ACME

ACME

自己更新される証明書。IETF標準規格 TLS オートメーション。

SSL.comは、完全自動化された業界標準メカニズムであるACMEプロトコル(RFC 8555)をサポートしています。 TLS 証明書の発行、更新、および失効。証明書の有効期間が現在200日に制限され、さらに短縮される傾向にあるため、ACMEの自動化は利便性から必要不可欠なものへと変化しつつあります。

ACMEを始めましょう ACMEのドキュメントを見る

証明書の自動発行および更新に関する標準規格

ACME(自動証明書管理環境) ACME互換クライアントが要求、検証、発行、更新、取り消しを自動的に行えるようにするIETF標準(RFC 8555)です。 TLS ACME対応の認証局が発行する証明書。初期設定後は人手を介する必要は一切ありません。

ACMEは、大規模な証明書ライフサイクル管理を自動化するためのプロトコルです。ACMEクライアントと認証局(CA)間のハンドシェイク(ドメイン検証、証明書署名、更新)を定義することで、処理全体を無人で実行できるようにします。

SSL.comは、ACMEと完全に互換性のある認証局(CA)です。Certbot、ACME.sh、win-acme、Caddy、Traefikなど、数百ものACMEクライアントが、SSL.comをCAエンドポイントとして使用して、証明書を自動的に発行および更新できます。現在、ACMEの発行は、以下の範囲をカバーしています。 DV(ドメイン検証) 証明書; ACMEを通じたOVおよびEVの発行が間もなく開始されます — 下記のディレクトリURLとロードマップをご覧ください。

ACMEがますます不可欠になっている理由

⚠ 証明書の有効期間コンテキスト: 2026年3月11日より最大 TLS 証明書の有効期間は 200日間で稼働開始できましたAppleは削減を提案している 47日間で稼働開始できましたCA/Bフォーラムの承認は既に取得済みです。

最大寿命200日
  • 100個の資格を持つチームは、年間約183件の更新イベントに直面する。
  • この頻度での手動更新は停電のリスクを生じさせる
  • 自動化を導入していない運用チームは、すでに大きなプレッシャーにさらされている。
最大寿命47日間(提案)
  • 同じ100件の証明書を扱うチームは、年間約777件の更新イベントに対応している。
  • 手動管理は運用上不可能になる
  • ACMEの自動化は、大規模展開において唯一実現可能なアプローチとなる。

SSL.comは現在、ACMEをサポートしています。一度設定すれば、インフラストラクチャの存続期間中は自動的に更新されます。

主な機能

自動発行

ACMEのクライアントはSSL.comから証明書を自動的に要求します。ポータルとのやり取りは不要です。証明書はACMEとのハンドシェイク後、数秒以内に発行されます。

自動更新

証明書は有効期限前に自動的に更新され、人手を介する必要はありません。一度設定すれば、その後は無期限に動作します。200日間および将来の47日間の証明書有効期間に対応しています。

自動取り消し

証明書は、不要になった時点で、発行元のACMEクライアントを通じて自動的に失効させることができます。

HTTP-01チャレンジ

ドメイン制御は、既知のURLに配置されたファイルによって検証されます。ほとんどのシングルドメインおよびSANシナリオで機能します。ワイルドカードには対応していません。

DNS-01 チャレンジ

ドメイン制御はDNS TXTレコードを介して検証されます。ワイルドカード証明書に必須であり、HTTPサーバーへのアクセスなしで検証を可能にします。ファイアウォールの内側でも動作します。

レート制限なし

SSL.comはACMEに発行レート制限を設けていません。数十件の証明書を管理する場合でも、数十万件の証明書を管理する場合でも、スロットリングなしでニーズに合わせて拡張できます。

マルチドメインのサポート

ACMEの注文には複数のサブジェクト代替名(SAN)を含めることができ、マルチドメイン証明書の発行と更新を自動的に行います。

検証レベル

DVは本日よりACMEを通じてご利用いただけます。OVおよびEVの発行は近日中にACMEを通じて開始予定です。早期アクセスをご希望の方はSSL.comまでお問い合わせください。

ACME社の顧客をサポートしました

Certbot

最も広く利用されているACMEクライアント。LinuxとmacOSにネイティブ対応し、DNS-01プロバイダー向けの豊富なプラグインエコシステムを備え、多くのLinuxディストリビューションにプリインストールされています。

ACME.sh

軽量シェルスクリプトACMEクライアント - Route 53、Cloudflare、Google Cloud DNS、Azure DNS、および主要なレジストラAPIを含む150以上のDNSプロバイダーに対応したDNS-01プラグイン。

ウィンアクメ

WindowsネイティブのACMEクライアント。IISとの完全な統合、スケジュールされたタスクの自動化、およびWindows中心のホスティング環境向けのGUI構成機能を備えています。

キャディ&トラエフィク

ACME サポートが組み込まれた最新のリバースプロキシ。SSL.com を CA エンドポイントとして構成し、 TLS すべてのルートとサービスについて自動的に処理されます。

cert-manager (K8s)

Kubernetesの標準的な証明書マネージャー。証明書リソースを宣言的に作成し、すべてのIngressに対してACMEフローを処理し、Podを再起動せずに証明書をローテーションします。

