ACME SSL SERVICE GUIDE
ACME証明書
ACME証明書の導入から自動更新、更新状況の監視までをまとめてご提供いたします。
Contents
Updates
お知らせ / ニュース
本ニュースは公開情報をもとに整理した内容です。記事内容に関する個別のお問い合わせにはお答えいたしかねますので、正確な内容や最新情報は各記事内の公式ソースをご確認ください。
ACME証明書とは
ACME は、認証局とクライアントが API で連携し、証明書の発行・更新を自動化するための仕組みです。 人手で CSR を作り、メールや管理画面から更新作業を行う従来方式に比べて、 定期更新を仕組みで回しやすいことが大きな特徴です。
導入で期待できること
- 更新忘れや更新手順の属人化を減らせます。
- 更新状況を専用ポータルで確認でき、異常時はメール通知で追跡できます。(要代行設置)
Certificate Authorities
取扱認証局
JPRS は、日本に割り当てられた .jp ドメイン名のレジストリとして運用を担う事業者であり、
ドメイン名と DNS の基盤運用に長く携わっています。
JPRS サーバー証明書発行サービスの ACME 対応版では、ドメイン認証型(DV)証明書の発行・更新を自動化できます。 WebTrust 規準に準拠したサーバー証明書発行サービスとして提供されております。
特徴
現行ルートCA
JPRS DV RSA CA 2024 G1
対応鍵
RSA2048
www あり / なし対応
ダブルアドレスオプション
コモンネームに www. を付与、または www. を除いた FQDN に対応します。
仕様上の注意
証明書発行後のキャンセル、ご返金は認証局ポリシー上承っておりません。
[JPRS] ACMEについて
「ACME対応に必要なこと」に、ACMEクライアントに関する JPRS のご利用マニュアルがあります。
その他認証局は順次追加予定です。
Pricing
取り扱いACME証明書一覧
税込・消費税率10%証明書ラインナップ
JPRSサーバー証明書
ドメイン認証型(ACME対応版) 9,900円/1年
ドメイン認証型(ACME対応版) 9,900円/1年
JPRSサーバー証明書
ドメイン認証型ワイルドカード(ACME対応版) 39,600円/1年
ドメイン認証型ワイルドカード(ACME対応版) 39,600円/1年
オプション
ACMEクライアント代行設置+証明書監視
9,900円/1年
Workflow
お申し込みの流れ
オプションなしの場合
お申し込み後に EAB(KID / HMAC)とディレクトリ URL をご案内いたします。お客様にてACMEクライアントをご用意の上ご利用下さい。
オプションなしの場合
お申し込み後に EAB(KID / HMAC)とディレクトリ URL をご案内いたします。お客様にてACMEクライアントをご用意の上ご利用下さい。
-
1
SSLサービスマネージャーからお申し込み
ご購入方法をご参照のうえ、会員登録およびお申し込み手続きをお願いいたします。 お申し込み内容を確認後、EAB(KID / HMAC)とディレクトリ URL をご案内いたします。
ご購入方法を見る
ACMEクライアント代行設置+証明書監視サービスをご利用の場合
導入準備から初回発行、自動更新設定、監視開始まで弊社にて行います。
認証は弊社 acme-dns を利用した DNS-01 で進めます。事前準備の詳細は
代行設置+監視
および
acme-dns について
をご確認ください。
ACMEクライアント代行設置+証明書監視サービスをご利用の場合
導入準備から初回発行、自動更新設定、監視開始まで弊社にて行います。
認証は弊社 acme-dns を利用した DNS-01 で進めます。事前準備の詳細は
代行設置+監視
および
acme-dns について
をご確認ください。
-
1
-
2
要件確認
対象 FQDN、CNAME 設定可能な DNS、既存 SSL の有無、設置先サーバの種類を確認します。 既に SSL をご利用中の場合は、現在読み込んでいる証明書・中間 CA 証明書・秘密鍵の参照先をご提示いただきます。
-
3
ACME認証情報の発行と代行設置
各 CA ポータルで EAB(KID / HMAC)とディレクトリ URL を発行し、弊社で ACME クライアントの設定を進めます。 弊社 acme-dns 用の CNAME 設定をご依頼します。
-
4
初回発行と監視開始
