コンテンツにスキップ

利用開始前の準備(EAB申請・ネットワーク要件)

ACMEクライアントをサーバにインストールして実際の設定を始める前に、以下の事務手続き(事前準備)とネットワーク要件の確認を必ず行ってください。

1. 「TSVファイル」の作成と「EAB Credential」の発行

UPKIでACMEを利用するには、ドメイン名などの情報をまとめた「TSVファイル」を作成し、システムに登録する必要があります。

一般のサーバ管理者(申請者)、利用管理者、登録担当者の役割分担と手続きの流れは以下の通りです。

  1. 申請情報の準備: 一般のサーバ管理者(申請者)は、証明書を発行したいFQDNなどの情報を整理し、所属機関の利用管理者に申請を依頼します。
  2. TSVファイルの作成: 利用管理者が、TSVツール (https://certs.nii.ac.jp/tsv-tool/) を使用してTSVファイルを作成し、所属機関の登録担当者に提出します。
  3. ポータルサイトへのアップロード: 登録担当者が、提出されたTSVファイルを「電子証明書自動発行支援システム」にアップロードします。
  4. EAB Credentialの受領と共有: アップロードが完了すると、システムから「EAB CredentialKey IDHMAC Key(MAC Key))」が発行されます。登録担当者はこれを利用管理者に安全な方法で渡し、利用管理者は必要に応じてサーバ管理者に共有します。

EABの取得は「登録担当者」への依頼が必要です

一般の利用者が自分で直接取得することはできません。所属する機関のしかるべき担当窓口(情報システム部門等)へ発行を依頼してください。また、依頼の手順や申請フォーマットは機関ごとに異なるため、詳細は必ず各機関の担当部局にご確認ください。

2. ネットワーク要件の確認(重要)

TCPポート80番 (HTTP) の開放確認

初心者が最も躓きやすいポイントです。一般的なACMEの認証方式(HTTP-01チャレンジ)では、ACMEサーバーおよび認証局(CA)の検証システムからあなたのサーバに対して、所有権確認のための通信が行われます。

この通信は必ず TCP 80番ポート (HTTP) を使用します。ファイアウォールやルーター、クラウドのセキュリティグループ等で80番ポートへの外部からのアクセスが遮断されていないか、事前に確認してください。

接続元のIPアドレス制限は行わないでください

認証局(CA)の検証システムは、地理的に分散された複数の検証サーバーから通信を行います。また、検証元のIPアドレスは非公開であり、随時変動します。 そのため、特定の接続元IPアドレスのみにポート80番を開放する設定(IPアドレス制限)を行うと、検証に失敗します。検証を成功させるためには、インターネット全体に対して一時的または恒常的にTCPポート80番を開放する必要があります。

ポート80番が開放できない場合

学内専用の非公開サーバなど、どうしても外部から80番ポートへのアクセスを許可できない環境の場合は、HTTP通信を使用しない DNS-01 チャレンジ という別の認証方式を利用する必要があります。

ただし、DNS-01チャレンジを利用するためには、対象ドメインのDNSサーバーにTXTレコードを登録・更新する権限、またはDNS APIを用いた動的更新の仕組みが必要となります。(DNS-01チャレンジの具体的な設定方法は、クライアントごとの個別ページをご参照ください)