SSLならセクティゴ・コモドのEV・企業・ドメイン認証

※SSL自動取得化・最適解判定表

外部からのアクセス(FQDNでのWeb公開)が可能か?

Web公開可能	HTTP-01チャレンジ(一般的な認証)が利用可能です。
Web公開不能	DNS-01チャレンジ(DNSレコードの書き換えによる認証)が必須となります。

操作権限・環境(管理者権限 / インストール可否 / CLI(コマンド操作))

操作権限フル(権限あり・CLI可)	Certbot 等の標準ツールが最適です。
制限あり(権限なし・CLI可)	acme.sh(ユーザー権限で動作するシェルスクリプト)が有力です。
Web操作のみ	インフラ(クラウド/CDN)側でのマネージドSSLが現実的です。

条件別:おすすめのツールと手法(代表的な4つのパターン)

パターン	条件組み合わせ	最適な解決策	特徴
A:標準サーバー型	・管理者権限⭕️ ・ツール設置⭕️ ・CLI操作⭕️ ・WEB操作⭕️	Certbot (HTTP-01)	最も一般的なACMEクライアントです。OS標準パッケージとして導入でき、CronやTimerで完全自動化ができます
B:権限制限型	・管理者権限❌️ ・ツール設置❌️ ・CLI操作⭕️ ・WEB操作⭕️	acme.sh	実行バイナリのインストール不要。シェルスクリプトのみで、管理者権限のないユーザディレクトリ内で自動化処理の完結が可能です。
C:閉域網・内部型	・管理者権限⭕️ ・ツール設置⭕️ ・CLI操作⭕️ ・WEB操作❌️	Certbot (DNS-01)	サーバーが外から見えなくても、ダイナミックDNSでの更新やDNSプロバイダが提供するAPI(AWS Route53やCloudflare等)を呼び出し証明書を自動で取得。
D:非エンジニア・Web型	・管理者権限❌️ ・ツール設置❌️ ・CLI❌️GUIのみ⭕️ ・WEB操作⭕️	Cloudflare AWS ACM	サーバー側での自動化操作をあきらめ、クラウドCDNやロードバランサーでSSLを代行(オフロード)させる方法

※導入時の注意点

1. 「Web操作のみ」かつ「外部公開なし」の場合が最も自動化の実現で難易度が高くなります。

社内ツールなどのSSL利用で、外部からのアクセスできず、かつサーバーをCLIで操作することができない場合、自動化はほぼ不可能になります。

この場合は、DNSサーバー側の機能で証明書を発行を承認させて、取得した証明書・鍵ペアをWeb GUIからインポートする運用になります。

2. DNS-01チャレンジの選定基準
「外部公開なし」の環境で自動化をする場合、お使いのDNSサービスがAPIを提供しているかが実現の鍵となります。

対応可	専用サーバ等でDNSを運用しダイナミックDNS(rfc2136)に対応している場合 もしくはAWS Route53, Google Cloud DNS, Cloudflare, お名前.com(一部) などAPI対応の場合。
対応不可	APIがないドメインレジストラ。この場合には、DNSチャレンジでの自動更新は困難です。

3. セキュリティポリシー
「管理者権限なし」「自動化ツール設置不可」という環境では、そもそも外部への通信(443番ポートでのACMEサーバーへの接続)が制限されている場合があります。事前にネットワーク要件の確認をおすすめします。