ZeroSSLとの連携

Password Manager Proは、自動証明書管理環境(ACME)プロトコルを使用して安全なSSL証明書を無料で提供する認証局(CA)であるZeroSSLとの連携を容易にします。この連携により、ドメインにインストールされたZeroSSL証明書のエンドツーエンドのライフサイクル管理を、単一のインターフェイスから実現できます。このドキュメントでは、ZeroSSLアカウントとの接続を確立し、Password Manager Proから取得、展開、更新、およびすべての証明書管理関連の操作を実行するために行う必要のある手順について説明します。

連携を進める前に、前提条件として次の手順を完了してください。

前提条件

Password Manager ProがZeroSSLのCAサービスに接続できるように、ファイアウォールまたはプロキシに例外として以下のベースURLとポートを追加します。
URL: https://acme.zerossl.com/v2/DV90

ポート:443

以下のステップバイステップの手順に従って、ZeroSSLをPassword Manager Proと連携します。

  1. ZeroSSLアカウントを作成する
  2. 証明書要求を発生させる
  3. ZeroSSLチャレンジ認証
  4. 証明書を入手して保存する
  5. 証明書を更新する
  6. 証明書を失効させる
  7. 証明書を削除する

1.ZeroSSLアカウントを作成する

ZeroSSLからSSL証明書を要求するプロセスを開始するには、アカウントを作成する必要があります。これは1回限りのプロセスであり、Password Manager Proインターフェイスから直接実行できます。

  1. ZeroSSLアカウントを作成するには、[証明書]タブに移動し、[ACME]ドロップダウンをクリックして、[ZeroSSL]を選択します。
  2. [管理]をクリックします。[アカウント]タブで、[新しく登録]をクリックします。
  3. ポップアップで、アカウント名と有効なメールアドレスを入力します。EAB KIDEAB HMAC鍵を入力します。アカウントのEAB KIDとHMAC鍵をまだ持っていない場合は、ここをクリックして生成します。
  4. チェックボックスにチェックを入れ、ZeroSSLの購読契約に同意します。
  5. [登録]をクリックします。これで、ZeroSSLのアカウントが作成されます。

アカウントが作成されたら、アカウントのメールアドレスの更新、Password Manager Proからの削除、アカウントの完全な無効化ができます。アカウントを削除すると、Password Manager Proからのみ削除されることに注意してください。すなわち、アカウントを削除しても、ZeroSSLポータルでは引き続き有効です。同アカウントをPassword Manager Proに再度追加するには、鍵をエクスポートし、[アカウントの追加]オプションを使用して、以前と同じ情報を入力します。ただし、アカウントを削除する際に[非アクティブ化]オプションを選択すると、ZeroSSLのアカウントは完全に削除され、同じ情報を使用してPassword Manager Proに追加し直すことはできません。

注記:

  1. 新しいアカウントを登録するごとに、新しいEAB KIDを作成する必要があります。アカウントの登録に成功後、同じEAB HMACキーを再度使用することはできません。詳細についてはこちらのZeroSSLのドキュメントをご参照ください。
  2. 上記の操作を実行できるのは、「SSH鍵&証明書」のユーザー役割で「ACME」の役割が割り当てられているユーザーのみです。このユーザー役割を有効化するには、[管理] > [カスタマイズ] > [役割]に移動します。
  3. Password Manager Proから作成可能なZeroSSLアカウントは1つだけです。
zerossl-1

2.証明書要求を起票する

ZeroSSLアカウントを登録すると、CAへの証明書要求を発行できます。証明書の要求を完了するため、ドメインを検証し、要求した証明書を発行するためのチャレンジ認証が表示されます。

  1. [証明書] > [ACME] > [ZeroSSL]に移動します。
  2. [証明書の要求]をクリックします。ドメイン名を入力し、チャレンジタイプを選択し、キーアルゴリズム、アルゴリズムの長さ、署名アルゴリズム、キーストアタイプを選択し、キーストアパスワードを入力して、[作成]をクリックします。
  3. チャレンジタイプがdns-01で、DNS認証情報を既に設定している場合は、ドロップダウンからDNSアカウントを選択して割り当てることができます。これは、要求で指定されたすべてのドメインの自動チャレンジ検証に使用されます。
  4. また、証明書が更新されるごとに秘密鍵を変更するオプションがあります。
    1. 鍵を変更する必要がある場合は、新しい鍵を使用してください。このオプションは、証明書が更新されるごとに新しい鍵を生成します。
    2. 更新時に同じ鍵を保持したい場合は、[同じ鍵]オプションを使用します。
    3. 独自の鍵を使用する場合は、[鍵をインポート]オプションを使用します。この鍵は、証明書が生成される際に初めて使用され、その後の更新にも使用されます。
      zerossl-2

