Knowledge Base

項目

自動化について
DigiCert Trust Lifecycle Managerについて
ドメイン認証（DCV）について
一般・費用・契約について

ACMEによる自動化に関連したよくある質問

自動化について

Q: ACMEプロトコルを使って証明書更新の自動化を行う場合、Webサーバー側ではどのような対応が必要ですか？

Ａ: Webサーバー側ではＡＣＭＥプロトコルをサポートするＡＣＭＥクライアントと呼ばれるソフトウエア、機能が必要となります。一部のアプリケーションやアプライアンスではACMEクライアントの機能を持っている場合がありますが、そうでない場合には一般的なACMEクライアントソフトウエアの導入が必要となります。代表的な例としてCertbotや、win-acme等公開されたソフトウエアが利用できます。
 

Q: ACMEプロトコルを利用することでOV, EV証明書は自動更新できますか？

Ａ: OV, EV証明書も自動更新可能です
 

Ｑ: ACMEプロトコルを利用することで複数のサーバーにコピーされているワイルドカード証明書の自動更新は可能ですか？

Ａ:ACMEプロトコルを利用することでワイルドカード証明書を発行することはできますが、複数サーバーにコピーすることはDigiCertのACME APIでは対応していません。複数のサーバーにワイルドカード証明書をコピーする場合には、ＡＣＭＥクライアントがダウンロードした証明書を複数のサーバーに複製する必要があります。複製のためには手動、もしくは、お客様で複製するためのプログラム（スクリプト）の開発が必要です。今後この機能が拡張される可能性があります。今後の情報をご確認下さい。
 

Ｑ: ACMEプロトコルで中間CA証明書やルート証明書の更新はできますか？

Ａ: 中間CA証明書やルート証明書の更新はできません。これらの証明書の更新は手動で行う必要があります。
 

Ｑ: ACMEクライアントでCSRの作成から発行された証明書のインストールまで対応できますか？

Ａ: ACMEクライアントの機能によりますが一般的には鍵生成からCSR生成、証明書のインストールまで行えます。より詳細な機能はACMEクライアントの仕様をご確認下さい。
 

Ｑ: ACMEプロトコルを使った自動化はWebサーバーとDigiCertとの通信が必要だと思いますが、セキュリティ設定上通信ができない場合にはどうすればよいですか？

Ａ: 証明書を取得するために通信は必ず必要です。必要な通信が可能になるようにセキュリティ設定の変更をご検討下さい。
 

Ｑ: ACMEプロトコルを使って証明書を自動化する場合の支払いはどうなりますか？

Ａ: DigiCertではオーダーと呼ぶ契約期間（1年から最長3年）に対してお支払いを頂いています。オーダー期間内であれば証明書は何度でも無償で再発行が可能です。したがってオーダー期間毎にCertCentralでオーダーのお手続きをお願い致します。なお、今後自動化に最適化した契約モデルへの移行を行う予定です。今後の情報をご確認下さい。
 

Ｑ: WAFやCDNで利用している証明書をACMEプロトコルで自動化することは可能ですか？

Ａ: WAFやCDNにおける自動化は、サービス提供事業者側で自動化の機能がどのように実現されるかにより異なります。WAFやCDN事業者の対応状況をご確認下さい。
 

Q: ACMEプロトコルにより自動更新した証明書の発行状況（更新されたのか、更新が失敗していないか等）はどのように管理をすればいいのでしょうか。

Ａ: ACMEクライアントで証明書を更新する場合、証明書の状態についてはCertCentralの証明書管理機能でご確認頂けます。但し、エラー時の通知や自動更新の状況などを管理する機能はCertCentralでは提供しておりません。DigiCertウェブサイトで提供されている証明書インストールチェッカーで該当のURLを入力して確認ください。証明書の管理機能は必要な場合にはDigiCert Trust Lifecycle Manager等の管理機能を持ったソリューションをご検討下さい。
 

Ｑ: 同じEV証明書を複数のサーバーに複製して利用しています。ACMEプロトコルを利用してEV証明書を複数のサーバーに複製することはできますか？

Ａ: 一般的なACMEクライアントには同じ証明書を複数のサーバーに複数する機能はございません。複数のサーバーに証明書をコピーする場合には、ACMEクライアントがダウンロードした証明書を複数のサーバーに複製する必要があります。複製のためには手動、もしくは、お客様で複製するためのプログラム（スクリプト）の開発が必要です。
 

