SSL 証明書要求プロセス
E メール送信用にドメインをAdobeにデリゲートしたら ( ドメイン名の設定) の場合、Adobeは、特定の関数に対して特定のサブドメインを作成して使用します。
例えば、 email.example.com E メール送信のAdobeに対して、Adobeは次のようなサブドメインを作成します。
- t.email.example.com — トラッキングリンク用
- m.email.example.com — ミラーページの場合
- res.email.example.com — ホストされているリソース(画像など)の場合
次の操作をお勧めします。 SSL(HTTPS) を介してこれらのドメインを保護します。. 実際、保護されていないリンク (HTTP) は傍受に対して脆弱で、最新のブラウザーでは警告がフラグアップされます。
これらのサブドメインに SSL 証明書をインストールするには、CSR ファイルをリクエストし、Adobeがインストールまたは更新するための SSL 証明書を購入する必要があります。
用語集
DigiCert、Symantec など、組織または個人の ID を確認した後に電子証明書を発行する SSL 証明書プロバイダー。
- 信頼された CA は、通常、ルート証明書を発行するサードパーティ CA と見なされます。
- 証明書を使用している同じ組織または会社が証明書に署名している場合、自己署名証明書などの SSL 証明書であっても、その証明書は信頼されていない CA と分類されます。
信頼された証明機関ではなく、作成者が署名した証明書です。 自己署名証明書は、CA によって署名された証明書と同じレベルの暗号化を有効にすることができますが、次の 2 つの大きな欠点があります。
- 訪問者の接続がハイジャックされ、攻撃者が送信されたすべてのデータを表示できるようになる(その結果、接続を暗号化する目的がなくなる)可能性があります
- 信頼された証明書とは異なり、証明書を失効させることはできません。
主な手順
- 証明書署名要求 (CSR) ファイルを要求し、必要な情報(国、都道府県、市区町村、組織名、組織単位名など)を をAdobeに追加します。
- Adobeで生成された CSR ファイルを検証し、指定したすべての情報が正しいことを確認します。
- CSR の詳細を使用して、信頼された証明機関によって署名された証明書を生成します .
- SSL 証明書を検証し、CSR と一致することを確認します。
- SSL 証明書をインストールするAdobeに、SSL 証明書を提供します。
- 保護された各サブドメインに対して SSL 証明書が正常にインストールされていることをテストします。
- SSL 証明書の有効期間を監視します。
- Adobe Campaignの特定の設定を更新します。
詳細なプロセス
前提条件
ドメイン名と機能(トラッキング、ミラーページ、Web アプリなど)を をセキュアに設定します。
手順 1 - CSR ファイルを取得する
CSR(証明書署名要求)ファイルを取得するには、次の手順に従います。
-
次にアクセスできる場合: Campaign コントロールパネルを使用する場合は、 このページ をクリックして、CSR ファイルをCampaign コントロールパネルから生成しダウンロードします。
-
それ以外の場合は、 https://adminconsole.adobe.com/でサポートチケットを作成し、必要なサブドメインに対して、Adobeカスタマーケアから CSR ファイルを取得します。
以下に、従うべきベストプラクティスをいくつか示します。
- デリゲートされたサブドメインごとに 1 つのリクエストを発行します。
- 複数のサブドメインを 1 つの CSR リクエストに組み合わせることができますが、同じ環境内でのみ可能です。 例えば、Campaign Classicの場合、マーケティングサーバーの場合、 ミッドソーシングサーバー、および 実行インスタンス は、3 つの異なる環境です。
- SSL 証明書を更新する前に、新しい CSR を取得する必要があります。 1 年以上前の古い CSR ファイルを使用しないでください。
次の情報を入力する必要があります。
Adobe・チームの支援を得るための情報:
IT/SSL 内部チームから提供される情報:
手順 2 - CSR ファイルの検証
関連情報を指定して要求を送信すると、Adobeが証明書署名要求 (CSR) ファイルを生成して提供します。
結果の CSR ファイルのテキストはで始まる必要があります。 " — 証明書の要求を開始します —".
CSR ファイルをAdobeから受け取ったら、次の手順に従います。
- CSR ファイルテキストを、https://www.sslshopper.com/csr-decoder.htmlのようなオンラインデコーダーにコピー&ペーストします。 またはhttps://www.entrust.net/ssl-technical/csr-viewer.cfm。
または、 OpenSSL コマンドをローカルに Linux マシン上に置く。 - すべてのチェックが正常に行われたことを確認します。
- 正しいパラメーターとドメイン名が含まれていることを確認します。
- その他すべてのデータが、リクエストの送信時に指定した詳細と一致することを確認します。
手順 3 - SSL 証明書の生成
CSR ファイルを指定したら、CSR ファイルを使用して、適切なドメインの SSL 証明書を購入し、生成する必要があります。
-
SSL 証明書:
- は Apache PEM 形式である必要があります。
- は、2048 ビット以下にする必要があります。
- は、有効な CA (証明機関)によって署名されている必要があります。
- CSR ファイルで説明されているように、すべての SAN(サブジェクトの代替名)を含める必要があります。
-
1 つ以上の中間証明書がある場合は、ルート証明書とすべての中間証明書をAdobeに指定する必要があります。
-
任意の証明書の有効期間を設定できますが、Adobeは、証明書の有効期間を十分に長く(例えば 2 年)選択することをお勧めします。
手順 4 - SSL 証明書を検証する
SSL 証明書が生成されたら、Adobeに送信する前に検証する必要があります。 これを行うには、以下の手順に従います。
- 証明書の拡張子が.pem であることを確認します。 該当しない場合は、PEM 形式に変換します。 変換処理を実行するには、 OpenSSL.