    5. 注記:Password Manager Proは、DNSベースのチャレンジに対するワイルドカード証明書要求をサポートしています。ワイルドカード証明書の要求の場合は、「*.domainname.com」の形式でコモンネームを入力します

DNSアカウントを設定する手順は以下の通りです。

  1. [ZeroSSL] > [管理]に移動します。[DNS]タブに切り替えます。
  2. ここでは、サポートされているDNSプロバイダごとに最大1つのDNSアカウントを追加できます。Password Manager Proは現在、Azure DNS、CloudFlare DNS、Amazon Route 53 DNS、RFC2136 DNS更新(nsupdate)、GoDaddy DNS、ClouDNSの自動チャレンジ認証をサポートしています。[追加]をクリックします。
  3. 開いたポップアップで、DNSプロバイダを選択します。
    4. azuredns

2.1 Azure DNS

  1. Azure DNSゾーンの[概要]ページにあるサブスクリプションIDを指定します。
  2. [Azure Active Directory] > [プロパティ]にあるディレクトリIDを指定します。
  3. 既存のAzureアプリケーションがある場合は、そのアプリケーションIDとキーを入力します。
  4. そうでない場合は、このドキュメントに記載されている手順に従ってAzureアプリケーションとキーを作成し、APIコールを行うためのDNSゾーンへのアクセス権限をアプリケーションに付与します。
  5. 最後に、DNSゾーンを作成したグループの名前であるリソースグループ名を入力し、[保存]をクリックします。
  6. DNSアカウントの詳細が保存され、[管理] > [DNS]に一覧表示されます。

2.2 Cloudflare DNS

  1. [メールアドレス]フィールドで、Cloudflareアカウントに関連付けられているメールアドレスを指定します。
  2. グローバルAPIキーの場合、Cloudflare DNSのドメイン概要ページで[APIキーの生成]オプションを使用してキーを生成し、このフィールドに値を貼り付けます。[保存]をクリックします。
  3. DNSアカウントの詳細が保存され、[管理] >> [DNS]に一覧表示されます。

2.3 AWS Route 53 DNS

AWSアカウントに関連付けられたアクセスキーIDとシークレットを生成して指定します。AWSアカウントをお持ちでない場合は、アカウントを作成し、以下の手順に従ってアクセスキーIDとシークレットを生成します。

  1. AWSコンソールにログインし、[IAMサービス] >> [ユーザー]に移動します。[ユーザーの追加]をクリックします。
  2. ユーザー名を入力し、アクセスタイプとしてProgrammatic accessを選択します。
  3. 次のタブに切り替え、[権限の設定]のすぐ下にある[既存のポリシーを添付]をクリックして、「AmazonRoute53FullAccess」を検索します。
  4. 一覧表示されているポリシーを割り当て、次のタブに切り替えます。タグセクションで、適切なタグ(オプション)を追加し、次のタブに切り替えます。
  5. 入力したすべての情報を確認し、[ユーザーの作成]をクリックします。
  6. ユーザーアカウントが作成され、続いてアクセスキーIDとシークレットが生成されます。キーIDとシークレットをコピーして、安全な場所に保存してください。これは二度と表示されません。
  7. すでにAWSユーザーアカウントをお持ちの場合は、ユーザーに「AmazonRoute53FullAccess」権限を付与し、ユーザーが持っていない場合はアクセスキーを生成する必要があります。ユーザーアカウントにすでにアクセスキーが関連付けられている場合は、必要な権限が付与されていることを確認するだけで十分です。

必要な権限を付与する手順は以下の通りです。

  1. [権限]タブに移動し、必要なユーザーアカウントを選択して、[権限の追加]をクリックします。
  2. [権限の設定]のすぐ下にある[既存のポリシーを添付する]をクリックして、「AmazonRoute53FullAccess」を検索します。
  3. 一覧表示されたポリシーを割り当て、[保存]をクリックします。
  4. アクセスキーを生成するには、
  5. 特定のユーザーアカウントを選択し、[セキュリティ認証情報]タブに移動します。
  6. 開いたウィンドウで、[アクセスキーの作成]をクリックします。
  7. アクセスキーIDとシークレットが生成されます。キーIDとシークレットは再度表示されないため、コピーして安全な場所に保存してください。

