SSLならセクティゴ・コモドのEV・企業・ドメイン認証

※ACMEプロトコルは、サーバー証明書の取得・更新を自動化するための仕組みです。

この自動化をスムーズにできるかどうかは、主にサーバーにACMEクライアントをインストールして実行できるかどうかにかかっています。

※ACMEで証明書を自動化できるサーバー

以下の条件を満たしている場合、ACMEで証明書管理を自動化できます。

ACMEクライアント(例: Certbot、acme.sh、LEGOなど)をインストールできる。

Linux系(Ubuntu, CentOS系などすべてのディストリビューション)やWindows系 MAC などの主要なOSであれば、対応するACMEクライアントをインストールできます。Dockerなどのコンテナ環境でもACMEクライアントを動かせます。

Webサーバー(Apache, Nginxなど)と連携ができる。

多くのACMEクライアントは、Webサーバーの設定ファイルを自動で書き換えて証明書をデプロイする機能を持っています。

ドメインの所有権を証明するための認証(HTTP-01, DNS-01など)を実行できる。

サーバーがWebサーバーとして機能していれば、指定されたファイル配置で認証を行う「HTTP-01」チャレンジを自動で行えます。DNSサーバーと連携できるクライアントもあります。

簡単に言えば、自由にソフトウェアをインストール・実行でき、外部と通信できるWebサーバーは、ACMEによる自動化が可能です。

※ACMEで自動化できない(または難しい)ケース

自動化が難しいサーバーは、ACMEクライアントの要件を満たせないマシンです。

組み込み機器やネットワーク機器

OSが特殊で、汎用的なACMEクライアントが動作しない。

ソフトウェアの追加インストールが許可されていない。

古いバージョンのOS

ACMEクライアントがサポートを終了している、または正しく動作しない。

インターネットに直接接続されていないプライベートな閉鎖空間

ドメインの認証を行うために必要な外部との通信ができない。

※取得専用のマシンからACMEで自動化できないマシンに証明書を転送するケース

自動化が難しいサーバーであっても、ACMEの恩恵を受ける方法はあります。それが別のマシンで証明書を取得して転送するという方法です。

取得専用マシンの用意:

ACMEクライアントをインストール可能なLinuxなどのサーバーを用意します。

このマシン上で、本来証明書をデプロイしたいサーバーのドメインに対する証明書を取得します。

認証にはDNS-01チャレンジを使用するのが一般的です。これはDNSレコードを追加してドメインの所有権を証明する方法で、Webサーバーとして公開する必要がありません。

証明書の転送:

取得した証明書ファイル(cert.pem, fullchain.pem, privkey.pemなど)を、本来のサーバーに安全な方法(SCP, SSHFSなど)で転送します。

証明書の配置とリロード:

本来のサーバーに証明書を配置し、Webサーバーを再起動またはリロードして新しい証明書を読み込ませます。

この一連のプロセスをスクリプト化し、cronなどで定期的に実行することで、自動化が難しいサーバーでも擬似的に証明書の自動更新を実現できます。これは「ACMEクライアントとデプロイメントスクリプトを分離する」という考え方です。これにより、ACMEに直接対応していないサーバーでも、証明書管理の手間を大幅に削減できます。

実例1 (AWS環境) 実例2 (GCP環境)