外部認証局 (CA) 機能は、オンプレミスの Orchestrator を展開し、デフォルトの自己署名 Orchestrator 認証局ではなく、独自の認証局 (CA) を使用することが要件である大規模企業および政府機関のカスタマーのために用意されています。このセクションでは、外部 CA を有効にして設定する方法について説明します。

外部 CA が設定されている場合、Orchestrator は、証明書署名リクエスト (CSR) を受信してデバイス証明書自体を発行するのではなく、証明書を発行するために CSR を外部 CA に渡す必要があります。デバイス証明書は Orchestrator に返され、Edge または Gateway に送信されます。

この機能を使用しているカスタマーは、たとえば PrimeKey (EJBCA PKI) からの商用認証局を展開していることが予想されます。または、場合によっては、独自の CA を実装していることもあります。

リリース 5.1.0 以降では、外部 CA が有効になっている Orchestrator で、次の 2 つの新しい API 対応モードを設定できます。

  • [手動モード]は、任意の認証局をサポートし、証明書プロセスの各手順を手動で実行するユーザーに柔軟性と制御を提供します。

  • [非同期モード]は、手動の手順をスクリプト化し、定期的なタスクを自動化する機能により任意の認証局をサポートします。

これらのモードは、リリース 4.3.0 で導入された最初のモードである[同期モードまたは自動化モード]に追加されます。同期モードでは、Orchestrator は外部 CA(リリース 4.3.0 以降では、使用可能な外部認証局は PrimeKey EJBCA PKI のみです)と直接統合し、REST API を介した証明書の要求、更新、失効を行います。

外部 CA の有効化

外部 CA 機能は、2 つのシステム プロパティを使用して有効になります。これらのシステム プロパティを有効にできるのは、スーパー ユーザーのロールを持つオペレータのみです。

手順

有効にする必要がある最初のシステム プロパティは ca.external.configuration です。このプロパティは JSON データ型を使用して手動で作成され、JSON は以下の「外部 CA 設定のサンプル」セクションに示されている例と一致するように入力されます。

ca.external.configuration が作成されて有効になった後でのみ、オペレータは 2 番目のシステム プロパティ ca.external.enable を有効にすることができます。

  1. Orchestrator ユーザー インターフェイスで、[システム プロパティ (System Properties)] を選択します。
  2. 下の図に示すように、[システム プロパティ (System Properties)] ページの検索ボックスを使用して [ca.external.enable] と入力します。
  3. [ca.external.enable] プロパティが見つかったら、そのプロパティをクリックするか、チェック ボックスをオンにして [編集 (Edit)] をクリックします。
  4. 次の図に示すように、[ca.external.enable] プロパティを [True] に変更し、[変更の保存 (Save Changes)] を選択して変更を完了します。

    [システム プロパティ (System Properties)] ページに、プロパティが正常に変更されたことの確認が表示され、[ca.external.enable][True] であることも表示されます。

外部 CA の設定

外部 CA のシステム プロパティが有効になっているときに、オペレータは [Orchestrator] > [認証局 (Certificate Authorities)] の順にクリックして、外部認証局の設定を開始できます。

外部 CA の設定は、次の 3 つのモードのいずれかを使用して実行できます。
  1. [自動化 (同期) (Automated (Synchronous))][自動化 (Automated)] モードは、PrimeKey EJBCA PKI という 1 つの外部認証局のみをサポートします。
  2. [手動 (Manual)]:手動モードは、あらゆる認証局をサポートし、証明書プロセスの各手順を手動で実行するユーザーに柔軟性と制御性を提供します。

  3. [非同期 (Asynchronous)]:非同期モードは、あらゆる認証局をサポートし、手動の手順をスクリプト化することで定期的なタスクを自動化できる機能を提供します。

  1. [Orchestrator] > [認証局 (Certificate Authorities)] ページで、[+ 追加の CA (+ Additional CA)] をクリックします。
  2. [+ 追加の CA (+ Additional CA)] をクリックすると、ユーザー インターフェイスが [CA タイプ (CA Type)] に変更され、ドロップダウン メニューに [中間 CA (Intermediate CA)] および [外部 CA (External CA)] のオプションが表示されます。[外部 CA (External CA)] をクリックします。

  3. [外部 CA (External CA)] をクリックすると、画面が [外部 CA の追加 (Add External CA)] 画面に変わります。オペレータは、前述の 3 つの外部 CA モード([自動化 (同期) (Automated (Synchronous))]、[非同期 (Asynchronous)]、[手動 (Manual)])のいずれかを選択できます。

