JPドメイン名のサービス案内、ドメイン名・DNSに関連する情報提供サイト


サーバー証明書発行サービス

ACMEについて

ACMEとは

ACME(アクミー)はAutomatic Certificate Management Environment(自動証明書管理環境)に由来する、証明書の管理を自動化するためのプロトコルです。 ACMEの仕様はIETFで標準化され、2019年3月にRFC 8555として発行されています。

ACMEでできること

証明書の管理における、一連の手続きを自動化できます。自動化できる手続きとして、以下のものが挙げられます。

  • 鍵ペアの作成
  • CSRの作成・認証局への送信
  • ドメイン名利用権の検証
  • 証明書の設定・更新

例として、DV証明書をDNS認証を用いて発行・更新する際の手続きにおいて、ACMEによる自動化が可能になる範囲を図1に示します。

JPRSサーバー証明書特設ページ
図1:サーバー証明書の発行・更新手続きの流れ(DV証明書・DNS認証)

このように、証明書の利用者がACMEに対応し、証明書の発行・更新に関する一連の手続きを自動化することで、サーバー証明書をほぼ全自動で管理できるようになります。

ACMEによる自動化のメリット

証明書の管理を自動化するメリットとして、以下の項目が挙げられます。

  • 証明書の管理コストの低減
    手続きを自動化することで、証明書の管理に要するコストを低減できます。
  • 作業時の人為的ミスの発生リスクの低減
    手続きを自動化することで、更新忘れ・インストールする証明書の取り違えなどといった、作業時の人為的ミスが発生するリスクを低減できます。
  • 証明書の再発行・再設定の迅速化
    秘密鍵の漏えいや暗号アルゴリズムの危殆化など、セキュリティリスクが発生・顕在化した場合に必要となる、予定外の証明書の再発行・再設定を迅速に実施できます。

ACME対応に必要なこと

ACMEでは、証明書の利用者と証明書の発行者(認証局)の双方における対応が必要になります。

証明書の利用者における対応:ACMEクライアントのインストール・設定

利用者側のサーバーで、ACMEのサービスを利用するためのソフトウェアである「ACMEクライアント」を動作させる必要があります。

ACMEクライアントにはさまざまなものがありますが、ここでは以下の三つを紹介します。いずれもオープンソースソフトウェアとして開発・公開されており、無償で利用可能です。

  • Certbot(サートボット)
    米国の非営利法人である電子フロンティア財団(Electronic Frontier Foundation: EFF)が開発・公開している、オープンソースのACMEクライアントです。
    JPRSでは、CertbotでJPRSサーバー証明書発行サービス ACME対応版をご利用いただく際に参照可能な、「Certbotご利用マニュアル」を公開しています。
  • lego(レゴ)
    Ludovic Fernandez氏が開発・公開している、オープンソースのACMEクライアントです。Goというプログラミング言語で書かれており、legoという名前の由来ともなっています。
  • Posh-ACME(ポッシュアクミー)
    Ryan Bolger氏が開発・公開している、オープンソースのACMEクライアントです。PowerShellのモジュールとなっており、Windowsで動作します。
    JPRSでは、Posh-ACMEでJPRSサーバー証明書発行サービス ACME対応版をご利用いただく際に参照可能な、「Posh-ACMEご利用マニュアル」を公開しています。

ACMEクライアントを動作させるためのシステム要件・インストール方法・利用方法は、各クライアントや、インストールされる環境により異なります。詳細につきましては、各クライアントの公式Webページの文書・付属のマニュアルなどを適宜ご参照ください。

認証局における対応:ACMEに対応したサービスの開発・提供

認証局において、ACMEに対応したサービスの開発と、証明書利用者への提供が必要になります。

JPRSでは2022年3月2日に「JPRSサーバー証明書発行サービス ACME対応版」の提供を開始しました。本サービスは、取り扱い事業者(指定事業者)を通じてご提供いたします。