2.4 RFC2136 DNS更新

RFC2136 DNS更新をサポートしている、Bind、PowerDNSなどのオープンソースDNSサーバーを使用している場合は、以下の手順で、Password Manager Proを使用してDNSベースのドメイン制御検証手順を自動化します。

  1. DNSサーバーがインストールまたは実行されているサーバー名/IPアドレスである、DNSサーバーのIPアドレス/ホスト名を入力します。
  2. これらの情報は通常、サーバーのインストールディレクトリにあります。たとえば、Bind9 DNSサーバーの場合、これらはサーバーのインストールディレクトリにあるnamed.local.confファイルにあります。
  3. キーシークレットを入力します。これは、サーバーのインストールディレクトリにあるキーコンテンツに他なりません。
  4. 鍵名を入力し、署名アルゴリズムを選択します。
  5. [保存]をクリックします。

2.5 GoDaddy DNS

DNS認証にGoDaddy DNSを使用している場合は、以下の手順で、Password Manager Proを使用してDNSベースのドメイン制御検証手順を自動化します。

GoDaddy API資格情報を取得する手順は以下の通りです。

  1. GoDaddy開発者ポータルに移動し、[APIキー]タブに切り替えます。
  2. まだログインしていない場合は、GoDaddyアカウントにログインします。
  3. ログインすると、APIキーを作成および管理できるAPIキーページにリダイレクトされます。
  4. [新しいAPIキーの作成]をクリックします。
  5. アプリケーション名を入力し、環境タイプを本番として選択して、[次へ]をクリックします。
  6. APIキーとそのシークレットが生成されます。シークレットは再度表示されないため、コピーして安全な場所に保存してください。

次に、Password Manager Proインターフェースで、以下の手順に従ってGoDaddy DNSをZeroSSL CAに追加します。

  1. [証明書] > [ACME] > [ZeroSSL]に移動し、右端の[管理]をクリックします。
  2. [DNS]タブに切り替えて、[追加]をクリックします。[DNSプロバイダ]のドロップダウンから[GoDaddy]を選択します。
  3. GoDaddyポータルで以前に生成されたキーとシークレットを入力します。
  4. [保存]をクリックします。

2.6 ClouDNS

DNS検証にClouDNSを使用している場合は、以下の手順で、Password Manager Proを使用してDNSベースのドメイン制御検証手順を自動化します。
ClouDNS API資格情報を取得する手順は以下の通りです。

  1. ClouDNSアカウントにログインし、Reseller APIに移動します。
  2. APIユーザーIDを既に作成している場合は、APIユーザーの下にあります。そうでない場合は、[APIの作成]をクリックして新しいAPIを生成します。
  3. ClouDNS API認証IDの詳細については、こちらクリックしてください。

次に、Password Manager Proインターフェースで、以下の手順に従ってClouDNSをZeroSSL CAに追加します。

  1. [証明書] > [ACME] > [ZeroSSL]に移動し、右端の[管理]をクリックします。
  2. [DNS]タブに切り替えて、[追加]をクリックします。
  3. [DNSプロバイダ]ドロップダウンから[ClouDNS]を選択します。
  4. 次のいずれかのオプションを選択します:認証ID、サブ認証ID、サブ認証ユーザー
  5. 選択したClouDNSの認証IDと認証パスワードを入力し、[保存]をクリックします。

注記:

  1. ZeroSSLは、マルチドメイン証明書とワイルドカード証明書を提供します。
  2. Password Manager ProとZeroSSLの連携は、RSAおよびECアルゴリズムによる暗号化をサポートしています。
  3. Password Manager Proは、http-01およびdns-01ベースのドメイン認証をサポートしています。ご要望に応じたチャレンジタイプを選択します。
  4. dns-01ベースのドメイン認証の場合、チャレンジ認証に設定済みのDNSアカウントを使用している場合は、選択したDNSアカウントのステータスが[管理] > [DNS]で[Enabled]となっていることをご確認ください。
  5. 秘密キーの変更は、現在RSAキーアルゴリズムでのみ機能します。

3.ZeroSSLチャレンジ認証

Password Manager Proは、HTTP-01およびDNS-01チャレンジ(現在、Azure、Cloudflare、Amazon Route 53、RFC2136 DNS更新、GoDaddy DNS、ClouDNS)の自動認証を通じて、ドメイン検認証を迅速に行います。自動化を有効にするには、最初にエンドサーバーの情報をPassword Manager Proに紐付ける必要があります。これは、1回限りのプロセスです。

