証明書の管理

証明書の管理タスクは、HTTPS および LDAPS 証明書を管理するために使用します。アイデンティティ連携設定では、証明書はフェデレーション Gateway B のトラスト ストアにインポートされます。トラスト ストアは、アイデンティティ連携設定でのフェデレーション アイデンティティ プロバイダによって必要とされる可能性がある、以下の 4 種類のポリシーのリポジトリです。
gateway91
証明書の管理タスクは、HTTPS および LDAPS 証明書を管理するために使用します。
アイデンティティ連携設定では、証明書はフェデレーション Gateway B のトラスト ストアにインポートされます。トラスト ストアは、アイデンティティ連携設定でのフェデレーション アイデンティティ プロバイダによって必要とされる可能性がある、以下の 4 種類のポリシーのリポジトリです。
  • クライアント ポリシーの署名に使用される CA ポリシー
  • SSL サーバ ポリシー
  • SSL サーバ ポリシーの署名に使用される CA ポリシー
  • SAML アサーションの署名に使用される CA 証明書
トラスト ストア内の証明書の組み合わせおよび用途は、「X.509 証明書を使用するワークフロー」または「SAML を使用するワークフロー」で定義されている選択された認証情報ソースおよびオプションの設定要素によって決定されます。このワークフローの手順に従って、トラステッド Gateway A の認証ドメインに属する証明書は、通常は、証明書の追加ウィザード([Add Certificate Wizard])を使用して、フェデレーション Gateway B の許可ドメインにインポートされます。
検証時には、ホスト名にワイルドカードを使用できます(ワイルドカード サブジェクト DN を持った証明書など)。詳細については、「ホスト名のワイルドカード一致」を参照してください。
証明書の有効期限の通知
[Manage Certificates]ダイアログ ボックスに表示される有効期限に加えて、
Layer7 API Gateway
は、信頼できる証明書が期限切れになったこと、またはもうすぐ期限切れになることを通知できます。
Layer7 API Gateway
は、起動時とその後 12 時間ごと(デフォルト設定)に、期限切れが近づいている証明書がないかどうかを確認します。
  • 証明書が期限切れになっているか、設定された WARNING 期間(デフォルトでは、2 日)内に期限切れになる場合、WARNING 監査イベントがログに記録されます。
  • 証明書が設定された INFO 期間(デフォルトでは、7 日)内に期限切れになる場合、INFO 監査イベントがログに記録されます。
  • 証明書が設定された FINE 期間(デフォルトでは、30 日)内に期限切れになる場合、FINE 監査イベントがログに記録されます。
警告期間を設定するには、「Gateway の監査イベントの表示」の「trustedCert」プロパティを参照してください。
期限切れの証明書は、[Manage Certificates]ダイアログ ボックスで赤色で強調表示されます。
Layer7 API Gateway
がクラスタである場合、同じ証明書の有効期限を警告する複数の監査イベントがログに記録される可能性があります。
証明書を管理する方法
  • Policy Manager で、メイン メニュー(ブラウザ クライアントでは、
    [Manage]
    メニュー)から
    [Tasks]-[Certificates, Keys, and Secrets]-[Manage Certificates]
    を選択します。[Manage Certificates]ダイアログ ボックスが表示されます。
期限切れになった証明書は赤色で表示されます。画面からスクロール アウトしている期限切れの証明書がある場合、[Manage Certificates]ダイアログ ボックスには、「
Caution! Some certificate(s) have expired.
」という警告メッセージが表示されます。
SHA-1 サムプリントが異なる場合、同じ DN を持った複数の信頼できる証明書が存在することができます。これにより、特定の証明書の更新されたバージョン(つまり、同じ DN、通常は同じキーを持つ証明書で、有効期限が後ろの日付の新しい証明書)を信頼すると同時に、その証明書の古いバージョンをその有効期限まで信頼することができます。これは、証明書の最新バージョンがまだないピアとやりとりする場合に役立ちます。
実行するタスクを選択します。
目的
参照先
トラスト ストアへの新しい信頼できる証明書の追加
キーストアからの証明書のインポート
トラスト ストアからの証明書の削除
証明書のプロパティの表示または編集
トラスト ストアからの証明書の削除
ファイルへの証明書のエクスポート
証明書の検証方法の設定
カスタム秘密鍵の設定
アイデンティティ連携設定で各セキュリティ ドメインに必要な証明書については、「アイデンティティ連携の要件」を参照してください。