本記事は一部加筆中の部分があります。
あらかじめご了承ください。
電子証明書の安全性を高めるための国際的な取り組みにおいて、2026年3月15日以降 サーバ証明書の有効期間が段階的に短縮されます。
サーバ証明書の更新が頻繁になり手動での対応が難しくなるため、できるだけ早めの機会に ACMEによる自動更新(本項)へ移行をおすすめします。
有効期間短縮に関する詳細は、以下の記事を参考にしてください。
概要
TLS(SSL)接続を提供する埼玉大学のサーバ管理者の方(埼玉大学の常勤教職員に限る)は、NII(国立情報学研究所)の「UPKI電子証明書自動発行サービス」を利用して、必要なサーバ証明書の発行を受けることができます。
このたび UPKI 電子証明書発行サービスは、サーバ証明書の発行・更新・失効を自動化するプロトコルである ACME (Automated Certificate Management Environment) に対応いたしました。
ACME では認証局(CA)とサーバが直接対話し、人手を介さずに証明書のライフサイクルを管理します。
そのため証明書の管理プロセスを自動化し、短期間での頻繁な証明書更新にも対応できるようになります。
本項では ACME を使用するのに必要となる ACMEプロトコル認証情報(EAB)の請求を行うことができます。
申請資格
埼玉大学においてTLS(SSL)接続を必要とするサーバを管理・運営する、埼玉大学所属の常勤教職員の方
- サーバFQDNは、末尾に .saitama-u.ac.jp がつくドメインのものに限られます。
- 「利用管理者」は原則として個人とし、「利用管理者E-mail」はMicrosoft 365 大学アカウント(~@mail.saitama-u.ac.jp)を使用してください。
費用
UPKI電子証明書発行サービスにかかる費用は、情報メディア基盤センターが負担します。
当面の間、利用者への費用請求はありません。
ただし ご利用のサーバの構築・改造・環境調整等にあたって、サーバ構築業者様に対して費用が発生する可能性があります。
詳しくはサーバの構築業者様へご相談ください。
申請方法
ACMEプロトコル認証情報(EAB)の申請
従来と同様に、作成する証明書1つに対して ACME アカウントが1つ必要となります。
この ACME アカウントを作成するためには ACMEプロトコル認証情報(EAB)を請求していただく必要があります。
証明書の主体者DN ( CN=xxx.yyy.saitama-u.ac.jp,O=Saitama University,L=Saitama-shi,ST=Saitama,C=JP ) を指定して申し込んでください。
アカウントTSVファイル作成用Webアプリケーション(TSVツール)を使用してACME作成申請TSVファイルを作成し、お送りください。
TSVツール利用時は、「証明書種別」を「サーバ証明書(ACME)」と指定してください。
※dNSName (Subject Alternative Name / SAN) への対応は準備中です。UPKIの対応完了をお待ちください。
発行される EAB の有効期限は、基本的にありません。
サーバの機械を更新するときなども、主体者DN / サーバFQDN (CN) に変更がなければ 同じ EAB を使い続けることができます。
紛失したり、関係者外へ漏えいしたりしないように、保管をお願いいたします。
以下の場合には、ご相談ください。
- 利用管理者を変更するとき
- サーバを更新せず廃止するとき
- ACMEプロトコル認証情報(EAB)を紛失したなどの理由で、再発行を必要とするとき
- ACMEプロトコル認証情報(EAB)ないし ACMEアカウントが漏えい・危殆化などしたとき
ACMEプロトコル認証情報(EAB)の発行
当センターへ ACME作成申請TSVファイルをお送りいただきましたら、内容を審査した上で
ACME アカウントを作成するための ACMEプロトコル認証情報(EAB)を発行いたします。
発行される EAB の有効期限は、基本的にありませんので、
紛失や情報流出に注意をお願いします。
サーバ証明書の自動発行
※本項の内容は、サーバ構築業者様ないしはサーバ管理者様の作業範囲となります。
事前に十分なテストを行ってから、本番運用に移行されることを推奨いたします。
ACMEプロトコル認証情報(EAB)を受け取られましたら、お持ちのサーバ上でACMEアカウントの発行とサーバ証明書発行(更新)の処理を設定していただくことになります。
代表的な方法について、
UPKIマニュアル【ACMEクライアントツールによるサーバ証明書管理手順(利用管理者向け)】
を参考にされるとよいと思います。
UPKIのマニュアルは以下による ACME の利用を前提にしています。
- ACMEクライアントツール:certbot
- ACMEチャレンジタイプ:HTTP-01 チャレンジ
⮚ HTTP-01 チャレンジのためには、サーバが TCP 80 ポート (http) を開いている必要があります。
ご利用の案件において上記以外の方法を取る事情がなければ、上記方法の採用を最初に検討してください。
しかしそれ以外の方法でサーバ証明書発行を行うことも可能です(例えば Webサーバでないので DNS-01 チャレンジを採用する、など)。
資料・マニュアル等
設定・利用マニュアル
(※NIIのサイトに移ります)
その他の注意点
ご利用にあたって、その他以下の点にご留意をお願いします。
- 利用するサーバFQDNは、埼玉大学内のドメイン (saitama-u.ac.jp) に限ります。
