ACMEについて

ACME（アクミー）はAutomatic Certificate Management Environment（自動証明書管理環境）に由来する、証明書の管理を自動化するためのプロトコルです。 ACMEの仕様はIETFで標準化され、2019年3月にRFC 8555として発行されています。

証明書の管理における、一連の手続きを自動化できます。自動化できる手続きとして、以下のものが挙げられます。

• 鍵ペアの作成
• CSRの作成・認証局への送信
• ドメイン名利用権の検証
• 証明書の設定・更新

例として、DV証明書をDNS認証を用いて発行・更新する際の手続きにおいて、ACMEによる自動化が可能になる範囲を図1に示します。

図1：サーバー証明書の発行・更新手続きの流れ（DV証明書・DNS認証）

このように、証明書の利用者がACMEに対応し、証明書の発行・更新に関する一連の手続きを自動化することで、サーバー証明書をほぼ全自動で管理できるようになります。

証明書の管理を自動化するメリットとして、以下の項目が挙げられます。

• 証明書の管理コストの低減
  手続きを自動化することで、証明書の管理に要するコストを低減できます。
• 作業時の人為的ミスの発生リスクの低減
  手続きを自動化することで、更新忘れ・インストールする証明書の取り違えなどといった、作業時の人為的ミスが発生するリスクを低減できます。
• 証明書の再発行・再設定の迅速化
  秘密鍵の漏えいや暗号アルゴリズムの危殆化など、セキュリティリスクが発生・顕在化した場合に必要となる、予定外の証明書の再発行・再設定を迅速に実施できます。

ACMEでは、証明書の利用者と証明書の発行者（認証局）の双方における対応が必要になります。

証明書の利用者における対応：ACMEクライアントのインストール・設定

利用者側のサーバーで、ACMEのサービスを利用するためのソフトウェアである「ACMEクライアント」を動作させる必要があります。

ACMEクライアントにはさまざまなものがありますが、ここでは以下の三つを紹介します。いずれもオープンソースソフトウェアとして開発・公開されており、無償で利用可能です。

• Certbot（サートボット）
  米国の非営利法人である電子フロンティア財団（Electronic Frontier Foundation: EFF）が開発・公開している、オープンソースのACMEクライアントです。
  JPRSでは、CertbotでJPRSサーバー証明書発行サービス ACME対応版をご利用いただく際に参照可能な、「Certbotご利用マニュアル」を公開しています。

• lego（レゴ）
  Ludovic Fernandez氏が開発・公開している、オープンソースのACMEクライアントです。Goというプログラミング言語で書かれており、legoという名前の由来ともなっています。

• Posh-ACME（ポッシュアクミー）
  Ryan Bolger氏が開発・公開している、オープンソースのACMEクライアントです。PowerShellのモジュールとなっており、Windowsで動作します。
  JPRSでは、Posh-ACMEでJPRSサーバー証明書発行サービス ACME対応版をご利用いただく際に参照可能な、「Posh-ACMEご利用マニュアル」を公開しています。

ACMEクライアントを動作させるためのシステム要件・インストール方法・利用方法は、各クライアントや、インストールされる環境により異なります。詳細につきましては、各クライアントの公式Webページの文書・付属のマニュアルなどを適宜ご参照ください。

認証局における対応：ACMEに対応したサービスの開発・提供

認証局において、ACMEに対応したサービスの開発と、証明書利用者への提供が必要になります。

JPRSでは2022年3月2日に「JPRSサーバー証明書発行サービス ACME対応版」の提供を開始しました。本サービスは、取り扱い事業者（指定事業者）を通じてご提供いたします。