初回発行後は、自動更新設定と証明書監視を有効化します。 更新結果は専用ポータルで確認でき、異常時はメールでお知らせします。
Managed Setup
ACMEクライアント代行設置+証明書監視
弊社で代行する内容
導入から自動更新、監視までに必要な基本作業を代行します。
弊社で代行する内容
導入から自動更新、監視までに必要な基本作業を代行します。
- ACMEクライアントの導入
- 証明書情報取得用スクリプトの設置
- ACME証明書の発行
- Cron または systemd.timer による自動更新設定
- 弊社 acme-dns の設定
- 更新結果の通知設定とポータル監視
このオプションでお任せいただけること
初回発行から自動更新設定、更新結果の監視までを一体で整えます。
このオプションでお任せいただけること
初回発行から自動更新設定、更新結果の監視までを一体で整えます。
標準的な Web サーバであれば、証明書の参照先切替や IIS バインドまで含めて対応可能です。
お客様には、弊社 acme-dns 利用に必要な CNAME 設定など、最低限の事前準備だけご協力いただく前提で、できるだけ運用の手間を減らすことを重視しています。
代行範囲
標準的な Web サーバで対応している範囲をご案内します。
代行範囲
標準的な Web サーバで対応している範囲をご案内します。
- ACMEクライアントの設置、初回発行、自動更新設定、監視設定まで対応します。
- 既に SSL をご利用中の Apache / Nginx では、現在読み込んでいる証明書・中間 CA 証明書・秘密鍵の参照先をご提示いただければ、バックアップのうえ ACME 証明書をシンボリックリンクとして参照させるところまで対応します。
- IIS は標準でバインド更新まで対応します。
お客様作業(証明書発行前)
事前にご確認いただきたい情報と、証明書発行前に必要な作業です。
お客様作業(証明書発行前)
事前にご確認いただきたい情報と、証明書発行前に必要な作業です。
事前にご確認いただきたいこと
- 証明書を取得するFQDN
- 弊社 acme-dns 用 CNAME レコードを追加できる DNS 環境
LinuxOSで既にSSLをご利用中の場合
- 読み込んでいる証明書・中間CA証明書・秘密鍵の参照先パス
acme-dns 認証の事前準備
ご利用の DNS サーバに、弊社がご案内する CNAME レコードを追加してください。
_acme-challenge.hyperbox.co.jp. CNAME 2be26339-7a2b-4641-846e-49e9b952c5e6.acme.hb-acme-dns.net.
_acme-challenge.www.hyperbox.co.jp. CNAME 3d880cd1-3b85-4c85-9765-ec2c091329a9.acme.hb-acme-dns.net.
お客様作業(証明書発行後)
証明書発行後に、お客様側で設定が必要になる場合のご案内です。
お客様作業(証明書発行後)
証明書発行後に、お客様側で設定が必要になる場合のご案内です。
証明書発行後の設定作業
お客様作業が不要となる場合
- 対象コモンネームのWebサイトが作成済みで Windows IIS によるご利用の場合
- Linux の Apache / nginx で既にSSLをご利用で既存のSSL参照先パスをお知らせいただいている場合
お客様作業が必要となる場合
- Linux で新規にSSLを利用される場合
- Windows IIS、Linux Apache / nginx 以外のサービスをご利用の場合
Linux で新規にSSLをご利用の場合、SSLを利用するためのバーチャルホストの設定が必要です。 ACME証明書のパスは納品のご案内にてお知らせいたしますので、証明書・中間CA証明書・秘密鍵の参照先として設定をお願いいたします。
対応環境
対象 OS、接続条件、acme-dns 利用時の前提をまとめています。
対応環境
対象 OS、接続条件、acme-dns 利用時の前提をまとめています。
acme-dns 認証の前提
- 対象サーバから ACME サーバへ、TCP/443 で外向きに HTTPS 通信が可能であること
- 対象サーバから
api.hb-acme-dns.netへ TCP/443 で外向きに HTTPS 通信が可能であること - 証明書を取得する FQDN が正しく名前解決できること
