信頼ストアで証明書を管理する
信頼ストアとは、mTLSハンドシェイク中に外部サービスの身元を確認するためにOkta Workflowsが使用する認証局(CA)証明書のリストです。mTLS接続を作成する前にCA証明書をアップロードします。
開始する前の確認事項
-
スーパー管理者、Workflows管理者、または接続マネージャーとしてサインインしていること。
-
フェデレーションセル内のorgにサインインしていること。
-
PEMフォーマットのCA証明書があること。
-
P12ファイルはFIPS準拠のアルゴリズムを使用していること。ファイルはAES-256-CBC暗号化を使用し、MAC整合性チェックにはPBMAC1とPBKDF2を使用する必要があります。
認証局を追加する
mTLS接続を作成するために、信頼ストアに認証局をアップロードします。
- に移動します。
- +認証局を追加(+Certificate authority)をクリックします。
- 名前と説明(任意)を入力します。
- ファイルを追加(Add files)をクリックし、該当するPEMファイルを選択します。
- 作成(Create)をクリックします。
証明書がアクティブ(Active)ステータスで信頼ストアに追加されます。目のアイコンをクリックすると、証明書の詳細が表示されます。
Okta WorkflowsはPEMフォーマットのファイルのみを受け入れます。別のフォーマットの証明書を受け取った場合は、OpenSSLなどのツールを使用してPEMに変換してからアップロードします。
有効期限が切れる証明書を交換する
証明書の有効期限が近づいている場合、または有効期限が切れた場合は、その証明書に依存する接続を切断することなく証明書を交換できます。
-
証明書の行のアイコンをクリックすると、証明書の詳細が表示されます。
-
更新(Update)をクリックします。
-
交換用のPEMファイルをアップロードして保存(Save)をクリックします。
証明書が置き換えられて、その証明書を参照するすべての接続は、中断することなく機能し続けます。
期限切れの証明書には、リストパネルと詳細パネルの両方に期限切れ(Expired)バッジが表示されます。期限切れの証明書を使った接続は、証明書が置き換えられるまで失敗します。
証明書を削除する
証明書を削除して、信頼ストアから削除します。証明書を削除する前に、その証明書を使用するアクティブな接続がないことを確認してください。
-
証明書の行のアイコンをクリックすると、証明書の詳細が表示されます。
-
削除(Delete)をクリックします。
-
再度削除(Delete)をクリックして確定します。
証明書が信頼ストアから削除されます。このアクションは元に戻せません。
次の手順