平素よりUPKI電子証明書発行サービスをご利用いただき、誠にありがとうございます。
このたび、UPKI電子証明書発行サービスをご利用の皆様に向け、ACMEプロトコル(証明書の発行や更新を自動化するための通信規格)を用いた証明書運用の導入・移行を支援する情報サイト「UPKI ACME移行支援サイト」を公開いたしました。
UPKI ACME移行支援サイト:https://certs.nii.ac.jp/acme
近年、サーバ証明書の有効期限短縮に伴う更新頻度の増加を受け、証明書管理の自動化が強く推奨されております。本サイトでは、UPKIにおけるACME利用時の固有の仕様から、具体的なクライアントソフトウェア(証明書を取得するための専用ツール)の導入手順、各種アプライアンス機器(負荷分散装置やファイアウォールなど)の対応状況などを客観的な情報に基づいて整理し、提供しています。
証明書管理の自動化に向けた計画策定や、設定作業の際にご活用いただけますと幸いです。
■ サイトの主な構成と掲載内容
- ACMEとUPKIの基本解説
ACMEプロトコルの仕組みや、UPKIにおける固有の要件である「EAB」(External Account Binding:UPKIのアカウントと紐づけるための接続情報)の設定などについて解説しています。
- 導入マニュアル(事前準備から移行手順まで)
UPKIシステムでの事前登録手順(TSVファイルのダウンロードなど)や、従来の「手動更新(CSRの作成とアップロード)」から「ACMEによる自動更新」へとスムーズに切り替えるためのプロセスを説明しています。
- 主要クライアント別設定ガイド
Linux環境で広く使われる「Certbot」や軽量な「acme.sh」、Windows環境(IIS)向けの「win-acme」について、具体的なコマンド例を交えて設定手順を紹介しています。また、高度な運用として「複数のEAB認証情報を併用する手順」も掲載しています。
- アプライアンス・ミドルウェア対応状況
負荷分散装置(ロードバランサ)やファイアウォールなど、各種ネットワーク機器におけるACMEのネイティブ対応状況(機器自体が直接自動更新できるか)を表でまとめています。非対応機器に対する代替アプローチについても触れています。
- トラブルシューティングとFAQ
「EABの認証エラー」「Rate Limit(発行上限)への到達」「ドメイン認証(チャレンジ)の失敗」といった、導入時によく発生する代表的なエラーの原因と具体的な対処法をまとめています。
本件に関する連絡先:
===============================================
国立情報学研究所 学術基盤課 認証基盤・クラウド推進チーム(認証担当)
お問い合わせフォーム:https://certs.nii.ac.jp/contact/form
=============================================