トラブルシューティング

◆ こちらからサポート記事を検索いただけます

トラブルシューティング　（CaaS関連）

よくあるトラブル事例の原因と対策

ACME(Automatic Certificate Management Environment)プロトコルを利用した証明書の自動更新は非常に便利ですが、ネットワーク設定やサーバー構成の変化によってエラーが発生することがよくあります。

主なトラブル事例を、原因と対策に分けて整理しました。

1.ドメイン認証(Challenge)の失敗

ACMEで最も多いトラブルです。CA(認証局)が「本当にそのドメインの所有者か」を確認するプロセスで発生します。

HTTP-01 チャレンジの失敗

サーバー上の特定のパス(.well-known/acme-challenge/)にファイルを置き、CAが外部からアクセスして確認する方法です。

ファイアウォールの遮断:	ポート 80 (HTTP) が閉じていないか確認する。
リダイレクト設定:	HTTPSへの強制リダイレクト設定により、認証ファイルへのアクセスがループしたり拒否されたりしてないか確認する
アクセス制限:	.well-known ディレクトリに対して、Basic認証やIP制限がかかって無いことを確認する
IPv6の問題:	AAAAレコードが登録されているが、サーバー側でIPv6の待ち受け設定ができているか確認(認証局側はIPv6を優先することが多いです)

DNS-01 チャレンジの失敗

DNSに特定のTXTレコードを書き込んで確認する方法です。

反映待ち(Propagation Delay):	TXTレコードを書き込んだ直後に検証が行われ、まだ世界中のDNSに反映(トランスファー)されていないプライマリ・セカンダリの転送状況をチェック
API権限不足:	CloudflareやAWS Route53などのDNSプロバイダーのAPIトークンに、レコード書き込み権限が正常に付与されているかチェックする

2.レート制限(Rate Limits)

※Lets Encrypt などの無料SSLプロバイダでは制限が厳格ですが、弊社Sectigoのような商用 CA では有料(サブスクリプション)契約に基づいているため、発行枚数の制限はほぼ設けておりません一秒間に何度もとか明らかにおかしな動きでないかぎり拒否することはありません
合わせて挙動不能な場合でも契約に基づいたサポートで迅速解決できます
※ただし短時間に何度も実行しすぎると、認証局側から一時的にブロックされることがあります。
※毎秒で連続して実施などはないかもチェックする

失敗の繰り返し:	設定ミスがある状態で何度も実行し、「秒間にn回失敗」などの明らかにおかしな挙動を検知した場合制限がかかる場合もあります
重複証明書の発行:	短期間に同じドメインで何度も発行しすぎる。
対策:	本番環境で実行する前に、必ずステージング(テスト)環境のURLを使用して動作確認を行うことが鉄則です。

3.クライアント(Certbot等)の実行エラー

※証明書発行申請に関わるフェーズではなくサーバー内部の環境に起因する問題です。

ポートの競合:	Certbotの --standalone モード(自身でWebサーバーを起動するモード)を使おうとした際、既存のNginxやApacheがポート80を占有していて起動できない等の競合がないか?
権限不足:	root権限やsudoを持たずに一般権限で実行しており、証明書保存ディレクトリ(/etc/letsencrypt/ など)に書き込めない場合
依存関係の不一致:	Pythonのバージョンアップやライブラリの更新により、Certbotが正常に動作しなくなる(環境不備の問題)

4.更新取得後の反映漏れ

「証明書ファイルは新しくなったが、サービスに適用されていない」というパターンです。

リロード忘れ:	証明書が更新された後、Webサーバー(Nginx, Apache)やメールサーバ等証明書を適用しているアプリケーションを再起動(またはリロード)しないと、古い証明書をメモリ上に保持し続けます。
パスの不整合:	クライアントが更新したパスと、Webサーバーの設定ファイルが参照しているパスがずれている。

5.CAAレコードによる拒否

DNSに CAAレコード(どの認証局に発行を許可するかを指定するレコード)を設定している場合、許可リストにないCAからの発行は拒否されます。

事例:	セクティゴ・コモド認証局を使おうとしているのに、CAAレコードで「●●認証局のみ許可」となっている。