Ｑ: ACMEクライアントのインストールに関する詳細な情報を教えてください。

Ａ: ACMEクライアントの代表的なソフトウエアであるCertbotを利用した自動化の方法についてマニュアルをご用意しています。詳細はマニュアルをご確認下さい。

DigiCert Trust Lifecycle Managerについて

Q: Trust Lifecycle Managerを採用するメリットを教えてください。

Ａ: Trust Lifecycle Managerは証明書自動更新だけではなくCertificate Lifecycle Management（CLM：証明書ライフサイクル管理）に関する包括的な機能を提供しています。ご利用している証明書のインベントリ管理と可視化 ( Discovery)、様々な環境への自動化の適用(Sensor/Agentソフトウエア）、更新状況のモニタリングダッシュボードの提供を通じて複雑な環境における証明書管理を包括的に実現します。Trust Lifecycle Managerをご利用頂くことで適切な管理を行いながらクラウド、アプライアンス、複数拠点にまたがったネットワークにおける証明書管理を実現します。本サービスは有償サービスとなりますので証明書を数十枚以上管理されるお客様が対象になります。
 

Ｑ: WAFやCDN等のサービスで証明書を利用していますが、Trust Lifecycle Managerを利用してこれらの証明書の自動化もできますか？

Ａ: WAFやCDNにおける自動化は、サービス提供事業者側で自動化の機能がどのように実現されるかにより異なります。
WAF やCDN事業者の対応状況をご確認下さい。
 

Ｑ: サーバー運営をホスティング業者へ委託していますが、証明書の自動化もできますか？

Ａ: サービス提供事業者側で自動化の機能がどのように実現されるかにより異なります。ホスティング事業者の対応状況をご確認下さい。
 

Ｑ: Trust Lifecycle Managerを利用することで更新のタイミングをシステムのメンテナンス時間に合わせたり、手動で実行することはできますか？

Ａ: Trust Lifecycle Managerのダッシュボード機能を利用することで証明書更新のスケジュール設定を行うことができます。この機能により更新の実行日時をブラウザから設定することが可能です。またダッシュボード機能は管理者の手動操作による更新の実行もサポートしています。
 

Q: Trust Lifecycle Managerを利用する場合、証明書の更新が失敗した場合にアラート等で通知は行われますか？

A: はい。更新の処理に関するアラートメールを送信することができます。また、ダッシュボード上には証明書の有効期間別のグラフが表示されますので更新が失敗して有効期間が短くなった証明書を視覚的に確認する
ことができます。  

Q:  Trust Lifecycle Managerでワイルドカード証明書の更新はできますか？

A: Trust Lifecycle Managerではワイルドカード証明書、マルチドメイン証明書の更新は可能ですが、同一の証明書を複数のサーバーに複製する機能はございません。なお、ワールドカード証明書対応が将来提供される場合がありますので最新の情報をご確認下さい。
 

Ｑ: Trust Lifecycle Managerを複数の企業で共有することはできますか？

Ａ: SaaSサービスとして提供される Trust Lifecycle Manager のテナントを複数の企業でご利用いただくことはお勧めしておりません。一方、技術的には一定の制限があるものの可能です。同じTrust Lifecycle Managerのテナントを利用するため管理者は全ての企業の情報にアクセスすることができ、また、共有される情報にはログ等も混在します。そのような条件で運用上問題ないかご確認下さい。
 

Ｑ: Trust Lifecycle Managerを利用して証明書を自動化する場合にネットワークの制限はありますか？

Ａ: Trust Lifecycle Managerの Agent/ Sensorはお客様環境に設置され、HTTPS双方向認証で Trust Lifecycle Manager と通信します。この場合、Agent/Sensor はHTTPSクライアントとして動作しますのでアウトバウンド方向でHTTPS通信ができるようにFirewall等の設定が必要となります。またHTTPS双方向通信（mTLS）を使用するためSSL/TLS通信を中断する
SSLインスペクションがある場合にはSSL/TLSを中断しないように設定する必要があります。 
 

Q: Agent/Sensorの自動化はどの範囲を自動化しますか？また、自動更新後のサーバーの動作確認も行えますか？

A: Agent/Sensorは設定されたスケジュールまたは手動のタイミングで鍵ペア生成、CSR作成、証明書の申請と取得、サーバーへのインストール、Webアプリケーションのリスタートまでを行います。更新後のWebサーバーの動作確認はデフォルトでは行いません。オプションで動作確認のためのスクリプトを追加することができます。
 