- 以下形式の CNAME レコードが設定可能な DNS を利用していること
_acme-challenge.{FQDN}. IN CNAME {token}.auth.hb-acme-dns.net.Linux
- RHEL系(CentOS 7 / Rocky Linux 8 以降 / AlmaLinux 8 以降 / RHEL 8 以降)
- Debian系(Debian 10 以降 / Ubuntu Server 20.04 LTS 以降)
- SSH により管理者権限で接続可能であること
Windows
- Windows Server 2016 以降
- IIS(Web サーバ)がインストール済みで対象コモンネームのサイトが稼働していること
- PowerShell を管理者権限で実行できること
- RDP により管理者権限で接続可能であること
ACME証明書ポータル
更新結果や通知先を整理して確認できる運用ポータルです。
ACME証明書ポータル
更新結果や通知先を整理して確認できる運用ポータルです。
取得した ACME 証明書の状態をご確認いただけます。更新結果、直近実行内容、通知先などを整理して確認できるため、 本数が増えても追跡しやすい運用に向いています。
通知先は、識別 ID ごとのメールアドレスが必ず To に含まれ、個別のメールアドレスは Cc として設定されます。
ログイン画面の操作と、証明書一覧画面の見方は、PDF形式の操作マニュアルでもご確認いただけます。
DNS Delegation
acme-dns について
acme-dns の役割
acme-dns は、DNS-01 認証に必要な TXT レコード更新だけを切り出して扱うための仕組みです。 公開 DNS の全権管理をクライアントへ渡さず、ACME 用の CNAME を一度設定しておけば、 以後は専用の小さな権限で自動更新を回せます。
ACMEクライアント代行設置+証明書監視オプションをご利用の場合の認証は acme-dns のみとなります。 ※ACMEクライアント代行設置+証明書監視オプションをご解約されると acme-dns はご利用いただけなくなります。
Managed Flow
ACMEクライアント代行設置までの流れについて
ACMEクライアント代行設置完了までの流れ
お申込み、ご入金確認後、下記情報をメールにて確認させていただきます。
acme-dns設定情報
弊社より acme-dns の利用に必要な CNAME レコードをお知らせいたします。 ご利用の DNS 上でレコードを設定、インターネット上に反映してください。
ACMEクライアント代行設置希望日時
土日祝を除く平日の 11 時から 18 時までの間でご希望をお知らせください。 ご連絡から作業開始まで 2~3 営業日いただく場合がございますので、複数ご希望日をご連絡いただきます。
緊急連絡先電話番号及びご担当者様氏名
作業中、確認が必要な内容が発生した場合にご連絡させていただきます。 必ずご連絡のつくお電話番号をご連絡ください。
サービスリロードコマンド
証明書の発行・更新後に自動で実行するサービスリロードコマンドをご連絡ください。 最大 3 つまで設定でき、設定したコマンドは順番に実行します。不要な場合は設定しないことも可能です。
※また、弊社からのご連絡の際、弊社接続元環境や acme-dns の IP アドレスをお伝えいたします。事前に許可いただけますようお願いいたします。
Linuxの代行設置
下記スクリプトを設置、利用します。
Linuxの代行設置
下記スクリプトを設置、利用します。
- lego 本体
- lego 関連ディレクトリ
- lego 用ラッパースクリプト
- PEMファイル作成/サービスリロードスクリプト
- 証明書情報送信スクリプト
- 更新失敗通知ラッパースクリプト
- acme-dns資格情報ファイル
- ログ
- 自動化設定ファイル(cron利用)
Windowsの代行設置
下記スクリプトを設置、利用します。
Windowsの代行設置
下記スクリプトを設置、利用します。
- lego 本体
- lego関連ディレクトリ
- 共通通知スクリプト
- トークンファイル
- 初回発行スクリプト
- 更新スクリプト
- 更新後フック
- acme-dns資格情報ファイル
- 自動更新タスク
- ログ
FAQ
ACMEクライアント代行設置+証明書監視オプションに関して
ワイルドカード証明書は利用できますか。
