シークレットグループの作成 (Anypoint Platform)

前提条件

  • Write secrets​ 権限が有効になっていることを確認する。

  • 左のナビゲーションバーの上部にある環境スイッチャを使用して、適切な環境にいることを確認する。

シークレットグループの作成

  1. Anypoint Platform で、[Management Center] に移動して​[Secrets Manager (シークレットマネージャ)]​ を選択します。

  2. [Create Secret Group (シークレットグループを作成)]​ をクリックします。

  3. シークレットグループの名前を入力して ​[Save (保存)]​ をクリックします。

    シークレットグループの名前は次の条件を満たす必要があります。

    • 3 文字以上で 35 文字以下である

    • 文字で始まる

    • 文字、数字、ダッシュのみを含む (ただし末尾にダッシュは使用できない)

シークレットグループは ​[Secret Groups (シークレットグループ)]​ リストビューに表示されます。​[Edit (編集)]​ をクリックして、必要なシークレット種別 (キーストアやトラストストアなど) を追加します。

証明書を追加する

シークレットグループに 1 つの PEM 証明書を追加します。この証明書は、「リーフ」証明書 (エンドエンティティ証明書) です。

  1. [Secret Groups (シークレットグループ)]​ リストビューで、証明書を追加するシークレットグループを選択します。

  2. 左側のメニューで ​[Certificate (証明書)]​ を選択し、​[Add Certificate (証明書を追加)]​ をクリックします。

  3. [Add Certificate (証明書を追加)]​ 画面で、必要な情報を追加します。

    • Name (名前)​ - 証明書の名前を入力する。

    • Type (種別)​ - ドロップダウンメニューから証明書種別を選択する。

      次の種別がサポートされています。

      • PEM

    • Certificate File (証明書ファイル)​ - ​[Choose File (ファイルを選択)]​ をクリックし、アップロードする証明書ファイルを選択する。

    • Override Expiration Date (有効期限を上書き)​ (省略可能) - 証明書のデフォルトの有効期限を上書きする日付を選択する。

  4. [Save (保存)]​ をクリックします。

トラストストアを追加する

信頼済みのサーバの公開証明書用のトラストストアを追加します。トラストストアは、信頼された CA の証明書を保存するために使用されます。その後、SSL 接続でサーバから提供される証明書を検証するために使用されます。

トラストストアに最大 15 個の証明書を追加できます。
  1. [Secret Groups (シークレットグループ)]​ リストビューで、新しいトラストストアを受け取るシークレットグループを選択します。

  2. 左側のメニューで ​[Truststore (トラストストア)]​ を選択し、​[Add Truststore (トラストストアを追加)]​ をクリックします。

  3. [Add Truststore (トラストストアを追加)]​ 画面で、必要な情報を追加します。

    • Name (名前)​ - キーストアの名前を入力する。

    • Type (種別)​ - ドロップダウンメニューからトラストストア種別を選択する。
      次の種別がサポートされています。

      • PEM

      • JKS

      • PKCS12

      • JCEKS

    • Truststore File (トラストストアファイル)​ - ​[Choose File (ファイルを選択)]​ をクリックし、アップロードするトラストストアファイルを選択する。

    • Override Expiration Date (有効期限を上書き)​ (省略可能) - 証明書のデフォルトの有効期限を上書きする日付を選択する。

      JKS、PKCS12、または JCEKS トラストストアファイルをアップロードする場合、このトラストストアのパスフレーズも指定する必要があります。
  4. [Save (保存)]​ をクリックします。

キーストアを追加する

シークレットグループに追加するキーストアの種別を指定します。キーストアは、承認証明書、それに対応する非公開キー、および認証機関のパスの組み合わせです。

  1. [Secret Groups (シークレットグループ)]​ リストビューで、キーストアを追加するシークレットグループを選択します。

  2. 左側のメニューで ​[Keystore (キーストア)]​ を選択し、​[Add Keystore (キーストアを追加)]​ をクリックします。

  3. [Name (名前)]​ 項目で、キーストアの名前を入力します。

  4. [Type (種別)]​ 項目で、ドロップダウンメニューからキーストア種別を選択します。

    次の種別がサポートされています。

    • Privacy Enhanced Mail (PEM) - ​cer​、​crt​、または ​pem​ 拡張子の Base64 でエンコードされた ASCII ファイル。

    • Java Keystore (JKS) - 認証または公開キー証明書のリポジトリ。JKS キーストア種別はシークレットキーを保存しません。

    • PKCS12 - サーバ証明書と中間証明書をアーカイブファイル形式で保存。PKCS12 キーストア種別はシークレットキーを保存しません。

    • Java Cryptography Extension KeyStore (JCEKS) - サーバ証明書と中間証明書およびシークレットキーを保存。

      1. PEM​ 種別のキーストアを追加するには、次の項目を設定する必要があります。

        • Certificate File (証明書ファイル)​ - ​[Choose File (ファイルを選択)]​ をクリックし、PEM 証明書ファイルを見つけてアップロードする。

