自動証明書管理のルーティングポリシーの設定

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:3分

    • 証明書インベントリと管理で自動証明書管理を確立するためのルーティングポリシーを設定します。これには、認証局 (CA)、環境、その他の機能などの要素に基づいてポリシーを作成し、効率的な TLS 証明書管理を確保することが含まれます。

    始める前に

    必要なロール:pki_admin または admin

    このタスクについて

    証明書要求の重複は許可されていません。ただし、[重複要求を許可 (Allow duplicate requests)] チェックボックスをオンにすると、この設定を上書きできます。まだ進行中の同じドメイン名を持つ別の証明書タスクがある場合、証明書要求は重複と見なされます。Approvals は、現時点では履行者承認エクスペリエンスでのみサポートされています。

    ルーティングポリシーは、証明書操作のために連絡する必要がある CA を決定します。これには、CA、CA URL、認証情報、承認グループ、アサイン先グループ、および CSR 属性が含まれます。ルーティングポリシーは、特定の CA の証明書を要求するためのフローをトリガーします。

    手順

    1. 次のように移動する。 All (すべて) > 証明書管理 > 証明書ルーティングポリシー.
    2. [新規] を選択して、フォームの必須フィールドに入力します。
      新しい証明書と証明書更新の要求は自動化できますが、多くの PKI チームは履行前に人手によって検証することを希望します。その場合は、[承認が必要] チェックボックスをオンにします。
      注:
      [組織]、[組織単位]、[市区町村 (Locality)]、[州 (State)]、[国]、および [メール] は、カンマ区切り値を受け入れます。 * は任意と見なされます。RegEx では、サブジェクトの共通名とサブジェクトの代替名がサポートされています。RegEx 形式には次の制限があります。
      • カンマを含めることはできません。
      • スラッシュ (/) で開始および終了できません。* は任意のドメインに一致します。
    3. 次の CSR 属性は、ルーティングポリシー [sn_disco_certmgmt_routing_policy] テーブルのエントリと照合されます。
      • 組織
      • 組織単位
      • 市区町村
      • 状況
      • メール
      • 環境
      • 証明書の目的 (内部/外部)
      • サブジェクトの共通名
      • サブジェクトの代替名
      注:
      Entrust CA Gateway には、[認証局の識別子]、[証明書プロファイル]、および [証明書形式] のフィールドもあります。Microsoft CA の場合は、[認証局]、[CA テンプレート名]、[CA ホスト IP]、[認証情報]、および [CSR 属性 (CSR attributes)] のフィールドも使用します。
    4. 次のオプションが発生する可能性があります。
      オプション説明
      単一のルーティングポリシーが一致する場合 次の条件を確認します。
      • ルーティングポリシーテーブル、ドメイン名、または * で指定された RegEx パターンを使用して、サブジェクトの共通名を検証します。
      • 証明書要求の有効期間がルーティングポリシーテーブルの最大有効期間を超えていないことを確認します。
      • ルーティングポリシーテーブルで重複証明書要求の許可フラグを確認します。
      複数のルーティングポリシーが適格である場合 タスクはデフォルトの承認者グループにアサインされます。
      ルーティングポリシーが見つからない場合 タスクはデフォルトの承認者グループにアサインされます。
      単一のポリシーが一致し、[承認が必要] フラグが true の場合 タスクは、ルーティングポリシーで定義されたタスク承認グループにアサインされます。

    タスクの結果

    承認グループはルーティングポリシーにアサインされ、pki_approver ロールとそのグループで利用可能なアクティブなグループメンバーの少なくとも 1 人が含まれます。ルーティングポリシーで手動承認が必要な場合は、承認グループでの承認が要求されます。