IBM Cloud Docs
パブリック証明書の発注の準備

パブリック証明書の発注の準備

IBM Cloud® Secrets Manager サービス・インスタンスを有効にして、パブリック証明書エンジンを構成すると、証明書をオーダーできます。

Secrets Managerでは、パブリック証明書エンジンがpublic_cert シークレット・タイプのバックエンドとして機能します。 パブリック証明書はドメインにより検証された TLS 証明書であり、サービス内で注文および管理することができます。 証明書を注文する前に、サポートされている認証局 (CA) と DNS プロバイダーを接続して、サービス・インスタンスを使用可能にする必要があります。

証明書のオーダーから Secrets Manager までは非同期プロセスで、完了するのに数分かかることがあります。

サポート対象の認証局

認証局 (CA) はデジタル証明書を発行する機関です。 Secrets Manager サービス・インスタンスには、以下の認証局を接続できます。

認証局オプション
権限 説明
Let's Encrypt Let’s Encrypt は、無料の自動化された ACME ベースの認証局で、90 日間有効なドメイン検証済み証明書を提供します。 このサービスは、Internet Security Research Group (ISRG) によって提供されています。

Let's Encrypt ACME アカウントの作成

Secrets Manager はLet's Encryptと接続するために、 自動証明書管理環境(ACME) プロトコルを使用しています。 ACME プロトコルにより、人手を介さずにブラウザーの信頼できる証明書を認証局から自動的に取得することができます。

ACME アカウントを登録してそのアカウント資格情報を入力することで、Let's Encrypt へのサービス・アクセス権限を付与できます。 Let's Encrypt用のACMEクライアントまたはアカウントがすでに動作している場合は、既存の秘密鍵を使用できます。 まだアカウントをお持ちでない場合は、 ACMEアカウント作成ツールを使用して作成できます。

証明機関は、証明書の注文時または更新時に料金を請求することができます。 また、さまざまなレート制限が適用されます。Secrets Manager は、証明書オーダーに関連付けられているコストまたはレートの制限を制御しません。 Let's Encrypt 証明書の注文時に留意すべきレート制限に関する詳細については 、Let's Encrypt のドキュメントをご確認ください。

ドメイン検証

Secrets Manager Let's Encrypt の チャレンジ方式 DNS-01 によるドメイン認証を利用しており、ドメインのDNS設定を確実に制御できます。 検証プロセスを正常に完了するには、関連するドメインのDNSプロバイダーでパブリックアクセスを有効にする必要があります。

サポート対象の DNS プロバイダー

DNS プロバイダーは、ユーザーが所有するドメインを管理するために使用されるサービスです。 Secrets Manager サービス・インスタンスには、以下の DNS プロバイダーが接続できます。

DNSプロバイダーのオプション
DNS プロバイダー 説明
IBM Cloud Internet Services IBM Cloud® Internet Services ( ) は、Cloudflareの技術により、 でビジネスを展開するお客様に、高速で、高いパフォーマンスと信頼性、安全性を備えたインターネットサービスを提供しています。 CIS IBM Cloud
IBM Cloud クラシック・インフラストラクチャー IBM Cloud クラシック・インフラストラクチャー (SoftLayer) の一部として使用できる IBM Cloud® ドメイン名登録によって、ドメインを表示、管理するための一元的なロケーションが提供されます。
手動 DNS プロバイダー DNS プロバイダーが IBM Cloud Internet Services または IBM Cloud Domain Name Registration でない場合は、Secrets Manager を手動で DNS プロバイダーに接続できます。

CIS へのサービス・アクセス権限の付与

Cloud Internet Services (CIS) でドメインを管理する場合は、所有権を検証できるように、Secrets Manager にアクセス権限を割り当てる必要があります。 Secrets Manager に CIS インスタンスとそのドメインを管理する権限を与えるために、 サービス間で許可を作成 できます。

別のアカウントに配置された CIS インスタンスで作業している場合は、APIキーを使用してアクセスを管理することもできます。 詳細については、API キーを使用したサービス・アクセス権限の付与を参照してください。

CIS へのサービス・アクセス権限の付与

サービス間認証を作成すると、Secrets Manager には、CIS インスタンスとそのドメインすべてに対するアクセス権限を付与できます。

サービス認証を作成するには、コンソールの 「アクセス権限 (IAM)」 セクションを使用します。

この図は、シークレット・マネージャーとクラウド・インターネット・サービスの間で許可を作成するための番号付きステップを含む、簡素化されたIAMダッシュボードを示しています。 手順は以下のテキストで説明されています。
Creating a service authorization between Secrets Manager and CIS

  1. コンソールで、**「管理」 > 「アクセス権限 (IAM)」をクリックして、「認証」**を選択します。

  2. 「作成」 をクリックします。

  3. 承認の対象となるソースアカウントを選択します。

  4. 許可のソース・サービスとターゲット・サービスを選択します。

    1. **「ソース・サービス」**リストから Secrets Manager を選択します。
    2. 「ターゲット・サービス」 リストから、「インターネット・サービス」を選択します。

  5. ソースとターゲットの両方にサービス・インスタンスを指定します。

  6. 管理者 役割を選択します。 これらの権限により、 Secrets Manager インスタンスは CIS インスタンスとそのドメインを管理することができます。

