その1.作業時間を軽減することができます
CSR生成や証明書インストールなどサーバー上での作業を自動化することで、証明書発行都度に行っていた作業が不要となり、作業者の負担が軽減されます。
その2.証明書の発行や失効がいつでも行えます
秘密鍵の紛失等による証明書再発行のほか、秘密鍵の漏えいや危殆化などセキュリティリスクの発生および発生の可能性がある場合にも必要となる再発行や失効を、迅速に行えます。
※お客様専用ページからの再発行申請や失効申請は必要なく、いつでも行えます。
その3.証明書更新漏れなどのリスク対策につながります
証明書更新を自動化設定することで、証明書更新漏れによる障害など人為的ミスの発生を防ぐ事にもつながります。
ACMEクライアントで行えるものとして、以下のようなものがあります。
- 鍵ペアおよびCSRの作成
- 認証情報の設定(認証局の指定)
- 証明書発行申請(CSR送信)
- 証明書失効申請
- ドメイン名利用権の検証(ファイル認証もしくはDNS認証)
- 証明書のインストール
ACMEでの自動化による証明書発行の流れ
ACMEを導入すると、以下の流れで証明書が発行されます。
- ※1
OV、EV証明書の場合は事前に組織審査を行い、1年ごとに再審査が必要です。
- ※2
ご利用のACMEクライアントにより異なります。詳細は公式Webサイト等をご確認ください。
ACMEで自動化するにあたっての準備
証明書管理を自動化するためには、ACMEクライアント(ソフトウェア)が必要になりますので、事前準備が必要です。
1.ACMEクライアントのインストール
オープンソースソフトウェアとして多くのACMEクライアントが開発・公開されております。
ACMEを利用するためには、このACMEクライアントをご利用のサーバーにインストールする必要があり、お客様にてACMEクライアントを入手してご利用ください。
-lightblue
主なACMEクライアントのご紹介
ACMEクライアントにおいてはオープンソースとなり、弊社にて安全性や信頼性を保証しているものではありませんので、あらかじめご了承ください。また、ご利用環境やACMEクライアントのインストール、設定方法の詳細につきましては、各クライアントの公式Webページの文書・付属のマニュアルなどをご参照ください。
米国の非営利法人である電子フロンティア財団(Electronic Frontier Foundation: EFF)が開発・公開している、オープンソースのACMEクライアントです。
※弊社ではLinuxで検証を行っています。
Ludovic Fernandez氏によって開発・公開されているオープンソースのACMEクライアントであり、Goというプログラミング言語で書かれている多機能なツールです。
※弊社ではLinuxとWindowsで検証を行っています。
Windows環境で動作するACMEクライアントであり、ACMEプロトコルを利用して証明書を自動取得・管理するためのPowerShellモジュールです。
※弊社ではWindowsで検証を行っています。
2.ACMEクライアントの設定
証明書を自動発行するためには、事前にACMEクライアントの設定が必要です。
・認証情報の登録
・認証局(サーバーホスト)の指定
・ドメイン審査方法の設定
弊社にお申し込みをいただき、審査が完了すると、EAB(Extended Account Binding)が発行されます。EABとは、認証局から送付されるサーバー証明書に関連する認証情報のことで、「MAC鍵識別子」と「MAC鍵」の2つが含まれています。EABは案件ごとに登録されるため、同じDN情報であっても、お申し込み案件(契約コード)が異なる場合は、別のEABが発行されます。
認証局と連携するために、ACMEクライアントでACMEアカウントを作成します。ACMEアカウントの作成時には、認証情報を登録し、リクエスト先のサーバーホストのURLを設定することで、どの認証局にCSRを送信するかを指定します。
3.ドメイン審査方法の種類と連携
ACMEを利用する場合、ドメイン審査は証明書発行時に自動で行われます。
ドメイン審査は「ファイル認証(HTTP-01チャレンジ)」または「DNS認証(DNS-01チャレンジ)」のいずれか選択が可能ですが、DNS認証を利用される場合はDNS事業者に利用申込等を行い、DNSとの連携が必要になります。
※事前にDNSプロバイダに対応したプラグインを個別にインストールする必要があります。
DNSとの連携については、DNS事業者へお問い合わせください。
セコムパスポートforWebにおける証明書の発行および失効について
EABを受領してACMEクライアントへの設定が完了しましたら、証明書自動発行が可能となります。詳細についてはACMEクライアントの公式Webページの文書・付属のマニュアルなどをご参照ください。
- 新規発行について
- ACMEクライアントで新規発行のコマンドを実行することで、証明書自動発行が開始されます。
- 再発行について
- ACMEクライアントで証明書再発行をすることができるため、弊社への申請等は不要です。
なおDN情報を変更して再発行することも可能ですが、DN情報が変更になる場合は、弊社へ再審査の申請が必要です。 - 自動更新について
- ACMEクライアントやサーバーの自動実行で設定された更新期間に認証局へ発行リクエスト(CSR送信など)を行い、証明書が自動更新されます。
※契約期間外(サービス有効期間外)の場合、証明書発行はされません。忘れず契約更新を行ってください。
※契約更新申請において、不備などで審査完了が前年の契約有効期限切れ当日になった場合、ACMEクライアントで設定された自動更新時刻までに間に合わず、証明書有効期限切れ表示(ブラウザでの警告表示)となる可能性があります。その際は手動で証明書更新処理をする必要がありますので、ご注意ください。
- 失効について
- 証明書が不要になった場合、失効することができます。ACMEクライアントで失効処理を行うと認証局に連携され、証明書は即時失効されます。
負荷分散など複数のサーバーで証明書を利用される場合
複数のサーバーでご利用される場合は以下方法がありますので、こちら参考ください。
① 証明書をコピーしてご利用いただく方法
メインサーバーにACMEクライアントをインストールして証明書発行します。発行された証明書を各サーバーに配布して(同期をとり)、各サーバーでインストールをする設定を行っていただく方法です。
※同一のEABを複数のサーバーへ設定して証明書発行することはできませんので、ご注意ください。
設定方法の詳細につきましては、各クライアントの公式Webページの文書・付属のマニュアルなどをご参照ください。
② 証明書ごとにEABを取得される方法
各サーバーにACMEクライアントをインストールいただき、それぞれでEABを取得して設定します。ACMEクライアントごとでリクエストをし、証明書をインストールする方法です。
同一FQDNで複数申し込みをされた場合も、それぞれ別のEABが割り当てられますので、各サーバーにEABをそれぞれ設定いただき、サーバーごとにリクエストを行うよう設定ください。
※ご申請分の費用が発生します。
ご不明な点などございましたら、以下のお問い合わせ先までご連絡ください。