3.1 HTTP-01チャレンジ認証によるドメイン認証

http-01チャレンジによるドメイン認証の場合

  1. 実行するチャレンジを表示するウィンドウが開きます。
  2. エージェントマッピングアイコンをクリックします。
  3. ポップアップが開きます。ドメインサーバーがLinuxマシンの場合は、必要な情報を入力して[保存]をクリックします。

ドメインサーバーがWindowsマシンの場合は、以下の手順で、Windowsサーバー用のKMPエージェントをダウンロードしてインストールします。

  1. Windowsサーバー用のKMPエージェントをダウンロードします。
  2. KMPエージェントパッケージは、必須の実行ファイル、自動ドメイン認証によるZeroSSLチャレンジの自動認証に必要な構成ファイルから成るzipファイルです。ダウンロード後、フォルダを解凍し、Windowsドメインサーバーにエージェントをインストールします。エージェントをダウンロードする手順は以下の通りです。
  3. [証明書] > [ACME] > [ZeroSSL]タブに移動し、右上隅にある[管理]ボタンをクリックします。
  4. Windowsエージェントタブに切り替えます。
  5. サーバーの互換性(32ビットまたは64ビット)に応じて、ウィンドウの右上隅からKMPエージェントをダウンロードします。

Windowsサーバー用のKMPエージェントのインストール。

  1. コマンドプロンプトを開き、Password Manager Proのインストールディレクトリに移動します。
  2. コマンド「AgentInstaller.exe start.」を実行します。

エージェントを停止してWindowsサービスをアンインストールする手順は以下の通りです。

  1. コマンドプロンプトを開き、Password Manager Proのインストールディレクトリに移動します。
  2. コマンド「AgentInstaller.exe stop.」を実行します。
  3. ドメインサーバーがWindowsマシンの場合は、Windowsエージェントをダウンロードしてドメインサーバーにインストールします。[管理] > [Windowsエージェント]に移動し、エージェントをダウンロードしてドメインサーバーにインストールします。
  4. 上記のエージェントの紐付けを行うと(エージェントの紐付けは、1回限りの設定です)、Password Manager ProはZeroSSLによって提示されたチャレンジの認証を自動的に行います。

エージェントの紐づけ後、保留中の要求で[保留中]をクリックし、[確認]をクリックします。チャレンジが認証され、証明書の要求がZeroSSL CAに送信されます。

zerossl-4

3.2 DNS-01チャレンジ認証によるドメイン認証

Password Manager ProからのDNS-01チャレンジ認証の場合、

  1. ZeroSSLタブに切り替えて、証明書の要求に対応する要求ステータス(保留中)をクリックします。
  2. DNSチャレンジ値とTXTレコードを表示するウィンドウが表示されます。
  3. DNSアカウントの情報を既に設定していて、証明書の要求の作成時にDNSを選択している場合は、DNSアカウントを要求に割り当てることができます。
  4. 要求を選択し、トップメニューの[詳細]から[DNSの割り当て]を選択して、必要なDNSアカウントを選択します。
  5. DNSアカウントが設定されていない場合、または証明書の要求を発行するときにDNSアカウントを選択していない場合、Password Manager Proには、エージェントの紐付けを行うことでDNS-01チャレンジ認証を自動化するオプションがあります。
  6. 要求の左側にあるエージェント紐付けのアイコンをクリックします。エージェントの紐付けは1回限りの設定です。

エージェントマッピング

  1. 開いた[展開]ウィンドウで、次の操作を実行して、エンドサーバーの情報をPassword Manager Proに紐付けて保存します。
  2. DNSプロバイダーを選択します。Azure DNSの場合、必要な情報(サブスクリプションID、ディレクトリID、アプリケーションID、アプリケーションキー、およびリソースグループ名)を入力します。
  3. Cloudflare DNSの場合、Cloudflareアカウントに関連付けられているメールアドレスとグローバルAPIキーを入力します。
  4. Amazon Route 53 DNSの場合、AWSアカウントに関連付けられているアクセスキーIDとシークレットを入力します。
  5. [証明書の展開]チェックボックスにチェックを入れ、ドメインの認証後および更新後に、対応するエンドサーバーへの証明書の展開を自動化します。
  6. Linuxの場合、エンドサーバーは必要な情報を提供しますが、Windowsの場合、エンドサーバーはhttp-01チャレンジで説明したのと同じ手順でWindowsエージェントをダウンロードしてインストールします。
  7. 情報を入力したら、[保存]をクリックします。エンドサーバーの情報は正常に紐付けられ、Password Manager Proに保存されます。これは、[管理] > [展開]タブから表示または編集できます。
    8. zerossl-5