代行設置オプションでは、弊社 acme-dns を利用した DNS-01 認証で進めます。 HTTP-01 ではワイルドカード証明書を扱えないため、通常は acme-dns にて認証いたします。
どの ACME クライアントを使いますか。
原則として、弊社標準の構成(lego)でご案内いたします。
更新に失敗した場合はどうなりますか。
更新タイミングで更新に失敗した場合、設定済みの通知先へメールをお送りします。 あわせて、ACME 証明書ポータルで更新結果と直近実行内容をご確認いただけます。
既に SSL を使っている Apache / Nginx の切替はどこまで対応しますか。
現在読み込んでいる証明書・中間 CA 証明書・秘密鍵の参照先パスをご提示いただければ、 バックアップのうえ、ACME 証明書をシンボリックリンクとして参照させるところまで標準対応いたします。
まだ HTTPS 化していない Web サイトでも依頼できますか。
Apache / Nginx の新規 HTTPS 化は、Web サービス設定そのものの確認が必要になるため、標準範囲外です。 ACMEクライアントの代行設置は可能です。ACMEクライアントを用いた証明書がサーバ上に配置されますので、 お客様にてサーバ設定に応じて配置しご利用ください。
ACMEクライアント代行設置+証明書監視オプションのみ解約できますか。
可能ですが、ご解約と同時に acme-dns のご利用がいただけなくなります。 HTTP-01 やその他 DNS プロバイダの DNS 認証を使えるように、cron や systemd service 等の発行コマンドを ご調整後にお手続きください。
1契約で複数台サーバに ACME クライアントの代行設置は可能ですか。
ACME クライアント代行設置先は、ACME 及び認証局の仕様上 1 台のみとさせていただいております。 複数サーバに ACME クライアントの代行設置をご希望の場合は、必要な台数分の ACME 証明書とオプションをご契約ください。
契約途中からACMEクライアント代行設置+証明書監視オプションを追加できますか。
ACMEクライアント代行設置+証明書監視オプションは新規お申込み時のみご契約いただけます。
FAQ
よくある質問
鍵種別はどう決まりますか。
一般的に鍵種別には RSA と ECC があります。
- RSA: 幅広い環境で扱いやすい、従来から一般的な鍵種別です。
- ECC: 鍵長を抑えながら利用できる方式で、認証局や商品仕様に応じて採用されます。
鍵種別は証明書サービスごとに決まっており、お申し込み時にご選択いただけるものや固定のものもあります。
現在取扱中の JPRS 証明書は RSA2048 固定 となります。
ACME 証明書を複数サーバで自動更新できますか。
FQDN ライセンスの証明書の場合、秘密鍵、証明書、中間証明書をコピーして複数台サーバでご利用いただくことは 可能ですが、ACME の仕様上、複数台サーバへの配布は自動では行われません。 複数サーバでご利用の場合は、証明書を複製、配布する仕組みを用意いただく必要がございます。
Terms
ご利用条件・免責事項
作業に関する免責
弊社による ACME クライアント設置、証明書発行、証明書参照先の切替などの作業は、 事前にご提示いただいた情報をもとに実施いたします。 作業に伴い、対象サーバ、Web サイト、アプリケーション、通信、既存証明書の参照状態などへ影響が生じた場合でも、 弊社では責任を負いかねます。
認証局仕様変更に関する免責
認証局、ACME プロトコル、証明書プロファイル、認証方式、発行条件、API 仕様などは、 認証局その他関係機関の判断により変更される場合があります。 これらの仕様変更に伴う発行不可、更新不可、設定変更、追加作業、運用上の影響について、弊社では責任を負いかねます。
初回代行設置後の管理に関する免責
初回代行設置後の ACME クライアント本体、関連設定、OS、ミドルウェア、依存コマンド、実行環境の管理は、 原則としてお客様管理となります。
お客様環境・外部要因に関する免責
お客様からご提示いただくサーバ情報、DNS 情報、証明書参照先、権限情報などに誤りや不足がある場合、 または DNS 反映、ネットワーク、ファイアウォール、外部サービスの状態により、 証明書の発行・更新・確認作業に遅延または影響が生じる場合があります。
正式なお取引条件は、お見積り・お申し込み時のご案内内容をご確認ください。
