CLM
CLM
SSL.comを、既に信頼しているCLMプラットフォームに統合しましょう。
証明書ライフサイクル管理(CLM)とは、組織全体の証明書を検出、管理、発行、更新、失効させる一連のプロセスです。ほとんどの企業は専用のCLMプラットフォームを使用してこれを実行しており、Venafi(現在はCyberArkの一部)とKeyfactorが最も広く導入されています。SSL.comは、これらのプラットフォーム両方に認証局(CA)として統合され、カスタム統合用の2つのREST APIも提供しているため、既存のCLMプラットフォーム、ワークフロー、インベントリを維持したまま、SSL.comを証明書自体に使用することができます。
CLMとは何か、そして誰が何をするのか
証明書ライフサイクル管理(CLM) 証明書のライフサイクル全体(ネットワーク上での検出、チームや認証局間でのインベントリ管理、発行、展開、監視、更新、失効)を網羅します。このライフサイクルの各段階は、スタックの異なるレイヤーによって管理されています。
すでにVenafi TPPまたはKeyfactor Commandを実行している場合は、SSL.comは必要ありません。 また CLMプラットフォームとして利用するには、既存のプラットフォームにSSL.comを連携させる必要があります。このページではその点について説明します。
| 層 | 何それがありません | SSL.comが当てはまる場所 |
|---|---|---|
| CLMプラットフォーム(Venafi、Keyfactor) | 検出、複数CAインベントリ、承認ワークフロー、リクエストフォーム、RBAC、監査、レポート、ポリシー | SSL.comは、公開されているドライバ/プラグインを介して認証局(CA)としてプラットフォームに統合されます。 |
| 自動化プロトコル(ACME) | 標準化された、無人発行および更新 | SSL.comはACMEと完全に互換性のある認証局です。 ACMEのページをご覧ください |
| REST API(SWS API、開発者ポータルAPI) | カスタム統合のための証明書ライフサイクル全体へのプログラムによるアクセス | どちらもSSL.comによって公開およびサポートされています。詳細は下記のREST APIセクションをご覧ください。 |
| 認証局(SSL.com) | 検証、発行、取り消し、有効期限通知、アカウントレベルの管理 | CLMスタックのCAレイヤー |
SSL.comのネイティブライフサイクル機能
これらの機能はSSL.comアカウント内で直接提供されており、統合は不要です。
統合 — Venafi TPP (CyberArk)
SSL.comは以下と統合されています Venafiトラスト保護プラットフォーム(TPP) — 現在、CyberArk Machine Identity Security ポートフォリオの一部となっている — Venafi用のSSL.com適応型ドライバー.
統合によって得られるもの
- Venafiによるライフサイクル全体の自動化: VenafiプラットフォームからのSSL.com証明書の要求、発行、更新、および失効
- SSL.comの証明書タイプ全体にわたるカバー範囲: SSL /TLSクライアント認証、 S/MIME、およびコード署名
- SWS APIに基づいて構築されています。 ドライバーはSWS APIを介してSSL.comと通信するため、証明書のライフサイクル全体とリアルタイムデータがVenafi内で利用可能になります。
- 一元化された可視性とポリシー: Venafiは引き続き単一のアクセスポイントであり、SSL.comはVenafiが認証局を発行できる認証局の1つとして表示される。
導入方法
このドライバーはVenafi / CyberArk Marketplaceで公開されています。Venafi TPP環境にインストールし、SSL.comアカウントの認証情報を設定し、チームが発行できるSSL.com製品を定義してください。
統合 — キーファクターコマンド
SSL.comは以下と統合されています キーファクターコマンド を通して以下のようなさまざまな SSL.com AnyCA Gateway RESTプラグインKeyfactorのGitHub上で公開および管理されています。
統合によって得られるもの
- 発行、取り消し、同期 Keyfactor Command の SSL.com 証明書、および Keyfactor が管理するその他の CA 証明書
- 最新のRESTベースのアーキテクチャ: 従来のDCOMゲートウェイではなく、KeyfactorのAnyCA Gateway RESTフレームワーク上で動作します。
- 設定可能な証明書テンプレート: KeyfactorでSSL.com製品IDを証明書プロファイルにマッピングし、コマンドの登録フィールドを介して有効期間やその他のパラメータを制御します。
- Keyfactor Command v12.3以降に対応
導入方法
Keyfactorのドキュメントに従ってAnyCA Gateway RESTをインストールし、SSL.comプラグインをGatewayのExtensionsディレクトリに配置し、サービスを再起動し、Keyfactor Command内でSSL.comをHTTPS CAとして追加します。
REST APIインターフェース
SSL.com は証明書のライフサイクルを公開しています 2つのREST/JSON APIどちらも、カスタムCLMワークフローの構築に直接使用することも、サードパーティ製CLMプラットフォームの基盤となる統合ツールとして使用することもできます。どちらもSSL.comアカウントに対して認証を行い、JSON形式でデータを返し、証明書のライフサイクル全体をカバーします。
| API | それは何ですか | 使用する場合 |
|---|---|---|
| SWS API(SSL.com Webサービス) | 確立されたREST API。証明書の注文、検証、発行、鍵の再生成、失効、およびアカウント管理を担います。安全なテストのための公開サンドボックスによって支えられています。 | 既存のパートナー連携、Venafi向けSSL.comアダプタブルドライバー、および最新の自動化機能のほとんどに対応しています。安定性が高く、広く導入されており、ドキュメントも充実しています。 |
開発者ポータルAPI api.ssl.com | 新しいREST APIとセルフサービス開発者ポータル - ライフサイクルは同じ、インターフェースが刷新され、認証情報とドキュメント用のメンバーポータルが追加されました。ステージング環境は api.www.ssl.com. | 新規統合作業に推奨。開発にはステージングを使用し、本番環境への昇格は api.ssl.com 準備ができたら。 |
アプローチの選択
| あなたの状況 | 推奨されるアプローチ |
|---|---|
| 小規模な船団で、主に一般向け TLS既存のCLMプラットフォームはありません | SSL.comのネイティブ有効期限通知を使用し、 ACME オートメーション |
| 中規模規模の施設、DevOps主導、CLMプラットフォームなし | ACMEによる発行/更新自動化に加え、SSL.comのネイティブなアカウントレベルの追跡機能も利用可能 |
| 既にVenafi TPP / CyberArk Machine Identity Securityを稼働中 | SSL.com Adaptable Driverをインストールして、Venafiを単一の管理画面として活用しましょう。 |
| Keyfactorコマンドを既に実行中です | SSL.com AnyCA Gateway RESTプラグインをインストールしてください。Keyfactorは引き続き管理画面としてご利用ください。 |
| 上記に記載されていないカスタム社内ツール、またはCLMプラットフォームとの統合 | SWS API または開発者ポータル API に対してビルドするには、 api.ssl.com |
| ネットワーク検出、複数CAインベントリ、承認、リクエストフォーム、またはフリート全体のRBACが必要です | CLMプラットフォーム(VenafiまたはKeyfactor)を採用し、関連するプラグインを使用してSSL.comを統合します。 |