    注記:

    1. ZeroSSL連携を使用して、パブリックドメインの証明書のみを要求および取得できます。
    2. チャレンジの処理は、自動化せずに手動で行うこともできます。チャレンジ値/テキストレコードをコピーして、ドメインサーバーに手動で貼り付けます。次に、Password Manager Proサーバーで、[保留中の要求]ページに移動し、[確認]をクリックします。チャレンジが検証され、証明書が発行されます。
    3. Password Manager Proは、エージェントの紐付けが利用できない場合にのみ、証明書要求にDNSを使用してチャレンジ認証を自動化します。エージェントの情報が[管理] > [展開]タブで確認できる場合、チャレンジ認証はエージェントを介して自動化されます。
    4. 現在、KMPエージェントはWindowsサーバーでのみ使用できます。
    5. RFC2136 DNS更新の場合、グローバルDNS構成を選択した場合、ドメイン名自体がゾーン名として機能します(グローバルDNS構成は、すべてのゾーンに同じキーシークレットを使用している場合にのみ可能です)。一方、ドメインとエージェントの紐付けを選択した場合は、ドメインごとにゾーン名、キー名、キーシークレットを個別に指定する必要があります。

4.証明書を入手して保存する

認証が成功すると、ZeroSSLは要求された証明書を発行します。

  1. ウィンドウは、証明書とそのステータスを表示するページに自動的にリダイレクトされます(ステータスは、チャレンジ認証が成功した場合は[利用可能]、チャレンジ検証が失敗した場合は[失敗]と表示されます)。
  2. [利用可能]ボタンをクリックして、証明書をPassword Manager Proのリポジトリに保存するか、メールで送信するか、エクスポートします。
  3. チャレンジが失敗した場合は、[新しいチャレンジ]をクリックして別の一連のチャレンジ実行し、上記のプロセスを繰り返します。
  4. 保存すると、証明書はPassword Manager Proのリポジトリに追加されます。このリポジトリは、[SSL] > [証明書]タブから表示できます。

5.証明書を更新する

ZeroSSLによって発行された証明書の有効期間は90日で、それ以降は無効になります。
証明書の更新は、手動で実行することも、自動ドメイン認証を通じて自動的に実行することもできます。証明書を手動で更新する手順は以下の通りです。

  1. [証明書] > [ACME] > [ZeroSSL]に移動します。
  2. 更新したい証明書を選択して、[証明書の更新]ボタンをクリックします。
  3. 証明書が更新され、[証明書のステータス]バーに[更新済み]と表示されます。
  4. それをクリックして、更新された証明書をPassword Manager Proの証明書リポジトリに保存します。

注記:証明書は、証明書リポジトリで更新するために、更新後に保存する必要があります。保存していない場合、古いバージョンの証明書のみが引き続きリポジトリに残ります。

自動ドメイン認証による自動更新

エージェントの紐付けが設定されている場合、証明書の更新プロセスは、手動での操作なしで自動的に実行されます。ZeroSSLから取得した組織内のすべての証明書は、有効期限が切れる15日前に自動的に更新され、アカウント所有者のメールアドレスに通知が送信されます。

注記:自動更新は、Password Manager Proのリポジトリに保存されている証明書にのみ適用されます。つまり、ZeroSSLから証明書を取得した後、自動更新を有効にするには、証明書を保存する必要があります。

6.証明書を失効させる

証明書を失効させると、証明書が無効になり、すぐにWebサイトからHTTPSが削除されます。
証明書を失効させるには、

  1. [証明書] > [ACME] > [ZeroSSL]タブに移動します。
  2. 取り消したい証明書を選択し、[証明書の失効]をクリックします。
  3. 証明書は失効し、無効になります。
    4. zerossl-6

7.証明書を削除する

証明書を削除すると、Password Manager Proのリポジトリから証明書が削除されますが、証明書は引き続き有効です。
証明書を削除する手順は以下の通りです。

  1. [証明書] > [ACME] > [ZeroSSL]タブに移動します。
  2. 削除する証明書を選択し、[詳細] > [削除]をクリックします。
  3. 証明書は Password Manager Proのデータベースから削除されます。
    4. zerossl-7