ACME Client Guide
一般的なACMEクライアント導入ガイドとなります。
Overview
記載内容はあくまで例となり弊社免責とさせていただきます。詳細はACMEクライアント公式ドキュメントをご参照ください。
DNS-01、acme-dns、各DNSプロバイダAPIを使う認証方式は、このページでは扱いません。 DNS認証をご利用の場合は、ご利用中のDNSプロバイダ、各ACMEクライアントの公式ドキュメント、 または弊社代行設置サービスをご確認ください。
ワイルドカード証明書はHTTP-01では扱えません。ワイルドカード証明書をご利用の場合はDNS認証が必要です。
SSL1234567: サービス番号の例www.domain-keeper.net: コモンネームの例domain-keeper.net: SAN の例/var/www/docs/www.domain-keeper.net: Web公開ディレクトリの例EXAMPLEKID: EAB の KIDEXAMPLEHMAC: EAB の HMAChttps://acme.amecert.jprs.jp/DV/getDirectory: ACMEディレクトリURLの例systemctl reload httpd: 発行・更新後にWebサーバ設定を読み直す例Linux
Certbot は利用者が多い ACME クライアントです。ここでは webroot 方式の HTTP-01 だけを扱います。
Web公開ディレクトリへ認証ファイルを置く webroot 方式の例です。
RHEL 系と Debian 系で、パッケージから Certbot と必要なコマンドをインストールする例です。
[RHEL系(Rocky / Alma / RHEL8+ など)]
sudo dnf install -y epel-release
sudo dnf -y install certbot curl ca-certificates openssl
[Debian系]
sudo apt update
sudo apt install -y certbot curl ca-certificates opensslsudo certbot certonly \
--webroot \
-w "/var/www/docs/www.domain-keeper.net" \
--deploy-hook "systemctl reload httpd" \
--config-dir "/etc/SSL1234567-www.domain-keeper.net" \
--work-dir "/var/lib/SSL1234567-www.domain-keeper.net" \
--logs-dir "/var/log/SSL1234567-www.domain-keeper.net" \
--cert-name "www.domain-keeper.net" \
-d "www.domain-keeper.net" \
-d "domain-keeper.net" \
--server "https://acme.amecert.jprs.jp/DV/getDirectory" \
--eab-kid "EXAMPLEKID" \
--eab-hmac-key "EXAMPLEHMAC" \
--key-type rsa \
--rsa-key-size 2048 \
--agree-tos \
--email "example@domain-keeper.net" \
--no-eff-email \
--non-interactivesudo tee /etc/cron.d/SSL1234567-www.domain-keeper.net-certbot >/dev/null <<'EOF'
0 3 * * * root mkdir -p /var/log/SSL1234567-www.domain-keeper.net && /usr/bin/certbot renew --cert-name "www.domain-keeper.net" --deploy-hook "systemctl reload httpd" --config-dir "/etc/SSL1234567-www.domain-keeper.net" --work-dir "/var/lib/SSL1234567-www.domain-keeper.net" --logs-dir "/var/log/SSL1234567-www.domain-keeper.net" --server "https://acme.amecert.jprs.jp/DV/getDirectory" --non-interactive >>/var/log/SSL1234567-www.domain-keeper.net/SSL1234567-www.domain-keeper.net.log 2>&1
EOF証明書
/etc/SSL1234567-www.domain-keeper.net/live/www.domain-keeper.net/cert.pem
中間証明書
/etc/SSL1234567-www.domain-keeper.net/live/www.domain-keeper.net/chain.pem
証明書 + 中間証明書
/etc/SSL1234567-www.domain-keeper.net/live/www.domain-keeper.net/fullchain.pem
秘密鍵
/etc/SSL1234567-www.domain-keeper.net/live/www.domain-keeper.net/privkey.pem--webroot -w: HTTP-01 用の認証ファイルを書き込むWeb公開ディレクトリです。--config-dir: Certbot のアカウント情報、更新設定、証明書を保存するディレクトリです。--cert-name: Certbot 内で証明書を管理する名前です。--eab-kid / --eab-hmac-key: 認証局から発行される外部アカウント連携情報です。--deploy-hook: 発行または更新後にWebサーバをリロードするフックです。
複数のWeb公開ディレクトリを使う場合は、-w /path -d host の組み合わせを必要な数だけ並べます。
公式サイト: Certbot Instructions / User Guide
Linux
lego は Go製クライアントです。ここでは Linux 上で v5 系を使い、HTTP-01 webroot 方式で発行・自動更新する例だけを扱います。
単一バイナリを配置し、発行・更新後のフックで httpd をリロードする例です。
公式の GitHub Releases から Linux amd64 版を取得し、/usr/local/bin/lego-v5 に配置します。
※64bit 系 Linux の例です。ご自身の環境に応じて適切なバージョンを配置してください。
sudo curl -fL "https://github.com/go-acme/lego/releases/download/v5.2.2/lego_v5.2.2_linux_amd64.tar.gz" -o lego.tgz
TMP_LEGO_DIR="$(mktemp -d)"
sudo tar -xzf lego.tgz --no-same-owner -C "$TMP_LEGO_DIR" lego
sudo install -o root -g root -m 755 "$TMP_LEGO_DIR/lego" /usr/local/bin/lego-v5
sudo rm -rf "$TMP_LEGO_DIR"
sudo rm lego.tgz
sudo /usr/local/bin/lego-v5 --version
HTTP-01 では、対象FQDNの /.well-known/acme-challenge/ が外部から参照できる必要があります。
CDN、リバースプロキシ、リダイレクト設定を使っている場合は、認証パスが素通しされるようにしてください。
Apache のサービス名は環境に応じて httpd または apache2 に読み替えてください。
sudo \
/usr/local/bin/lego-v5 run \