        • Key File (キーファイル)​ - ​[Choose File (ファイルを選択)]​ をクリックし、証明書の非公開キーを含む PEM 形式のファイルを見つけてアップロードする。

        • Key Passphrase (キーパスフレーズ)​ - 非公開キーを保護する単語または語句を入力する。

        • CA Path Certificate File (CA パス証明書ファイル)​ (省略可能) - ​[Choose File (ファイルを選択)]​ をクリックし、認証機関 (CA) によって署名された証明書を見つけてアップロードする。
          CA パスには、使用する証明書ファイルに関連する中間証明書とルート証明書が含まれます。

        • Override Expiration Date (有効期限を上書き)​ (省略可能) - 証明書のデフォルトの有効期限を上書きする日付を選択する。

      2. JKS​、​PKCS12​、または ​JCEKS​ 種別のキーストアを追加するには、次の項目を設定する必要があります。

        • Keystore File (キーストアファイル)​ - ​[Choose File (ファイルを選択)]​ をクリックし、使用するキーストアファイルを見つけてアップロードする。

        • Keystore Passphrase (キーストアパスフレーズ)​ - キーストアを保護する単語または語句を入力する。

        • Alias (別名)​ - キーストアエントリ (キーと信頼済みの証明書のエントリ) へのアクセスに使用する別名。

        • Key Passphrase (キーパスフレーズ)​ - 非公開キーを保護する単語または語句。

        • Algorithm (アルゴリズム)​ (省略可能) - キーの暗号化に使用するアルゴリズム。

        • Override Expiration Date (有効期限を上書き)​ (省略可能) - 証明書のデフォルトの有効期限を上書きする日付を選択する。

  5. [Save (保存)]​ をクリックします。

証明書ピンセットを追加する

PEM 証明書の連結リストをシークレットグループに追加します。

  1. [Secret Groups (シークレットグループ)]​ リストビューで、証明書ピンセットを追加するシークレットグループを選択します。

  2. 左側のメニューで ​[Certificate Pinset (証明書ピンセット)]​ を選択し、​[Add Certificate Pinset (証明書ピンセットを追加)]​ をクリックします。

  3. [Certificate Pinset (証明書ピンセット)]​ 画面で、必要な情報を追加します。

    • Name (名前)​ - 証明書ピンセットの名前を入力する。

    • Certificate File (証明書ファイル)​ - ​[Choose File (ファイルを選択)]​ をクリックし、アップロードする PEM 形式の CA 証明書を選択する。

    • Expiration Date (有効期限)​ (省略可能) - 証明書の有効期限を選択する。

共有シークレットを追加する

ユーザが認証に使用できる共有シークレットを追加します。

  1. [Secret Groups (シークレットグループ)]​ リストビューで、共有シークレットを追加するシークレットグループを選択します。

  2. 左側のメニューで ​[Shared Secret (共有シークレット)]​ を選択し、​[Add Shared Secret (共有シークレットを追加)]​ をクリックします。

  3. [Add Shared Secret (共有シークレットを追加)]​ 画面で、必要な情報を追加します。

    • Name (名前)​ - 共有シークレットの名前を入力する。

    • Type (種別)​ - ドロップダウンメニューから共有シークレット種別を選択する。

      • Username Password (ユーザ名パスワード)​ - ユーザ名とパスワードを指定する。

      • Symmetric Key (対称キー)​ - 対称キーを含む Base64 文字列を指定する。

      • S3 Credential (S3 ログイン情報)​ - S3 バケットへのアクセスキー ID とシークレットアクセスキーを指定する。

      • Blob​ - Base64 でエンコードされた値を指定する。

  4. [Save (保存)]​ をクリックします。

失効した証明書のリストを追加する

有効期限前に認証機関によって失効された証明書のリストを追加します。サーバ管理者 (Edge の所有者) が CRL リストおよびこのリストを取得するための他のアルゴリズムを指定するか、サーバ所有者が外部の公開キー基盤 (PKI) または失効した証明書のリストを管理する別のベンダーを指定することがあります。

  1. [Secret Groups (シークレットグループ)]​ リストビューで、証明書失効リスト (CRL) 配布元設定を追加するシークレットグループを選択します。

  2. 左側のメニューで ​[CRL Distributor Config (CRL 配布元設定)]​ を選択し、​[Add CRL (CRL を追加)]​ をクリックします。

  3. [Add Certificate Revocation List (CRL) Distributor Config (証明書失効リスト (CRL) 配布元設定を追加)]​ 画面で、必要な情報を追加します。

    • Name (名前)​ - CRL 配布ポイントの名前を入力する。

    • Distributor Certificate (配布元証明書)​ - ドロップダウンリストから CRL 配布元を選択する。

    • CA Certificate (CA 証明書)​ - ドロップダウンリストから CRL 配布元に対してクエリを実行する CA 証明書を選択する。

    • Frequency (in minutes) (頻度 (分))​ - CRL 配布元のクエリを実行する間隔 (分) を決定する。

    • Complete CRL Issuer URL (完全な CRL 発行者 URL)​ - 失効したすべての証明書の URL を追加する。

    • Delta CRL Issuer URL (デルタ CRL 発行者 URL)​ (省略可能) - 最後に完全な CRL が作成されてから失効したすべての証明書のリストの URL を追加する。

