更新タイプサーバー名テンプレート名/ OID証明機関などの属性は、証明書の詳細から自動入力されます。サーバー名は、証明書に署名したMicrosoft CAサーバーの名前です。証明機関は、指定されたMicrosoft CAサーバーで実行されるCAサービスです。
  4. Microsoft CAによって直接またはKMPエージェントを使用して署名された証明書の場合、有効日はMicrosoft CAサーバーから取得されるため、更新時に手動で入力することはできません。これらのタイプの証明書は、Microsoft CAサーバーで指定された日付までのみ更新されます。

上記のタイプに加えて、サードパーティのCA署名付き証明書も、この更新オプションを使用して更新できます。同じ手順に従って更新を開始すると、Password Manager Proは更新要求をそれぞれのサードパーティCAにリダイレクトします。パスワードマネージャ Proの証明書の自動更新を設定する方法については、ここをクリックしてください。

注:

  1. 更新プロセス中に、CSRは、新しい秘密鍵とともに、使用可能な値から生成されます。
  2. SHA1証明書は、SHA256アルゴリズムを使用して更新されます。

7.証明書の編集と削除

7.1 Password Manager Proリポジトリから証明書を編集する手順

Password Manager Proリポジトリから証明書を編集するには:

  1. [証明書] >> [証明書]に移動します。
  2. 編集する証明書を選択し、[詳細]をクリックして、ドロップダウンから[編集]を選択します。
  3. 表示される[証明書の編集]ポップアップで、 DNS名、ポート、説明、期限切れ通知メール、および種別を編集します。
  4. 自動更新時に証明書を展開することを選択できます。 
  5. [保存]をクリックします。

    注:自動更新時にすべてのサーバーに証明書を展開できるのは、ユーザーの資格情報が利用可能な場合のみです。

7.2 Password Manager Proリポジトリから証明書を削除する手順

現在使用されていない証明書を削除できます。Password Manager Proリポジトリから証明書を削除するには:

  1. [証明書] >> [証明書]に移動します。
  2. 削除する証明書を選択します。
  3. [詳細]をクリックして、ドロップダウンから[削除]を選択します。
  4. 表示されるポップアップで、チェックボックスを選択して、選択した証明書を「除外された証明書」へ追加しますとし、理由を記載します。
  5. [OK]をクリックして、選択した証明書を削除します。

8.証明書の要求

証明書要求のワークフローは次のとおりです:

  1. 証明書要求の追加
  2. 証明書要求を閉じる

8.1 証明書要求の追加

Password Manager Proで、新しい証明書の要求または既存の証明書へのサブドメインの追加を追加するには、次の手順に従います:

  1. [証明書] >> [証明書の要求] >> [要求の追加]に移動します。
  2. 要求の種類を選択します。
    1. 新しい証明書 – 要求にCSR(オプション)と新しい証明書のドメイン名を添付します。
    2. ドメインのを追加 – 新しいドメインの名前を入力し、Password Manager Proリポジトリに追加された証明書から親ドメインを選択します。
  3. 要求の送信先のメールIDを入力し、証明書の有効期間を指定します。これらのメールアドレスは、管理者、証明書要求を処理する仲介者、または証明書要求をチケットとして発行するヘルプデスクソフトウェアのアドレスにすることができます。
  4. [追加フィールド]をクリックして、デバイス名やIPアドレスなどの追加情報を追加します
  5. [要求の追加]をクリックして、[証明書の要求]タブの要求リストに追加、指定したメールアドレスに同じものを送信します。
    pmp-android-login

8.2 証明書要求ステータス

証明書要求は、次のいずれかのステータスになります。

  • オープン
  • クローズ

証明書要求が発生すると、自動的にオープン状態に昇格します。要求の詳細は、要求のドメイン名をクリックすると、[証明書] >> [証明書の要求]から表示できます。

8.3 証明書要求のライフサイクルの終了

  1. [証明書] >> [証明書の要求]に移動します。
  2. 必要なオープン要求プロセスに対して、テーブルの右隅にある[状態]リンクをクリックします。
  3. [要求を閉じる]ウィンドウで、オプションの注釈を追加し、発行された証明書を添付し(オプション)、証明書の送信先のユーザーの電子メールIDを指定して、[保存して閉じる]ボタンをクリックします。ボタンをクリックすると、要求は自動的にクローズ状態に移行します。
  4. 要求のクローズ中にSSL証明書が添付されている場合、証明書はPassword Manager Proリポジトリに自動的にインポートされます。
  5. また、発行された証明書は、要求を発生させたユーザー、要求を閉じたユーザー、および要求を閉じたときに指定された電子メールIDに電子メールで送信されます。
    pmp-android-login

9.有効期限通知スケジュールのカスタマイズ

証明書の有効期限が近づいたときに受信する通知の周期をカスタマイズできます。通知をカスタマイズするには:

