Management > Certificate Manager > コンソール使用ガイド
コンソール使用ガイドではCertificate Managerを使用するのに必要な基本的な内容を説明します。
* 通知グループ
* 証明書
* ドメイン
* ユーザーデータ
* 証明書照会/ダウンロードAPI資格関連
通知グループ
Certificate Managerは、通知グループ単位で有効期限の通知周期を設定し、通知を受け取る対象者を管理します。
通知グループ作成
- 通知グループメイン画面で+グループ作成ボタンをクリックします。
- グループ作成ウィンドウでグループ名を入力します。すでに存在する名前は指定できません。
- 通知を使用するかどうかを選択します。通知グループに属しているユーザーに有効期限の通知を含むすべての通知を送信するかどうかを選択できます。
- 追加ボタンをクリックします。
詳細情報
- 通知グループメイン画面で詳細情報ボタンをクリックすると、通知グループ名と通知使用有無、管理データが表示されます。管理dataは該当通知グループに連携されている証明書、ドメイン、ユーザーデータを意味します。
- 修正ボタンをクリックして通知グループの名前および通知を使用するかどうかを変更できます。
通知設定
- 通知グループメイン画面で通知設定ボタンをクリックします。
- 基本に設定されている通知ポリシーがないため、通知設定ウィンドウで通知ポリシーを追加すると、有効期限の通知を受け取ることができます。
通知追加
- 通知設定ウィンドウ左下の+ボタンをクリックします。
- 通知開始D-dayで、証明書、ドメイン、データ有効期限の何日前から通知を送信するかを指定します。
- 通知周期で、何日間隔で通知を送信するかを指定します。
- Emailを送信するかどうかとSMSを送信するかどうかで通知送信時にメール、SMSを使用するかどうかを選択します。どちらも選択されていない場合は通知を送信しません。
- 管理列で-ボタンをクリックして通知ポリシーを削除できます。
- 通知開始D-dayと通知周期は重複して設定できません。
- 完了ボタンをクリックします。
受信グループ連携画面
通知グループメイン画面で受信グループボタンをクリックすると、通知グループに連携されているユーザーが表示されます。
デフォルト値には通知グループを作成したユーザーが追加されています。
NHN Cloudプロジェクトに属しているメンバーが通知グループのユーザーに連携される場合があります。
ユーザー追加
上部のユーザー連携検索ウィンドウで、NHN Cloudプロジェクトに属しているメンバーを検索して追加できます。
- Typeは、そのユーザーが持つNHN Cloudプロジェクトの権限(ADMIN/MEMBER)を意味します。
- メンバーの名前、EmailおよびPhoneを確認できます。
- 登録された携帯電話番号がない場合は、Phoneに「-」と表示されます。この場合、SMS通知の送信が失敗し、通知の送信に失敗すると通知グループに属しているADMINに「通知送信失敗」通知が送信されます。
証明書
証明書のドメイン名(例:*.toast.com)と有効期限を入力すると、連携した通知グループの通知ポリシーに従ってユーザーに通知を送信します。
証明書ファイル(.pem)をアップロードすると、証明書ファイルから下記の項目を自動的に収集します。
* 作成日
* 有効期限
* 証明書の署名方式(例: sha256RSA)
* 認証機関(例:Digicert)
証明書のインストール情報を登録する場合、証明書インストール情報のIPと、ポートから証明書をインポートし、Certificate Managerに登録した証明書と有効期限を比較します。
Certificate Managerに登録した証明書の有効期限より、自動収集した証明書インストール情報の有効期限が前の場合、証明書の交換が必要という通知を送信します。
メイン画面
メイン画面では証明書リストや有効期限までの残り日数などを確認できます。
- 既に登録している証明書のリストを確認および検索できます。
- 有効期限までの残り日数を確認できます。
- 有効期限を過ぎたデータは赤色で、有効期限までの残り日数が30日以下のデータはオレンジ色で表示されます。
証明書の作成
- 証明書メイン画面で+証明書の追加ボタンをクリックすると、証明書の追加ウィンドウが表示されます。
- 通知グループで連携する通知グループを選択します。作成された通知グループがない時はリストに表示されず、証明書を作成できません。