    • Expiration Date (有効期限)​ (省略可能) - 証明書の有効期限を選択する。

  4. [Save (保存)]​ をクリックします。

TLS コンテキストを追加する

Runtime Fabric または Mule 4プロキシへのインバウンドトラフィックを暗号化するには、証明書とキーのペアを TLS コンテキストに追加してから、TLS コンテキストを有効にします。

シークレットマネージャに保存した TLS コンテキストは、HTTPS API プロキシを設定するとき、または Runtime Fabric のエッジエンドポイントで SSL ハンドシェイクを検証するために使用できます。

  1. [Secret Groups (シークレットグループ)]​ リストビューで、TLS コンテキストを追加するシークレットグループを選択します。

  2. 左側のメニューで ​[TLS Context (TLS コンテキスト)]​ を選択し、​[Add TLS Context (TLS コンテキストを追加)]​ をクリックします。

  3. [Create TLS Context (TLS コンテキストを作成)]​ 画面で、必要な情報を追加します。

    • Name (名前)​ - TLS コンテキストの名前を入力する。

    • TLS Version (TLS バージョン)​ - TLS バージョンを選択する。

    • Target (対象)​ - ドロップダウンリストから TLS コンテキストの対象を選択する。

      • Anypoint Security​ - Runtime Fabric の SSL ハンドシェイクを検証する。
        [Anypoint Security]​ 対象を使用する場合、PEM または非 PEM 種別のキーストアとトラストストアを選択できます。次の種別がサポートされています。

        • JKS

        • PKCS12

        • JCEKS

      • Mule​ - TLS コンテキストを Mule 4 ベースの API プロキシの SSL 検証として使用する。

    • Keystore (キーストア)​ - ドロップダウンリストから TLS コンテキストを保存するキーストアを選択する。

    • Truststore (トラストストア)​ (省略可能) - ドロップダウンリストから TLS コンテキストを追加するトラストストアを選択する。

    • Expiration Date (有効期限)​ (省略可能) - 証明書の有効期限を選択する。

    • Enable Client Authentication (クライアント認証を有効化)​ - クライアント認証を有効にする場合はこのオプションを選択する。

      シークレットマネージャでは、カスタム暗号化を選択することもできます。

      次の暗号化がサポートされています。

    • AES256 GCM SHA384

    • AES128 GCM SHA256

    • AES256 SHA256

    • AES128 SHA256

    • AES256 SHA1

    • AES128 SHA1

    • DES CBC3 SHA1

    • DHE RSA AES256 GCM SHA384

    • DHE RSA AES128 GCM SHA256

    • DHE RSA AES256 SHA256

    • DHE RSA AES128 SHA256

    • DHE RSA AES256 SHA

    • DHE RSA AES128 SHA

    • ECDHE RSA AES256 GCM SHA384

    • ECDHE RSA AES128 GCM SHA256

    • ECDHE RSA AES256 SHA384

    • ECDHE RSA AES128 SHA256

    • ECDHE RSA AES256 SHA

    • ECDHE RSA AES128 SHA

    • ECDHE RSA DES CBC3 SHA

    • EDH RSA DES CBC3 SHA

      HTTPS API プロキシで使用するように暗号化を設定している場合、プロキシインスタンスで使用される追加の暗号化を定義できます。

      asm secret group creation task f012f
  4. [Save (保存)]​ をクリックします。

シークレットグループを編集する

シークレットグループを編集する場合、必要なセキュリティオブジェクトの編集中、他のユーザはロックアウトされます。

  1. シークレットマネージャで、更新するシークレットグループの ​[Edit (編集)]​ をクリックします。

  2. 変更を加えて ​[Finish (完了)]​ をクリックします。
    シークレットグループが変更内容で更新され、シークレットマネージャはこの時点以降に更新されたシークレットをすべての再デプロイされたアプリケーションに提供します。

  3. 開かれている編集セッションをキャンセルするには、​[Cancel Edit (編集をキャンセル)]​ をクリックします。
    これを使用して、別のユーザの編集セッションをキャンセルできます。たとえば、ユーザが編集セッションを開いたままにした場合 (​[Finish (完了)]​ をクリックしなかった場合)、他のユーザは編集セッションを開くことができず、​[Edit (編集)]​ ボタンは無効になります。編集セッションを開いたままにしているユーザがそれを閉じることができない場合、​[Cancel Edit (編集をキャンセル)]​ をクリックしてそのユーザのセッションをキャンセルできます。
    これで ​[Edit (編集)]​ ボタンが使用可能になり、シークレットグループを更新できます。

    ユーザの編集をキャンセルすると、そのユーザのすべての変更が削除されます。

Was this article helpful?

💙 Thanks for your feedback!

Edit on GitHub