Q: Trust Lifecycle Managerでクラウドのロードバランサやアプライアンスに対応しているとのことですがどのような環境に対応していますか？

A: Trust Lifecycle Managerの自動化が対応している環境についての情報はこちらからご確認下さい。
 

Q: Trust Lifecycle Manager 導入に向けてPOC（実証実験）を行いたいのですが対応可能ですか？

A: はい。POCプログラムをご用意しています。お客様で試験環境をご用意頂き、自動更新の動作をご確認頂きます。
 

Q: Trust Lifecycle Managerの導入時にDigiCertがサーバーへのインストールや動作確認を支援して頂けますか？

A: DigiCertが提供する技術支援は、SoW(業務範囲定義書)で定義されます。 Trust Lifecycle Manager ご導入に際しての支援では、一般的に試験環境で自動化の環境を構築し、お客様の理解を深めて頂くまでのご支援となります。実際の商用環境への証明書自動化の導入はお客様、もしくは、お客様のサーバーを管理しているシステムインテグレータにご担当頂きます。これは自動化ソリューションの導入が商用サービスに対するものであり、かつ、複雑な環境では同時に実施できず継続的、段階的に導入が必要なためです。また、サービスを管理している担当者が動作を理解し、管理できる状態になることで運用開始後のシステム保守をお客様の管理下に置くことを目的としているためです。

 

ドメイン認証（DCV）について

Q: ドメイン認証（DCV）の有効期間とは何ですか？

A: サーバ証明書を発行するためにはCA/Bフォーラムの基本要件に従って、申請企業の実在性確認と証明書に記載するドメイン（FQDN）の認証が必要です。ドメインの認証はDigiCertがDNSの機構を使って申請されたドメインに正しく到達できることを技術的に確認します。この方法にはメールの到達性、DNSサーバーのレコードの記載確認、サーバーへの到達性等により確認します。

CAが証明書を発行する時にはドメイン認証（DCV）が正常に完了している必要があります。
 

Q: ドメイン認証（DCV）の有効期間が短くなるとDCVの自動化も必要ですか？現在使用しているメール認証は利用できますか？

A: ドメイン認証（DCV）の方法は現在いくつかの方法が選択できますが、そのほとんどが人手を介した方法です。2029年にはドメイン認証（DCV）の有効期間が10日に短縮されることが決議されており確認のための作業が大きくなります。ドメイン認証（DCV）の自動化は必須ではありませんが、現実的に証明書の有効期間短縮に伴い証明書更新を自動化する場合、ドメイン認証（DCV）の作業頻度が高まることから、自動化することが望ましいと考えています。

現在利用しているメール認証の方法も引き続き利用可能ですが、上記の理由から自動化の検討は必要と考えています。　

Note: メール認証の一部方式に制限があります。こちらをご参照ください。

Q: ドメイン認証（DCV）の自動化の方法にはどのようなものがありますか？

A: ドメイン認証の自動化の方法としてHTTP-01（ファイル認証）とDNS-01（DNSインテグレーション）の２つの方式が提供されます。HTTP-01はCAが事前に発行したチャレンジデータを記載したファイルを証明書に記載するFQDN（サブドメインを含む）のサーバーの特定のフォルダに配置し、CAが別のセッションでファイルを確認する方法です。
DNS-01はチャレンジデータをDNSサーバーのTXTレコードに記載し、CAがDNSの機構を利用して確認する方法です。
 

Ｑ: HTTP-01方式やDNS-01方式のどちらを選択すべきですか？それぞれのメリットとデメリットはどのようなものですか？

A: HTTP-01方式はチャレンジデータを記載したファイルをサーバーに配置するだけですので実装が容易というメリットがありますが、ワイルドカード証明書のドメイン認証（DCV）には使えないこと、および、CAからのファイル確認がHTTP（Port80）通信で行われるという条件があります。DNS-01方式はより汎用的に利用できる点がメリットですが、DNSのTXTレコードに動的にチャレンジデータを書き込む必要があるためDNSサービスによっては利用できない場合があります。

Q: DNS-01（DNSインテグレーション）に対応しているDNSサービスを教えてください。

A: 150以上のDNSサービスをサポートしております。これにはAkamai EdgeDNS, Azure DNS, Constellix, Google Cloud, Sonicなども含めてサポートされています。その他のサービスについてはDigiCertにお問い合わせください。
 

Q: HTTP-01方式で認証用のファイルを設置するのはサブドメインが証明書に記載するFQDNの場合でもベースドメインですか？（例：証明書記載abc.example.comの場合でもexample.comのサーバーにファイルを設置する必要がありますか？）

A: 認証ファイルは証明書に記載するFQDN（上記の例ではabc.example.com）サーバーに弊社が指定するディレクトリを作成し設置します。詳細な情報は下記ページ「 [DCV] ファイル認証方式」をご確認ください。

 

一般・費用・契約について

Q: 今回の証明書有効期間短縮の影響を受けるのはどの範囲ですか？VMCやコードサイニング証明書、クライアント証明書等も影響を受けますか？

A: 今回の決定はCA Browser Forumにおいてパブリックに利用されるサーバ証明書に関して決議されました。したがって影響範囲はブラウザにルート証明書がプリインストールされたサーバ証明書のみです。プライベートで発行されたサーバ証明書、コードサイニング証明書、S/MIME証明書、VMC証明書等は現時点では影響を受けません。これらの証明書の有効期間に関する制限は将来において変更される可能性がありますのでCA Browser Forumの動向について情報を継続的に確認する必要があります。
 

