Certificate ManagerからSecret Managerへの手動移行

記事をシェアする:

初めに
Certificate Manage（以下 CM）は2022年09月30日にEOM（End of Marketing）を迎え、同年12月31日にEOS（End of Support ）を迎えます。※1
そのため、現在CMをご利用のお客様はSecret Manager（以下 SM）に移行いただく必要があります。

証明書の移行は、スクリプトもしくは手作業で実施することができますが、実際に各製品からSMを利用するためには追加作業が必要です。本BlogではALB用の証明書を管理する目的でCMを利用しているシンプルなケースを想定して手作業でCMからSMに証明書を移行する方法および、例としてALBからCMへのアクセス権付与と、CMからALBへの証明書のインポートを手作業で行う方法を記載しています。

※1 Release notes for Certificate Manager

目次
手順は以下から成ります
1)CM から SM への証明書の移行方法 (手動移行)
2)ALBからSMへのアクセス権の付与方法
3)SMからALBへの証明書インポート方法

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

1)CM から SM への証明書の移行方法 (手動移行)

作業の目的：CMからSMへの移行を行うためにCM、SMでそれぞれ必要な作業を行います。（手動で移行を行う方法）CMからSMに証明書を移行します。手作業で実施する場合はこちらの1)の手順で実施してください。

Step1: CMで行う作業
1. 画面左上、上から3つめの「三」の字のようなアイコン(リソースリスト)をクリックしてリソースリストを出す。

2.「サービスおよびソフトウェア」を開き、既存のCMを探し、クリックする。
3.「ご使用の証明書」にて一覧画面を表示し、移行したい証明書の行の右端の縦に・が3つ並んだアイコンを左クリックしてプルダウンメニューを出し、その中から「証明書のダウンロード」選ぶ。

4. 証明書に含まれる、証明書、秘密鍵、中間証明書がひとつのzipファイルにまとめられてダウンロードされるので、適切なフォルダに展開する。

Step2: SMで行う作業
1. 画面左上、上から3つめの「三」の字のようなアイコン(リソースリスト)をクリックしてリソースリストを出す。
2.「サービスおよびソフトウェア」を開き、移行先のSMを探し、クリックする。
3. シークレットの一覧が出るので、右上の「追加」をクリックする。
4. 最初の画面で、「TLS証明書」を選ぶ。
5. 次の画面で、「証明書のインポート」を選ぶ。
6. インポートする証明書に名前を付ける。
7. 証明書のセクションでファイルの追加をクリックして、さっきダウンロードしたzipを展開したフォルダから、証明書のpemファイルを選択する。
8. 秘密鍵のセクションでファイルの追加をクリックして、同じく秘密鍵のファイルを選択する。
9. 中間証明書のセクションでファイルの追加をクリックして、同じく中間証明書のファイルを選択する。
10.画面右下の作成をクリックする。

補足事項：スクリプトで移行作業をされる場合には「参考資料」に記載の資料をご参考になさってください。

参考資料:
A.Certificate Manager のリソースを Secrets Manager にマイグレーションする方法（英語）
Link先：
Migrating certificates from Certificate Managerの文末「マイグレーションのガイドライン」の④

certificate-manager-to-secrets-managerPublic（英語）

B.Certificate managerのCRNやCertificateのCRNの情報取得方法　CLI　（英語）
Link先：
サンプルとスクリーンショット付きの手順書
How to Migrate Certificates from IBM Certificate Manager to IBM Cloud Secrets Manager

2)ALBからSMへのアクセス権の付与方法

作業の目的：IAMのアクセス管理にてALBからSMを利用できるように必要なアクセス権をALBに付与します。Step1及び2の作業を行うことでALBからSMにアクセスできるようになります。

Step1:アクセス権付与の準備
1. ポータルの右上、「管理」>「アクセス(IAM)」からIAMの画面に入る。

2. 開いた画面より、左ペインの「許可」を選び、「許可」の画面を出す。

Step2:「アクセスの管理」にて新たな許可を作成（アクセス権の付与）
1. 右上の「作成」をクリックして、以下の要領で新たな許可を作成する。

2. ソース・アカウントは「当該アカウント」を選ぶ。
3. ソースサービスは「VPC Infrastructure Service」を選ぶ。
4. アクセス権限の範囲の指定で、「選択された属性に基づくリソース」を選ぶ。
5. 属性の追加で「リソースタイプ」にチェックして、プルダウンから「Load Balancer for VPC」を選ぶ。

6. ターゲット・サービスは「Secrets Manager」を選ぶ。
7. アクセス権限の範囲の指定は「すべてのリソース」を選ぶ。

8. サービス・アクセスは「ライター」を選ぶ。
9. この状態で、「許可」をクリックしてください。

3)SMからALBへの証明書インポート方法

作業の目的：SMからALBに証明書をインポートします。
このStepで問題が発生した場合、元の設定、つまりCMから証明書をインポートする前に戻ります。
何かの理由で元に戻す必要がある場合、下記手順で証明書ソースに「Certification Manager」を指定して、証明書をインポートしなおせば元に戻せます。

Step1:ALBへの証明書のインポート
1. ポータルの画面左上一番上の4本線のアイコンをクリックし、VPCインフラストラクチャーからロードバランサ―を選択する。

2. ロードバランサ―の一覧から対象のロードバランサ―をクリックする。
3. ロードバランサ―の詳細画面で「フロントエンドリスナー」をクリックする。

4. 一覧画面の右端のアクションメニューのプルダウンから、「編集」をクリックする。

5. 証明書ソースで「Secrets Manager」を選ぶ。

6.「秘密管理者」でSMのインスタンスを選ぶ。
7.「SSL証明書」で先ほどインポートした証明書を選ぶ。
8. 画面右下の保存をクリックすれば証明書がインポートされる。

著者: IBM Cloud テクニカルアカウントマネージャー 原田佳奈子