- 証明書が次の語句で始まっていることを確認します。 「 — 証明書を開始 — 」.
- 証明書テキストをオンラインデコーダー (https://www.sslshopper.com/certificate-decoder.htmlやhttps://www.entrust.net/ssl-technical/csr-viewer.cfmなど ) にコピーします。
または、 OpenSSL コマンドをローカルに Linux マシン上に置く。 詳しくは、 この外部ページ. - 共通名、SAN、発行者、有効期間を含む証明書が正しく解決されていることを確認します。
- SSL 証明書の検証が成功した場合は、次を使用して、証明書が CSR と一致することを確認します。 このウェブサイト:選択 CSR と証明書が一致するかどうかを確認します をクリックし、該当するフィールドに証明書と CSR を入力します。 一致する必要があります。
手順 5 - SSL 証明書のインストールを要求する
-
次にアクセスできる場合: Campaign コントロールパネルを使用する場合は、 このページ 証明書をCampaign コントロールパネルにアップロード。
-
それ以外の場合は、https://adminconsole.adobe.com/から別のサポートチケットを作成し、Adobeに証明書をAdobeサーバーにインストールするよう要求します。
以下を指定する必要があります。
- 証明書ファイル、ルート証明書および(チケットに添付されている)中間証明書。できれば Apache PEM 形式です。
- CSR に対して引き上げた以前のサポートチケットの数。
- CSR チケットに指定されたデータと同じもの(共通名、インスタンス URL、都道府県、市区町村、組織名、組織単位名など)。
手順 6 - SSL 証明書のインストールのテスト
SSL 証明書がインストールされ、Adobeカスタマーケアによって確認されたら、すべての URL に対して正常にインストールされていることを確認します。
SSL インストールチケットを閉じる前に、以下のテストを実行します。 また、特定の設定を必ず更新してください ( この節.
ブラウザーで次の URL に移動します(「subdomain.customer.com」をサブドメインに置き換えます)。
- https://subdomain.customer.com/r/test ( の web アプリケーション サブドメインのみ — 電子メールのサブドメインには適用されません。
- https://t.subdomain.customer.com/r/test
- https://m.subdomain.customer.com/r/test
- https://res.subdomain.customer.com/r/test
成功した結果、環境情報が表示され、URL のアドレスバーは接続がセキュリティで保護されていることを示します。 例えば、Google Chrome では次のメッセージを表示できます。
SSL 証明書が正しくインストールされていない場合は、次の警告が表示されます。
手順 7 — 証明書の有効期間を確認する
ブラウザーで証明書の有効期間を確認できます。 例えば、Google Chrome で、 セキュア > 証明書.
有効期間を確認するのは、お客様の責任です。 Adobeでは、証明書の有効期限を監視するプロセスを実装することをお勧めします。 SSL 証明書の有効期限が次の期間で切れた場合の影響の詳細を説明します この記事.
-
サポートチケットを作成して、証明書の有効期限の 2 週間前以降に更新された証明書をリクエストします。 CSR の詳細が変更されていない限り、追加の CSR をリクエストする必要はありません。
-
次にアクセスできる場合: Campaign コントロールパネルAWS環境で環境がAdobeによってホストされている場合、Campaign コントロールパネルを使用して、証明書の期限が切れる前に証明書を更新できます。 詳しくは、この節を参照してください。
手順 8 — 特定の設定を更新する update-configuration
要求された SSL 証明書が正しくインストールされていると確信したら、Adobe Campaignのすべての参照を HTTP から HTTPS に更新できます。
設定が更新されると、新しい E メールは HTTP ではなく HTTPS URL で送信されます。 URL がセキュリティで保護されたことを確認するには、次のテストをすばやく実行できます。
- Adobe Campaignから画像をアップロードします。 画像がアップロードされたら、返される URL は HTTPS にする必要があります。
- ミラーページのリンク、一部の画像、テキスト、購読解除リンクを含むテスト用 E メール配信を作成します。 外部の電子メール ID(Gmail アドレスなど)に電子メールを送信します。 受け取ったら、E メールを開き、E メール内のすべてのリンクが(HTTP ではなく)HTTPS 形式で正しく開かれ、SSL 証明書の警告やエラーは表示されないことを確認します。
製品固有のリソース
Campaign Classic
- Campaign コントロールパネル:SSL 証明書の追加(チュートリアル) - SSL 証明書を追加してサブドメインを保護する方法を説明します。
Campaign Standard
- Campaign コントロールパネル:SSL 証明書の追加(チュートリアル) - SSL 証明書を追加してサブドメインを保護する方法を説明します。