- 名前に証明書名(CommonName、CN)を入力します。証明書名は重複して登録できません。
- SAN証明書の場合、証明書ファイルをアップロードすると証明書名とサブ証明書名が自動的に入力されます。証明書の名前は任意に変更できません。
- タイプで項目を選択します。
- Singleは単一証明書です。
- Wildcardは*(asterisk)で始まる汎用証明書(複数のホストで使用できる証明書)を意味します。
- SANは1つの証明書で複数のドメインにSSLを適用できる証明書です。
- 証明書の登録下記の証明書から証明書ファイルを登録します。
証明書は必須値ではないため、後で登録しても構いません。
- 証明書は秘密鍵と証明書で構成された.pem形式のファイルです。
- パスフレーズ(passphrase、秘密文言)に証明書ファイルに含まれる秘密鍵のパスフレーズ(passphrase、秘密文言)を入力します。
- 追加ボタンをクリックします。
- SingleとWildcardの場合は1つの証明書が作成されます。
- SANの場合、代表証明書とサブ証明書の両方が作成されます。例えば代表証明書が1つ、サブ証明書が3つの場合、合計4つの証明書が作成されます。
- Network > Load Balancer製品とリンクする必要がある場合は、パスフレーズ(passphrase、秘密文言)を削除する必要があります。
- 次のコマンドを使用してパスフレーズを削除できます。
bash
openssl rsa -in my_private_input.key -out my_private_output.key
詳細画面
- 証明書メイン画面で詳細情報ボタンをクリックすると、証明書ファイル情報を確認できます。
- (自動収集)が表示されたフィールドは証明書ファイルから自動収集された項目を意味します。証明書ファイルが登録されていない場合は「-」と表示されます。
- 修正ボタンをクリックすると、証明書情報の修正や、証明書ファイルのアップロードを行うことができます。
- 証明書名は修正できません。証明書名を修正するには、登録している証明書を削除して新たに作成する必要があります。
証明書使用情報、インストール情報作成
- 証明書メイン画面で証明書の使用情報ボタンをクリックすると、証明書の使用およびインストール情報を確認できます。デフォルト値では何も登録されていません。
- 修正ボタンをクリックすると、次のような画面を確認できます。
- 右上の+追加ボタンをクリックすると、情報を入力できるフィールドが表示されます。
- 証明書使用情報の名前を入力します。
- 証明書タイプがSingleの場合、証明書名と同じにする必要があります。
- 証明書タイプがWildcardの場合、'*'(asterisk)を除いた証明書名と同じか、'*'(asterisk)を除いた'.[証明書名]'で終わる必要があります。
- 証明書タイプがSANの場合
- 証明書名がSingle形式の場合、証明書と同じでなければなりません。
- 証明書名がWildcard形式の場合、'*'(asterisk)を除外した証明書名と同じか。'*'(asterisk)を除外した'.[証明書名]'で終わる必要があります。
- 通知使用有無で証明書使用情報の通知を使用するかどうかを選択します。
- 証明書インストール情報を入力するには証明書インストール情報の横にある+追加ボタンをクリックします。
- IPアドレスとポート番号を入力します。証明書の自動収集を使用する場合、入力したIPアドレスとポート番号で証明書をダウンロードして有効期限を比較します。
- IPアドレスがプライベートIP(例:192.168.0.1, 172.20.0.1, 10.0.0.1)の場合、証明書をダウンロードできず、自動収集失敗通知が送信される場合があります。
- 完了ボタンをクリックすると、設定した証明書の使用およびインストール情報が保存されます。
証明書使用情報画面
証明書メイン画面で証明書使用情報ボタンをクリックすると、証明書使用およびインストール情報を確認できます。
右上の全体/使用/未使用で証明書使用情報の通知使用有無を選択して確認できます。
ドメイン
DNSの最上位ドメイン名(例:toast.com)と有効期限を入力すると、連携した通知グループの通知ポリシーに合わせてユーザーに通知を送信します。
ドメインの「自動収集」機能を使用する場合、whoisサーバーからドメイン情報を自動収集します。
自動収集する項目は次のとおりです。
* 作成日
* 有効期限
* 登録者(registrar)(例:Gabia, Inc.)