SSL.com ACMEディレクトリURL(DV - 本日より利用可能):

https://acme.ssl.com/sslcom-dv/directory

🚧近日発売予定 — ACME経由のOVとEV: OVおよびEV発行専用のディレクトリエンドポイントは現在開発中です。既存のACMEクライアントは、プロトコルレベルの変更なしに新しいエンドポイントに対応します。早期アクセスおよびリリース時期については、SSL.comまでお問い合わせください。

開始する方法

1

SSL.com アカウントを作成する

ssl.comで登録してください。無料です。証明書の発行まで料金は一切かかりません。

2

ACME認証情報を生成する

SSL.comのダッシュボードでACMEアカウントの認証情報を作成してください。

3

ACMEクライアントを設定する

ACMEクライアント(Certbot、ACME.sh、win-acme、Caddyなど)で、認証局(CA)としてSSL.comを設定してください。

4

最初の証明書を発行する

ACMEクライアントを実行すると、証明書の要求、検証、および取得が自動的に行われます。

5

定期更新

ACMEクライアントを自動実行するように設定してください(cronまたはsystemd経由)。そうすれば、追加の操作なしで更新が行われます。

チャレンジの種類

HTTP-01
ファイルベースの検証

ACMEクライアントはトークンファイルを次の場所に配置し http://yourdomain.com/.well-known/acme-challenge/TOKEN.

次の場合に使用します: お客様のサーバーはポート80で公開アクセス可能です。シングルドメイン証明書およびSAN証明書に対応しています。ワイルドカード証明書には対応していません。

DNS-01
DNSレコードの検証

ACMEクライアントは _acme-challenge.yourdomain.com DNS TXTレコード。

次の場合に使用します: お使いのDNSプロバイダは、プログラムによるTXTレコードの作成をサポートしています。ワイルドカード証明書には必須です。HTTPサーバーへのアクセスは不要です。

よくある質問

ACMEはプロトコルであり、利用料は無料です。SSL.comの証明書は通常通り料金が発生しますが、ACMEは証明書の自動申請と自動更新を行うための仕組みにすぎません。
はい、DNS-01チャレンジを使用します。DNSプロバイダは、プログラムによるTXTレコードの作成をサポートしている必要があります。主要なDNSプロバイダのほとんどは、DNS-01用のACMEクライアントプラグインを提供しています。
SSL.comは現在、ACME経由でのDV(ドメイン認証)証明書をサポートしています。OV(組織認証)およびEV(拡張認証)証明書のACME経由での発行は近日中に開始予定です。それまでの間は、SSL.comポータルおよびAPIを通じてOVおよびEV証明書を発行できます。ロードマップのスケジュールや早期アクセス機会については、SSL.comまでお問い合わせください。
ACMEクライアントのほとんどには、再試行ロジックとアラート機能が含まれています。SSL.comもアカウント経由で有効期限切れ通知を送信します。本番環境では、自動更新が失敗した場合にチームに通知されるようにアラートを設定してください。
ACMEは新規証明書を発行しますが、既存の手動発行証明書を自動的に移行することはありません。ACMEクライアントを設定し、代替証明書の発行を許可することで、ACME管理証明書への移行が可能になります。
いいえ、ACMEはプロトコルであり、CLM(証明書ライフサイクル管理)は証明書の発見から失効までの管理全般を指す、より広範な実践方法です。ACMEは、CLMの発行と更新部分を支える自動化エンジンです。ライフサイクル管理の全体像については、CLMのページをご覧ください。

関連製品および機能

CLM

証明書ライフサイクル管理の包括的な実践として、発行と更新の自動化にACMEを使用。VenafiおよびKeyfactorとの連携も含まれる。
さらに詳しく

SSL Manager

SSL.com証明書の注文と管理​​を行うためのGUIベースのWindowsデスクトップアプリ。自動化されたワークフローと手動ワークフローの両方を必要とするチームにとって、ACMEを補完するツールです。
さらに詳しく

単一ドメイン TLS/SSL

最も一般的には、ACME HTTP-01チャレンジを介して自動化されます。これは、単一のホスト名の場合、最もシンプルな展開方法です。
さらに詳しく

ワイルドカード TLS/SSL

ACME DNS-01チャレンジによる自動化 — HTTP-01ではワイルドカードの適用範囲を検証できないため、DNS-01が必要です。
さらに詳しく

マルチドメイン TLS/SSL

複数のSANに対応したACME注文をサポート ― 数十種類の異なるドメインをカバーする証明書の発行と更新を、自動化されたワークフローで実行できます。
さらに詳しく
SSL.com

フィードバックをお待ちしております

アンケートにご協力いただき、最近のご購入についてのご意見をお聞かせください。

調査する
プライバシーの概要
SSL.com

このWebサイトではCookieを使用しているため、可能な限り最高のユーザーエクスペリエンスを提供できます。 Cookie情報はブラウザーに保存され、Webサイトに戻ったときにユーザーを認識したり、Webサイトのどのセクションが最も興味深く有用であるかをチームが理解するのに役立ちます。

詳細については、 クッキーとプライバシーステートメント.

サードパーティのCookie

このウェブサイトは Google Analytics 統計カウンター(&S) サイトへの訪問者数や最も人気のあるページなどの匿名情報を収集するため。

これらのCookieを有効にしておくと、ウェブサイトの改善に役立ちます。

詳細を表示
Powered by  GDPR Cookieコンプライアンス