--http \
--http.webroot "/var/www/docs/www.domain-keeper.net" \
--path "/etc/SSL1234567-www.domain-keeper.net" \
--cert.name "www.domain-keeper.net" \
-d "www.domain-keeper.net" \
-d "domain-keeper.net" \
--eab \
--kid "EXAMPLEKID" \
--hmac "EXAMPLEHMAC" \
--server "https://acme.amecert.jprs.jp/DV/getDirectory" \
--key-type rsa2048 \
--accept-tos \
--email "example@domain-keeper.net" \
--no-bundle \
--deploy-hook "systemctl reload httpd"
--path で指定したディレクトリ配下に、アカウント情報、証明書、秘密鍵が保存されます。
証明書
/etc/SSL1234567-www.domain-keeper.net/certificates/www.domain-keeper.net.crt
中間証明書
/etc/SSL1234567-www.domain-keeper.net/certificates/www.domain-keeper.net.issuer.crt
秘密鍵
/etc/SSL1234567-www.domain-keeper.net/certificates/www.domain-keeper.net.key
--no-bundle を指定しているため、lego の .crt はサーバ証明書のみです。
中間証明書は .issuer.crt を指定します。Webサーバ側で証明書チェーンを1ファイルで指定する必要がある場合は、
サーバ証明書と中間証明書を結合したファイルを別途作成してください。
初回発行後は --path 配下にアカウント情報が保存されます。
Cron 例では保存済みの情報を使い、残り日数が30日以下になった場合だけ更新します。
sudo tee /etc/cron.d/SSL1234567-www.domain-keeper.net-lego >/dev/null <<'EOF'
0 3 * * * root mkdir -p /var/log/lego && /usr/local/bin/lego-v5 run --http --http.webroot "/var/www/docs/www.domain-keeper.net" --path "/etc/SSL1234567-www.domain-keeper.net" --cert.name "www.domain-keeper.net" -d "www.domain-keeper.net" -d "domain-keeper.net" --server "https://acme.amecert.jprs.jp/DV/getDirectory" --key-type rsa2048 --accept-tos --email "example@domain-keeper.net" --renew-days 30 --no-bundle --no-random-sleep --deploy-hook "systemctl reload httpd" >>/var/log/lego/SSL1234567-www.domain-keeper.net.log 2>&1
EOF
sudo chmod 600 /etc/cron.d/SSL1234567-www.domain-keeper.net-lego
sudo chown root:root /etc/cron.d/SSL1234567-www.domain-keeper.net-lego--http: HTTP-01 認証を使う指定です。--http.webroot: 認証ファイルを書き込むWeb公開ディレクトリです。lego内蔵HTTPサーバは使いません。--path: アカウント情報、証明書、秘密鍵を保存するディレクトリです。--cert.name: lego 内で証明書を管理する名前です。-d: 証明書へ含めるFQDNです。先頭の値が管理上の基準名になります。--eab --kid --hmac: 初回アカウント登録で使う外部アカウント連携情報です。--no-bundle: .crt に中間証明書を含めず、サーバ証明書と中間証明書を別ファイルで保存します。run --no-bundle --deploy-hook: 新規発行し、発行後にWebサーバをリロードします。run --renew-days 30 --deploy-hook: 残り日数が30日以下になった証明書を更新し、更新後にWebサーバをリロードします。/.well-known/acme-challenge/ へのHTTPアクセスが外部から到達すること。--http.webroot で指定したディレクトリが、対象FQDNのDocumentRootと一致していること。systemctl reload httpd が対象サーバで正常に動くこと。公式サイト: GitHub Releases / CLI Options
Windows
Windows / IIS では win-acme を利用できます。ここでは HTTP-01 の filesystem 方式と IIS バインド更新の例を掲載します。
IISサイトのWebルートへ認証ファイルを配置し、証明書ストアとIISバインドへ反映する例です。
公式サイトから最新版のZIPをダウンロードし、任意のフォルダへ展開します。
例では C:\win-acme に配置した前提です。
cd C:\win-acme
.\wacs.exe --versioncd C:\win-acme
.\wacs.exe ^
--baseuri "https://acme.amecert.jprs.jp/DV/getDirectory" ^
--accepttos ^
--emailaddress "example@domain-keeper.net" ^
--eab-key-identifier "EXAMPLEKID" ^
--eab-key "EXAMPLEHMAC" ^
--source iis ^
--siteid 1 ^
--host "www.domain-keeper.net,domain-keeper.net" ^
--commonname "www.domain-keeper.net" ^
--validation filesystem ^
--validationsiteid 1 ^
--store certificatestore ^
--certificatestore WebHosting ^
--installation iis ^
--installationsiteid 1win-acme は初回発行後、通常はタスクスケジューラへ更新タスクを登録します。 手動で確認したい場合は、次のように実行します。
cd C:\win-acme
.\wacs.exe --renew --verbose証明書
Windows 証明書ストア: Local Computer / WebHosting
IIS反映先
--installationsiteid で指定した IIS サイトの HTTPS バインド--baseuri: ACMEディレクトリURLです。--eab-key-identifier / --eab-key: 認証局から発行される外部アカウント連携情報です。--source iis: IISサイトから対象ホスト名を取得します。--validation filesystem: HTTP-01 用の認証ファイルをWebルートへ配置します。--validationsiteid: 認証ファイルを配置するIISサイトを指定します。--store certificatestore: Windows証明書ストアへ保存します。--installation iis: IISのHTTPSバインドへ反映します。公式サイト: win-acme / Command line arguments / Automatic renewal