* 登録機関(registrant、ドメインの実所有者)
* ネームサーバー
メイン画面
登録したドメインリストの確認、検索ができます。
有効期限まで何日残っているかを確認できます。
有効期限を過ぎたデータは赤色で、有効期限までの残り日数が30日以下のデータはオレンジ色で表示されます。
ドメイン作成
- ドメインメイン画面で+ ドメイン追加ボタンをクリックします。
- ドメイン追加ウィンドウで連携する通知グループを選択します。通知グループがない場合はリストに表示されず、ドメインを作成できません。
- 上位ドメイン情報の下の名前に上位ドメイン名を入力します。上位ドメイン名は重複して登録できません。
- 有効期限にドメインの有効期限を入力します。
- タイプでタイプを選択します。
- サービス用はDNSサーバーにドメインを登録してサービスで使用する場合です。
- 防御用は、実サービスで使用しないが、サービスの信頼性などの目的でドメインを購入して確保する場合です。
- 通知使用有無を選択します。該当ドメインの通知を送信するかどうかを選択します。未使用を選択すると該当ドメインの通知が全て送信されません。
- 自動収集で項目を自動的に収集するかどうかを選択します。使用を選択するとwhoisサーバーから下記の項目を収集します。
- 作成日
- 有効期限
- 登録者(registrar、例:Gabia, Inc.)
- 登録機関(registrant、ドメインの実所有者)
- ネームサーバー
- サブドメイン情報でサブドメインの自動収集をするかどうか、およびサブドメイン名を入力します。
- サブドメインの自動収集を使用する場合、該当ドメインでpingを呼び出し、レスポンスが成功するかどうかを確認します。
- サブドメイン名は上位ドメインに属している必要があります。
- サブドメイン名は上位ドメインと同じか、'.[上位ドメイン名]'で終わる必要があります。
- 例:上位ドメイン名が'toast.com'の場合、サブドメイン名には'toast.com'および'www.toast.com'、'www2.toast.com'などを入力できます。
- 追加ボタンをクリックすると、設定したドメイン情報を保存できます。
詳細画面
- ドメインメイン画面で詳細情報ボタンをクリックすると、ドメインとサブドメインの情報および自動収集された情報が表示されます。
- フィールド名の後ろに(自動収集)と表示されたフィールドは自動収集された項目を意味します。自動収集された情報がない場合は-と表示されます。
- 修正ボタンをクリックして上位ドメイン情報を修正したり、登録されたサブドメインの削除またはサブドメインの追加を行うことができます。
- 上位ドメイン名は修正できません。上位ドメイン名を修正する必要がある場合は、登録したドメインを削除し、新たに作成する必要があります。
ユーザーデータ
有効期限があるデータ(例:ライセンスキー)を入力すると、連携した通知グループの通知ポリシーに応じてユーザーに通知を送信します。
特定ユーザーグループに周期的に通知を送信する時に活用できます。
メイン画面
登録したユーザーデータのリストの確認、検索を行うことができます。有効期限までの残り日数を確認できます。
有効期限を過ぎたデータは赤色で、有効期限までの残り日数が30日以下のデータはオレンジ色で表示されます。
ユーザーデータの作成
ユーザーデータメイン画面で+ ユーザーデータ追加ボタンをクリックすると、次のような画面が表示されます。
- 連携する通知グループを選択します。通知グループが作成されていない場合、選択可能な通知グループが表示されず、ユーザーデータを作成できません。
- ユーザーデータ名を入力します。ユーザーデータ名は重複して登録できません。
- 通知を送信するかどうかを選択します。該当ユーザーデータに対する通知を送信するかどうかを選択できます。該当フィールドを未使用に選択する場合、該当ユーザーデータに対する通知が全て送信されません。
- ユーザーデータの有効期限を入力します。
- 追加ボタンをクリックすると、ユーザーデータ情報が保存されます。
詳細画面
ユーザーデータメイン画面で詳細情報ボタンをクリックすると、保存していたユーザーデータの情報が表示されます。
修正ボタンをクリックしてユーザーデータの情報を修正できます。
証明書照会/ダウンロードAPI資格関連
User Access Key ID, Secret Access Key作成
コンソール右上のID領域をクリックすると、次のようなAPIセキュリティ設定メニューを確認できます。
APIセキュリティ設定でUser Access Key ID生成をクリックしてCertificateManager APIヘッダに入力しなければならない User Access Key IDと Secret Access Keyを生成できます。
User Access Key ID、Secret Access Keyを生成すると、下記のように秘密鍵発行完了画面が表示されます。秘密鍵は該当ポップアップ画面で一度だけ表示されるるので、この値を記録して使います。
API リクエスト時に必要なUser Access Key IDは、秘密鍵発行完了ポップアップを閉じると確認できます。