マネージドPKI(Lab)¶
[更新: 2021年9月16日]
概要¶
「マネージドPKI」は電子証明書の発行を行うお客様独自の認証局を作成し、サーバ証明書やクライアント証明書の発行・管理が行える機能です。組織のイントラネット内での認証・暗号化基盤に使用するなど、主にプライベート環境内でのご利用に適したサービスです。
利用の手順¶
注釈
マネージドPKIはゾーンによらないグローバルリソースです。ゾーンがいずれを選択されているかによらず、さくらのクラウド上に作成された全てのマネージドPKIが表示されます。
コントロールパネルの左側のメニュー「LAB」配下にある「マネージドPKI」を選択します。右側のリスト画面には作成済みの認証局の一覧が表示されます。新規に認証局を作成する場合は上部にある「追加」ボタンをクリックします。
新規作成画面で表示される各フィールドに必要情報を入力します。ここでの入力値は認証局のが発行する証明書の基本情報に使用されます。
それぞれの入力フィールドの説明は次の通りです。
| 名前 | 作成する認証局のコントロールパネル/API表示名に設定する名前を入力します。 |
|---|---|
| 国名(*) | 認証局のある国を ISO 3166-1 alpha-2 形式のアルファベット2文字で入力します。 |
| 組織名(*) | 認証局の組織名を入力します。 |
| 部門名 | 認証局の部門名を入力します。 |
| コモンネーム(*) | 認証局のコモンネームを入力します。 |
| 有効期限の指定方式(*) | 証明書の有効期限の指定方式「有効日数」と「有効期限日」のいずれかから選択します。 |
| 有効日数 / 有効期限日 | 発行する証明書の有効日数または有効期限日を入力します。 |
| 説明 / タグ / アイコン | 分かりやすい名前や説明などの情報を付与することができます。 |
(*)は必須項目となります。
必要事項を入力後、フォーム下部もしくは画面上部に表示される「作成」ボタンをクリックすることで認証局が作成されます。作成済み認証局の一覧画面で任意の認証局をダブルクリックすることで、認証局情報の確認や各種証明書の発行・管理操作を行うことができます。
クライアント証明書の発行/削除¶
発行元となる認証局を選択し、「クライアント証明書」タブをクリックすると発行済みのクライアント証明書の一覧が表示されます。新たに発行する場合は「追加」ボタンをクリックします。
| 国名(*) | 証明書発行先の国を ISO 3166-1 alpha-2 形式のアルファベット2文字で入力します。 |
|---|---|
| 組織名(*) | 証明書発行先の組織名を入力します。 |
| 部門名 | 証明書発行先の部門名を入力します。 |
| コモンネーム(*) | 証明書発行先のコモンネームを入力します。 |
| メール | 証明書発行先のメールアドレスを入力します。 |
| 証明書の発行方法 | 証明書の発行方法を「URL」、「Email」、「公開鍵」、「CSR」から選択します。 ※詳細については次項を参照ください |
| 有効期限の指定方法 | 証明書の有効期限の指定方式「有効日数」と「有効期限日」のいずれかから選択します。 |
| 有効日数 / 有効期限日 | 発行する証明書の有効日数または有効期限日を入力します。 |
クライアント証明書追加画面の「証明書の発行方法」の選択に応じて以下の発行方法を選択することが可能です。
URL¶
指定のURLにウェブブラウザでアクセスすることにより証明書を発行します。証明書の追加後に表示されるリスト右側の「▼」をクリックし、「詳細」を選択します。
詳細画面内の「ISSUE URL」に発行手続きを行うURLが表示されます。
発行を受けたいユーザはウェブブラウザで接続し、発行手続きを行うことで証明書をダウンロードすることができます。発行が完了するとリスト画面に表示される証明書の「発行状態」が「承認済み」から「有効」に変化します。
Email¶
「メール」の項目に入力したメールアドレス宛に発行用URLが送付されます。発行を受けたいユーザはメールに記載されたURLにウェブブラウザで接続し、発行手続きを行うことで証明書をダウンロードすることができます。発行が完了するとリスト画面に表示される証明書の「発行状態」が「承認済み」から「有効」に変化します。
注釈
発行用URL送付時のメールは
From: validation@pki.elab.sakura.ad.jp
Subject: クライアント証明書発行のご案内 [証明書サブジェクト]
の形式で送信されます。
公開鍵¶
下部に公開鍵を入力するテキストボックスが表示されるので、ここに発行を受けたいユーザの公開鍵を入力します。
CSR¶
下部にCSRを入力するテキストボックスが表示されるので、ここに発行を受けたいユーザのCSRを入力します。
発行済み証明書の確認方法¶
正常に発行作業が完了し、「発行状態」のステータスが「有効」となった証明書は、証明書一覧画面に表示されるリスト右側の「▼」をクリックし、「詳細」を選択することで確認することができます。
証明書の操作¶
証明書一覧画面では、リスト右側の「▼」をクリックすることで、証明書の状態を操作することができます。
| 失効 | 発行した証明書を失効させます。 |
|---|---|
| 一時停止 | 証明書を無効化し、認証に使用できない状態にします。 |
| 再有効化 | 一時停止した証明書を再度有効化する場合に選択します。 |
| キャンセル | 承認待ちステータスなど未発行状態の証明書の発行をキャンセルします。 |
サーバ証明書の発行/削除¶
ヒント
マネージドPKIではサーバ証明書は発行せずクライアント証明書のみ発行し、サーバ証明書はLet’s Encryptなど外部の認証局が発行したもので利用することも可能です。
発行元となる認証局を選択し、「サーバ証明書」タブをクリックすると発行済みのクライアント証明書の一覧が表示されます。新たに発行する場合は「追加」ボタンをクリックします。
| 国名(*) | 証明書発行先の国を ISO 3166-1 alpha-2 形式のアルファベット2文字で入力します。 |
|---|---|
| 組織名(*) | 証明書発行先の組織名を入力します。 |
| 部門名 | 証明書発行先の部門名を入力します。 |
| コモンネーム(*) | 証明書発行先のコモンネームを入力します。 |
| SANs | コモンネームの他にSANsを設定する場合に入力します。 エンターキーを押下しながら複数個設定することができます。 |
| 鍵の種類 | 証明書の鍵の種類を「公開鍵」または「CSR」から選択します。 |
| 公開鍵 / CSR(*) | 「鍵の種類」で指定した公開鍵またはCSRをPEM形式で入力します。 |
| 有効期限の指定方法 | 証明書の有効期限の指定方式「有効日数」と「有効期限日」のいずれかから選択します。 |
| 有効日数 / 有効期限日 | 発行する証明書の有効日数または有効期限日を入力します。 |
(*)は必須項目となります。
注釈
発行したサーバ証明書は、クライアント証明書と同様に情報タブからの証明書情報の確認、一覧画面での失効操作などを行うことができます。