  1. [管理] >> [SSH / SSL変換] >> [通知設定]に移動します。
  2. [SSL証明書が〇日以内に期限切れになる場合に通知]チェックボックスと、証明書の有効期限が切れるまでの日数を選択して、通知の受信を開始する必要があります。
  3. [電子メール]または[Syslog]チェックボックスを選択し、適切な詳細を入力します。
  4. [保存]をクリックします。

注:選択した日付の後、証明書の有効期限が切れる前に、毎日通知が届きます。たとえば、証明書が1か月の最後の週に期限切れになりそうな場合に、[SSL証明書が7日以内に期限切れになる場合に通知する]オプションを選択すると、証明書の有効期限が切れる前の週において毎日、証明書の有効期限が近づいているという通知が届きます。


10.WHOISルックアップによるドメインの有効期限の追跡

Password Manager Proは、証明書の有効期限を追跡するだけでなく、自動化されたWHOISルックアップを通じて、管理者が期限切れのドメイン名を把握するのにも役立ちます。ルックアップを通じて取得されたドメインの有効期限の詳細は、対応するSSL証明書に対して[証明書] >> [証明書]タブに表示されます。また、管理者は、[管理] >> [SSH / SSL変換] >> [通知設定]で構成することにより、期限切れのドメインのタイムリーな電子メール通知を受信することを選択できます。

WHOISルックアップはどのように機能しますか?

ドメインの有効期限の詳細を取得するには、Password Manager ProからWHOISサーバーを2段階で検索する必要があります。最初のルックアップは、ドメインがドメインレジストラによって登録されたWHOISサーバーの詳細を提供します。2回目のルックアップでは、所有者の詳細、有効期限などのドメインに関する情報が提供されます。これらの操作はすべて、Password Manager Proのインターフェイスから自動化されます。

pmp-android-login

注: WHOISサーバーに接続するには、ポート43を使用する必要があります。ご使用の環境でポート43が開いていることを確認してください。開いていない場合、接続が失敗し、[証明書]タブで[ドメインの有効期限]が[使用不可(NA)]とマークされます。

11.SSL証明書グループ

Password Manager Proを使用すると、SSL証明書をさまざまな論理グループに編成し、グループに対してアクションを一括で実行できます。

11.1 証明書グループの作成

証明書グループを作成するには:

  1. [証明書]タブの右上隅にある[証明書グループ]アイコンをクリックします。
  2. [グループ追加]をクリックします。[証明書グループの追加]ページに移動します。 
  3. 証明書グループの名前とオプションの説明を入力します。後で変更することはできないため、名前を指定するときは注意してください。
  4. 次のいずれかの方法で、グループに追加する証明書を選択できます:
    1. 特定の証明書による - グループに個別に追加する証明書を選択し、[保存]をクリックします。
    2. 条件 - これは、証明書をグループ化する動的な方法として機能します。グループの作成基準に基づいてさまざまな基準を指定します。ここでは、発行者、共通名、鍵アルゴリズム、鍵サイズなどのさまざまな基準に基づいて証明書を選択できます。追加された追加フィールドもリストに表示されます。「等しい」または「等しくない」、「含む」または「含まない」、「で始まる」または「で終わる」などの条件に基づいて、きめ細かい方法で検索をフィルタリングできます。右下隅にある[証明書の検索]ボタンをクリックして、対応する証明書を表示します。
  5. 有効期限通知を送信するグループの電子メールアドレスを指定し、[保存]をクリックします。 
  6. 証明書グループが作成されます。追加のフィールドの詳細については、ここをクリックしてください。 

    7. 注:基準に基づいて証明書をグループ化することを選択した場合、条件は将来ディスカバリーされる証明書に適用され、基準に一致するグループに自動的に追加されます。

pmp-android-login

11.2 証明書グループの編集

既存の証明書グループに変更を加えるには:

  1. 右上隅の[証明書]タブにある[証明書グループ]アイコンをクリックします。
  2. テーブルビューの右隅にある[編集]アイコンをクリックします。
  3. 証明書の選択タイプを変更したり、グループに存在する証明書を編集したり、グループに適用されているフィルターを追加、変更、または削除したりできます。
  4. 変更を更新して保存すると、更新を確認するポップアップメッセージが表示されます。

    注:証明書グループ名は変更できません。ただし、グループ内の証明書のリストまたは説明を追加または変更することはできます。

11.3 証明書グループの削除

証明書グループを削除するには:

  1. [証明書]タブの右上隅にある[証明書グループ]アイコンをクリックします。
  2. 削除するグループを選択して、[削除]をクリックします。 
  3. アクションの確認を求めるポップアップウィンドウが表示されます。[OK]をクリックすると、選択した証明書グループが削除されます。