  7. オプション: 特定のドメインへのアクセス権限を付与するには、 「選択した属性に基づくリソース」 を選択し、 CIS インスタンスの ドメイン ID を指定します。

    実稼働環境の場合は、特定のドメインにのみアクセス権限を割り当てることをお勧めします。

  8. 承認をクリック

  9. 各ステップを完了して、Secrets Manager に認証局構成を追加します。

別のアカウントのサービス・アクセス権限の付与

アクセスしようとしている CIS インスタンスが別のアカウントにある場合は、API キーを指定してサービス間の許可を作成できます。 ドメインが含まれる CIS インスタンスのクラウド・リソース名 (CRN) と、インスタンスに対する適切なレベルのアクセス権限を持つ API キーが必要です。 API キーは、CIS インスタンスを表示し、そのドメインにアクセスし、TXT レコードを管理する機能を Secrets Manager に付与する必要があります。

CIS インスタンスが、特定の IP アドレスのみへのアクセスを許可するアカウント内にある場合は、Secrets Manager からの着信要求を許可するように、アカウント内の IP アドレス制限も更新する必要があります。 詳しくは、 コンテキスト・ベースの制限によるアクセスの管理 を参照してください。

アクセス権限を割り当てるには、コンソールの 「アクセス権限 (IAM)」 セクションを使用します。

  1. CIS インスタンスがあるアカウントにログインします。

  2. **「管理」 > 「アクセス権限 (IAM)」をクリックして、「サービス ID」**を選択します。

  3. サービス ID API キーを作成するか、または既存のものを選択します。

  4. CIS インスタンスの表示、CIS インスタンスのドメインへのアクセス、および TXT レコードの管理に必要なアクセス権限を割り当てます。

    1. サービス ID の行で、**「アクション」**アイコン「アクション」アイコン **>「アクセス権限の割り当て」**をクリックします。
    2. 「アクセス・ポリシー」 タイルをクリックします。
    3. サービスのリストから Internet Services を選択し、 「次へ」 をクリックします。
    4. **「選択された属性に基づくリソース」**を選択します。
    5. **「サービス・インスタンス」**フィールドで、CIS インスタンスを選択します。
    6. 「役割とアクション」セクションで、 「管理者」 役割を選択します。 IBM Cloud コンソールの「リソース」リストから CIS インスタンスにアクセスする機能をサービス ID に付与する場合は、ビューアー・プラットフォーム・ロールも割り当てることができます。
    7. 「レビュー」>「追加」>「割り当て」 をクリックして、アクセス権限の割り当てを完了します。

  5. 各ステップを完了して、Secrets Manager に DNS 構成を追加します。

クラシック・インフラストラクチャーへのサービス・アクセス権限の付与

クラシック・インフラストラクチャーを使用してドメインを管理する場合は、Secrets Manager がドメインの所有権を検証できるように、その DNS サービスにサービス・アクセス権限を付与する必要があります。 アクセス権限を付与するには、クラシックインフラストラクチャアカウントの認証情報が必要です。

クラシック・インフラストラクチャー・ユーザー名および API キーを取得するには、コンソールの**「アクセス権限 (IAM)」**セクションを使用します。

コンソールの**「アクセス (IAM)」**セクションからクラシック・インフラストラクチャー資格情報を表示およびアクセスできるのは、クラシック・インフラストラクチャー・ユーザーのみです。 クラシック・インフラストラクチャー・アクセス権限がない場合、VPNユーザー名とクラシック・インフラストラクチャーAPIキーのフィールドはページに表示されません。 詳しくは、『クラシック・インフラストラクチャー・アクセス権限の管理』を参照してください。

この図は、クラシック・インフラストラクチャーのユーザー名とAPIキーを表示するための番号付きステップを含む、簡素化されたIAMダッシュボードを示しています。 手順は以下のテキストで説明されています。
Viewing your classic infrastructure username and API key

  1. コンソールで、**「管理」 > 「アクセス権限 (IAM)」 > 「ユーザー」**に移動して、ユーザーの名前を選択します。

  2. 「VPN パスワード」セクションで、「ユーザー名」 の値をコピーします。

    ほとんどの場合、クラシック・インフラストラクチャーのユーザー名は<account_id>_<email_address>です。 このユーザー名は、アカウントの VPN ユーザー名でもあります。

  3. API キー・セクションで、クラシック・インフラストラクチャー API キーを作成 するか、または既存のキーを見つけます。

  4. **「アクション」**アイコン「アクション」アイコン **>「詳細」**をクリックして、API キー値をコピーします。

  5. アカウント内の DNS を管理する権限をユーザーに割り当てます。

    従来のインフラストラクチャー・アクセスの管理について詳しくは、クラシック・インフラストラクチャー許可を参照してください。

    1. **「クラシック・インフラストラクチャー」**タブをクリックして、クラシック・インフラストラクチャーのアクセス権限を管理します。
    2. 「サービス」セクションで DNS の管理 許可が必ず選択されているようにします。

  6. 各ステップを完了して、Secrets Manager に DNS 構成を追加します。

次のステップ

これで、エンジン構成をインスタンスに追加する準備ができました。

まず、 認証局構成を追加 してから、 DNS プロバイダー構成を追加 します。