IBM Cloud Blog
Certificate ManagerからSecret Managerへの手動移行
2022年10月07日
カテゴリー IBM Cloud Blog
記事をシェアする:
初めに
Certificate Manage(以下 CM)は2022年09月30日にEOM(End of Marketing)を迎え、同年12月31日にEOS(End of Support )を迎えます。※1
そのため、現在CMをご利用のお客様はSecret Manager(以下 SM)に移行いただく必要があります。
証明書の移行は、スクリプトもしくは手作業で実施することができますが、実際に各製品からSMを利用するためには追加作業が必要です。本BlogではALB用の証明書を管理する目的でCMを利用しているシンプルなケースを想定して手作業でCMからSMに証明書を移行する方法および、例としてALBからCMへのアクセス権付与と、CMからALBへの証明書のインポートを手作業で行う方法を記載しています。
※1 Release notes for Certificate Manager
目次
手順は以下から成ります
1)CM から SM への証明書の移行方法 (手動移行)
2)ALBからSMへのアクセス権の付与方法
3)SMからALBへの証明書インポート方法
****************************
1)CM から SM への証明書の移行方法 (手動移行)
作業の目的:CMからSMへの移行を行うためにCM、SMでそれぞれ必要な作業を行います。(手動で移行を行う方法)CMからSMに証明書を移行します。手作業で実施する場合はこちらの1)の手順で実施してください。
Step1: CMで行う作業
1. 画面左上、上から3つめの「三」の字のようなアイコン(リソースリスト)をクリックしてリソースリストを出す。
2.「サービスおよびソフトウェア」を開き、既存のCMを探し、クリックする。
3.「ご使用の証明書」にて一覧画面を表示し、移行したい証明書の行の右端の縦に・が3つ並んだアイコンを左クリックしてプルダウンメニューを出し、その中から「証明書のダウンロード」選ぶ。
4. 証明書に含まれる、証明書、秘密鍵、中間証明書がひとつのzipファイルにまとめられてダウンロードされるので、適切なフォルダに展開する。
Step2: SMで行う作業
1. 画面左上、上から3つめの「三」の字のようなアイコン(リソースリスト)をクリックしてリソースリストを出す。
2.「サービスおよびソフトウェア」を開き、移行先のSMを探し、クリックする。
3. シークレットの一覧が出るので、右上の「追加」をクリックする。
4. 最初の画面で、「TLS証明書」を選ぶ。
5. 次の画面で、「証明書のインポート」を選ぶ。
6. インポートする証明書に名前を付ける。
7. 証明書のセクションでファイルの追加をクリックして、さっきダウンロードしたzipを展開したフォルダから、証明書のpemファイルを選択する。
8. 秘密鍵のセクションでファイルの追加をクリックして、同じく秘密鍵のファイルを選択する。
9. 中間証明書のセクションでファイルの追加をクリックして、同じく中間証明書のファイルを選択する。
10.画面右下の作成をクリックする。
補足事項:スクリプトで移行作業をされる場合には「参考資料」に記載の資料をご参考になさってください。
参考資料:
A.Certificate Manager のリソースを Secrets Manager にマイグレーションする方法(英語)
Link先:
Migrating certificates from Certificate Managerの文末「マイグレーションのガイドライン」の④
certificate-manager-to-secrets-managerPublic(英語)
B.Certificate managerのCRNやCertificateのCRNの情報取得方法 CLI (英語)
Link先:
サンプルとスクリーンショット付きの手順書
How to Migrate Certificates from IBM Certificate Manager to IBM Cloud Secrets Manager
2)ALBからSMへのアクセス権の付与方法
作業の目的:IAMのアクセス管理にてALBからSMを利用できるように必要なアクセス権をALBに付与します。Step1及び2の作業を行うことでALBからSMにアクセスできるようになります。
Step1:アクセス権付与の準備
1. ポータルの右上、「管理」>「アクセス(IAM)」からIAMの画面に入る。
2. 開いた画面より、左ペインの「許可」を選び、「許可」の画面を出す。
Step2:「アクセスの管理」にて新たな許可を作成(アクセス権の付与)
1. 右上の「作成」をクリックして、以下の要領で新たな許可を作成する。
2. ソース・アカウントは「当該アカウント」を選ぶ。
3. ソースサービスは「VPC Infrastructure Service」を選ぶ。
4. アクセス権限の範囲の指定で、「選択された属性に基づくリソース」を選ぶ。
5. 属性の追加で「リソースタイプ」にチェックして、プルダウンから「Load Balancer for VPC」を選ぶ。
6. ターゲット・サービスは「Secrets Manager」を選ぶ。
7. アクセス権限の範囲の指定は「すべてのリソース」を選ぶ。
8. サービス・アクセスは「ライター」を選ぶ。
9. この状態で、「許可」をクリックしてください。
3)SMからALBへの証明書インポート方法
作業の目的:SMからALBに証明書をインポートします。
このStepで問題が発生した場合、元の設定、つまりCMから証明書をインポートする前に戻ります。
何かの理由で元に戻す必要がある場合、下記手順で証明書ソースに「Certification Manager」を指定して、証明書をインポートしなおせば元に戻せます。
Step1:ALBへの証明書のインポート
1. ポータルの画面左上一番上の4本線のアイコンをクリックし、VPCインフラストラクチャーからロードバランサ―を選択する。
2. ロードバランサ―の一覧から対象のロードバランサ―をクリックする。
3. ロードバランサ―の詳細画面で「フロントエンドリスナー」をクリックする。
4. 一覧画面の右端のアクションメニューのプルダウンから、「編集」をクリックする。
5. 証明書ソースで「Secrets Manager」を選ぶ。
6.「秘密管理者」でSMのインスタンスを選ぶ。
7.「SSL証明書」で先ほどインポートした証明書を選ぶ。
8. 画面右下の保存をクリックすれば証明書がインポートされる。
著者: IBM Cloud テクニカルアカウントマネージャー 原田佳奈子
セキュリティー・ロードマップ
IBM Cloud Blog
統合脅威管理、耐量子暗号化、半導体イノベーションにより、分散されているマルチクラウド環境が保護されます。 2023 安全な基盤モデルを活用した統合脅威管理により、価値の高い資産を保護 2023年には、統合された脅威管理と ...続きを読む
量子ロードマップ
IBM Cloud Blog
コンピューティングの未来はクォンタム・セントリックです。 2023 量子コンピューティングの並列化を導入 2023年は、Qiskit Runtimeに並列化を導入し、量子ワークフローの速度が向上する年になります。 お客様 ...続きを読む
ハイブリッドクラウド・ロードマップ
IBM Cloud Blog
コンポーザブルなアプリケーション、サービス、インフラストラクチャーにより、企業は複数のクラウドにまたがるダイナミックで信頼性の高い仮想コンピューティング環境の作成が可能になり、開発と運用をシンプルに行えるようになります。 ...続きを読む