  4. CA モードを選択すると、[外部 CA の追加 (Add External CA)] 画面が変更され、外部 CA の追加設定が可能になります。ここでは、オペレータが [CA ルート証明書 (CA Root Certificate)] に貼り付けます。

    [vCO を有効にして CRL をポーリングする (Activate VCO to poll for CRL)] チェックボックスをオンにすると、オペレータは、Orchestrator が証明書失効リスト (CRL) を使用して証明書失効チェックを行うことを選択します。このオプションがオンの場合、オペレータによって設定される、以下の 2 つの追加設定パラメータが表示されます。

    1. [CRL ポーリング間隔(分)(CRL Poll Interval in Minutes)] は、Orchestrator が最新の CRL に対して証明書失効チェックを実行する頻度を分単位で決定します。
    2. [CRL 配布ポイント (CRL Distribution Point)] は、Orchestrator が最新の CRL を取得する場所の URL です。

  5. オペレータは、すべての必須フィールドに入力したら、[保存 (Save)] をクリックします。
  6. 外部 CA が設定されると、オペレータは [CRL のインポート (Import CRL)][CRL のダウンロード (Download CRL)] を行うオプションを新たに使用できるようになります

    [Orchestrator CRL ポーリング (Orchestrator CRL Polling)] が設定されている状態で、[CRL のインポート (Import CRL)] を使用すると、オペレータはインポートとエクスポートをバッチで、または個々に実行できます。

    CRL は証明書のインポート後に検証を実行し、Orchestrator は Orchestrator に接続されているすべての Edge および Gateway に CRL を配布します。

注: 3 番目のシステム プロパティは ca.external.caCertificate です。このシステム プロパティは、外部 CA が有効になり、有効な外部 CA への接続が確立されると表示されます。このプロパティには PEM (Privacy Enhanced Mail) でエンコードされた証明書が必要です。
注: Edge/Gateway によって生成された証明書署名リクエスト (CSR) には共通名 (CN) のみが含まれています。CSR に署名するときに、外部 CA によって必要なサブジェクトが追加されます。

外部 CA 設定のサンプル

このセクションでは、ca.external.configuration フィールドの設定の例を示します。

{
"integrationType": "SYNCHRONOUS",
"csrDistinguishedName": {
"CN_PID_SN": "VMWare-SDWAN"
},
"synchronous": {
"synchronousIntegrationType": "EJBCA",
"ejbca": {
"serverCaCertificate": "-----BEGIN CERTIFICATE-----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\n+kEK69DlZRNudn4=\n-----END CERTIFICATE-----",
"apiCertificate": "-----BEGIN CERTIFICATE-----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\nGvpl0ZmGVYmond3aBOYu\n-----END CERTIFICATE-----",
"apiKey": "-----BEGIN PRIVATE KEY-----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\nSNV2aPx+2+DGSZEVbuLXviHs\n-----END PRIVATE KEY-----",
"host": "ip-10-81-125-132.us-west-2.compute.internal",
"port": "443",
"distinguishedName": "UID=r-0595a13c153d76ae5,CN=ManagementCA,OU=ami-02a4474c1f74940a8,O=ip-10-81-125-132.us-west-2.compute.internal",
"certificateProfile": "ENDUSER",
"endEntityProfile": "EMPTY"
}
}
}

外部 CA の監視

証明書の監視は、同じ [Orchestrator] > [認証局 (Certificate Authorities)] ページで実行されます。

[証明書の概要 (Certificates Summary)] ページで、オペレータは、証明書のライフサイクルに関する主要なインジケータの状態を視覚的に確認できます。また、このセクションでは、オペレータは証明書のインポートや、CSR のダウンロードも実行できます。

[証明書 (Certificates)] セクションで、オペレータはすべての Edge または Gateway 証明書の完全なリストを .csv 形式でダウンロードできます。

オペレータ、パートナー、またはカスタマー管理者は、[設定 (Configure)] > [Edge] > [概要 (Overview)] に移動して特定の Edge の証明書を調べることもできます。

制限事項

  • 外部 CA は、単一のカスタマーによって管理されるオンプレミス Orchestrator でのみ有効にすることができます。この機能は、VMware によってホストされている Orchestrator では使用できません。
  • リリース 3.4.0 から 5.0.0 までの Orchestrator では、この機能で外部 CA として使用できるのは PrimeKey EJBCA PKI のみです。