- ACMEプロトコル認証情報(EAB)の申請 において、
TSVツールに入力する必要がある項目は、以下の通りです:
主体者DN/利用管理者E-mail/利用管理者氏名/利用管理者所属/Webサーバソフトウェア名等/dNSName
- 主体者DNは、必ず以下の形式となります。
CN=xxx.yyy.saitama-u.ac.jp,O=Saitama University,L=Saitama-shi,ST=Saitama,C=JP
- 1つのサーバにおいて複数の ACMEアカウントを動作させることは、推奨いたしません。
1サーバ上で複数のFQDNを取り扱う場合は、 dNSName でそれらを列挙することで対応してください。
- 発行される ACMEプロトコル認証情報(EAB)に 有効期限は特にありません。
サーバを更新するときにも、主体者DN / サーバFQDN (CN) に変更がなければ 同じ EAB を使い続けることができます。
その場合に、当センターへ届け出る必要もありません。
- ACMEプロトコル認証情報(EAB)や ACMEアカウントは、漏えいしたり紛失したりしないよう 厳重に管理してください。
- 異動などにより 利用管理者を変更する際は、速やかに届け出てください。
- サーバを廃止してACMEの利用を終了する際は、ACME停止の処理が必要になりますので必ずご連絡ください。
FQDNがDNSから消えているなど、連絡なくサーバを廃止したとみなされる場合は、利用管理者に通知することなく ACMEプロトコル認証情報(EAB)が停止されることがあります。
※dNSName (Subject Alternative Name / SAN) への対応は準備中です。UPKIの対応完了をお待ちください。
FAQ
(証明書サービス(NII)のFAQはNIIのホームページを参照ください)
ACME(アクミー)はAutomatic Certificate Management Environment(自動証明書管理環境)に由来する、証明書の管理を自動化するためのプロトコルです。
ACMEの仕様はIETFで標準化され、2019年3月に RFC 8555 として発行されています。
その概要を簡単に知りたい場合は、例えば JPRSのページ などが参考になるでしょう。
ACME において ドメイン所有権確認の手続きを「チャレンジ」と呼んでいます。
UPKIでは「HTTP-01 チャレンジ」と「DNS-01 チャレンジ」を選択することができます。
一般には「HTTP-01 チャレンジ」の方が簡単であり、推奨されます。
UPKIが推奨するクライアントツール certbot でも「HTTP-01 チャレンジ」の方をデフォルトとなっています。
「HTTP-01 チャレンジ」を用いる場合は、HTTP で通信を受ける必要があります。次のFAQを参照してください。
もしも「DNS-01 チャレンジ」を選択される場合は、自前でDNSサーバをご用意ください。当センターでは「DNS-01 チャレンジ」に適するDNSサービスの提供はありません。
HTTP-01 チャレンジの場合には、認証の最初の通信は必ずポート80で行うことが ACMEプロトコルの規格(RFC 8555)により定められています。
したがってこれを変更することはできません。
ただし、その後HTTPS(443番ポート)へリダイレクトさせて認証を完了させることは可能です。
このポート開放ができないなどの状況にある場合には、DNS-01 チャレンジの利用を検討してください。
なお TCP 80番ポートを開放するよう設定変更しようとする場合、それは利用者様部局がお持ちのサーバ構築案件における調整事項にあたります。
したがって本サービスにおいてそのサポートを行うものではないことにご留意の上でお申し込みください。
CAAレコードの設定はなくても、証明書の発行はなされます。(2025年現在)
ただし、上位のドメインでCAAレコードが設定されている場合には、当サービスで証明書の発行ができなくなる場合があります。
(詳しくは、ドメイン管理者様へお問い合わせください)
明示的に当サービス(UPKI電子証明書発行サービス)を使用するよう CAAレコード設定を行うには、例えば以下のようなDNS登録が必要になります。
@ IN CAA 0 issue "secomtrust.net"
利用者がサーバ機器をいくつもお持ちで、それぞれ異なるFQDNで運用している場合は、各機器ごとに ACMEアカウントが必要です。
必要とするだけの ACMEプロトコル認証情報(EAB)を申請してください。
1つのサーバ機器(OS)上で複数のFQDNを稼働させている場合(例:Webサーバ+メールサーバ、など)は、
ACMEアカウントは1つだけとしてください。
1サーバ上で複数の ACMEアカウントを稼働させることは推奨しておりません。
同一FQDNを複数のサーバ機器で冗長構成している場合は、ACMEの運用についてサーバ構築業者にご相談ください。
ACMEの利用を開始されるにあたり、例えば以下の事項がサーバの構築要件として考えられます。
構築を担当される部署において、構築業者様ともご相談の上で準備を行ってください。
- certbot など ACMEクライアントツールのインストールや設定に関すること
- サーバソフトウェアの設定に関すること、サーバのサービスレベルの再検討に関すること
- サーバで開放するポートの調整に関すること、サーバ周辺のネットワークの調整に関すること
- DNSの調整に関すること
- 取得した証明書・秘密鍵等を利用する設定に関すること