Ｑ: ルート認証局や、中間認証局証明書の有効期間も短縮されますか？

A: ルート認証局や、中間認証局証明書の有効期間は変更ありません。
 

Ｑ: サーバ証明書の管理をAzure Key Vaultで行っていますが、自動化は可能ですか？

A: はい。可能です。具体的な方法はMicrosoftの情報をご確認下さい。
 

Q: サーバ証明書の有効期間短縮後の証明書費用はどうなりますか？

A: DigiCertは証明書の有効期間に対する課金ではなく、オーダー（契約）期間に対する課金という提供方法です。オーダー期間は証明書有効期間短縮後も1年単位（最大3年）で課金します。オーダー期間内であれば有効期間がオーダー期間内の証明書を「再発行」することが可能です。また、オーダー期間の終了の90日前から証明書の「更新」を行うことが可能ですので「再発行」と「更新」を組み合わせて証明書を発行して頂きます。

なお、一括購入のお客様にはサブスクリプション契約（包括契約）モデルをご案内しております。サブスクリプション契約はFQDN（サーバー）単位の契約となるため、証明書の有効期間の終了時に「再発行」と「更新」を意識することなく毎回「更新」で対応が可能となります。

Note: 今後CertCentralからの個別注文もサブスクリプション側の提供モデルに変更する予定です。最新の情報は弊社サイトで公開する今後の情報をご確認下さい。
 

Q: 企業認証はどのタイミングで実施されますか？

A: 企業認証はこれまで通りオーダーのタイミング、または、お客様が任意に指定したタイミングで1年に一度実施されます。なお、これまでOV証明書の場合には企業認証が2年に1度でしたが、今回のCA/B フォーラムの決議により1年に短縮されます。
 

Q: ACMEクライアントを利用している場合、契約更新時に証明書は自動的に更新されますか？

A: CertCentralで個別にオーダーしている場合にはオーダー（契約）更新時にオーダーIDが変更になります。ACMEクライアントにオーダーIDを指定している場合にはオーダー更新時にオーダーIDの設定を変更する必要があります。

契約がサブスクリプション型の契約になっている場合には契約期間、オーダーIDを意識することなくACMEクライアントの証明書を更新要求した場合証明書は自動更新されます。
 

Q: 現在サブスクリプションを契約していますが、証明書の有効期間が1年未満に短縮され,年の間に数回発行しても同じ値段になるのでしょうか。

A: はい。サブスクリプション契約では証明書の有効期間に関わらずFQDN（サーバー）に対する年間ライセンスとなりますので費用は変わりません。
 

Q: お客様のサーバ証明書を代行取得しています。そのような場合に証明書の自動化はどのようにすればよいですか？

A: 原則としてお客様単位で自動化の設定を行っていただく必要がございます。弊社では証明書の発行そのものに課金しているのではなく、証明書のオーダー（契約）単位で課金しておりますのでオーダー自体は現在の運用を変更する必要がない場合があります。

但し、実際の運用、利用方法はお客様毎に異なるため実施状況等について弊社営業までご相談下さい。
 

Q: デジサートが提供しているサーバ証明書のラインナップに変更はありますか？

A: 現時点で変更は予定しておりません。これまでと同様、1年～3年(2年と3年は複数プランとして)のラインナップでのご提供となります。
 

Q: バウチャー決済でCertCentralからサーバ証明書の発行をしているが、ACMEクライアントは利用可能ですか？

A: 現時点では利用ができません。ただし、バウチャー決済でもご利用ができるよう、準備中のため、今しばらくお待ちください。

なお、バウチャー決済で、複数枚のサーバ証明書をご利用のお客様は、サブスクリプション契約への切り替えご検討下さい。詳細や概算は、バウチャーご購入元へお問合せ下さい。

Q: サーバ証明書の最大有効期間が2026年3月15日から200日、100日、47日へ順次短縮されますが、短縮される前にそれぞれ再発行が必要になりますか。再発行以外に必要なことはありますか。

A: 2026年3月15日以前に発行された証明書は最長398日にて発行され、証明書の有効期限までそのままご利用可能です。その他の対応も必要ないです。100日、47日のタイミングも同様、証明書が発行されたタイミングの最大有効期限内で発行され、短縮前に必要な対応はございません。
 

Q: バウチャーを購入している、デジサートのパートナーからもサブスクリプション契約は可能でしょうか。

A: 弊社パートナー様経由でもサブスクリプション契約は可能です。