DigiCert ACME 設定手順書(RapidSSL / GeoTrust DV)



対象OS Ubuntu 20.04/22.04、Debian 11/12、RHEL 8/9、AlmaLinux 8/9、Rocky Linux 8/9
Webサーバ Apache / Nginx
対象証明書 RapidSSL Automate、RapidSSL Wildcard Automate、GeoTrust DV SSL Automate、GeoTrust DV Wildcard Automate
ACMEクライアント Certbot または acme.sh 他。※本ガイドではCertbotとacme.shを取り上げます
認証方式 HTTP-01(File validation)/ DNS-01(ワイルドカード)

▼ 目次

概要

DigiCert ACME とは

RapidSSL・GeoTrust DV の各証明書は、業界標準の ACMEプロトコル を使って取得・自動更新できます。お使いのサーバにACMEエージェントをを導入し、認証局から指定された認証情報(EAB)を設定するだけで、以降の更新が自動化されます。

① お申し込み

SSLセキュアの申し込みフォームからお手続き

② SSO発行

お支払い確認後、設定画面へのSSOリンクを発行

③ 認証情報の取得

設定画面で ACME 用の認証情報(CA URL・EAB)を取得

④ クライアント設定

Certbot / acme.sh に認証情報を設定し、自動更新

対象となるSSLサーバ証明書

  • RapidSSL Automate
  • RapidSSL Wildcard Automate
  • GeoTrust DV SSL Automate
  • GeoTrust DV Wildcard Automate

AutomateInstallSSL(エージェント版)との違い

同じ証明書を、エージェント版(AutomateInstallSSL)ACME版(本ガイド) のどちらでも運用できます。お好みの方をお選びください。

項目 ACME版(本ガイド) エージェント版
更新クライアント Certbot / acme.sh(汎用)他多数 AutoInstall 専用エージェント
証明書のインストール ACMEクライアントが実施 エージェントが自動で実施
Windows Server(IIS) 本ガイドの対象外 対応
向いているケース Linuxでコマンド運用に慣れている方 インストール作業も任せたい方・IIS環境
Windows Server(IIS)でご利用の場合は、AutomateInstallSSL(エージェント版)の設定手順をご覧ください。本ガイドは Linux 環境(Apache / Nginx)を対象としています。
⚠ いずれも新規申し込みとなります。既存証明書からの更新としてお申込みいただくことはできません。

設定手順

本ドキュメントでは、ACMEエージェントとしてcertbotおよびacme.shを導入した例を説明します。

コマンドや設定画面の表示内容で、太字・山括弧(< >)の部分はお客様のお申込み内容・環境に合わせて読み替えてください。

STEP 1お申し込み

SSLセキュアの申し込みフォームから、ドメイン名とお客様情報を入力してお申込みください。ワイルドカード証明書をご希望の場合は、Wildcard 対応商品をお選びください。

STEP 2SSOリンクの確認

お支払い確認後、設定画面へのSSOリンクが発行されます。
SSOリンクはSSLセキュアの管理ページでご確認いただけます。

STEP 3設定画面で「ACME」を選択

SSOリンクからブラウザで設定画面にアクセスし、利用する環境として ACME を選択してください。

What environment do you need to use AutoInstall SSL® in?

表示された環境の選択肢から ACME(ACME-compatible agent/system)を選択します。

STEP 4認証方法の選択

Select validation method

  • File validation(推奨) — Webサイトに認証ファイルを設置して認証します。通常の証明書(単一ドメイン・www付き)はこちらを選択してください。
  • DNS validation — DNSに認証用レコードを設定して認証します。ワイルドカード証明書はこちらが必須です。
通常の証明書は File validation、ワイルドカード証明書は DNS validation を選択してください。ワイルドカードの手順は後述の「ワイルドカード証明書(DNS-01)の設定」をご覧ください。

STEP 5ACME認証情報の取得

設定画面の 「ACME Credentials」 に、ACMEクライアントで使用する以下の3つの情報が表示されます。コピーして手元に控えてください。

ACME Credentials
CA/Server URL https://one.digicert.com/mpki/api/v1/acme/v2/directory
EAB Key ID (KID) <設定画面に表示されたKey ID>
EAB HMAC Key <設定画面に表示されたHMAC Key>
EAB HMAC Key は秘密情報です。第三者に知られないよう取り扱い、ファイルに保存する場合は所有者のみ読み取り可能な権限(chmod 600)を設定してください。

STEP 6ACMEクライアントの導入と証明書の取得(通常証明書 / HTTP-01)

お使いのクライアントに合わせて、いずれかの手順を実行してください。下記コマンドの <KID> / <HMAC> / <ドメイン名> / <メールアドレス> は、STEP 5 とお客様の情報に置き換えてください。

Certbot を使う場合

Certbot のインストール手順は Certbot 設定手順書 をご参照ください。インストール済みであれば、以下のコマンドで取得できます。

# Apache の場合(証明書の取得とWebサーバへの設定を自動で行います)
sudo certbot --apache \
  --server https://one.digicert.com/mpki/api/v1/acme/v2/directory \
  --eab-kid "<KID>" \
  --eab-hmac-key "<HMAC>" \
  --domain <ドメイン名> \
  --agree-tos --non-interactive \
  --email <メールアドレス>
# Nginx の場合は --apache を --nginx に置き換えてください
sudo certbot --nginx \
  --server https://one.digicert.com/mpki/api/v1/acme/v2/directory \
  --eab-kid "<KID>" \
  --eab-hmac-key "<HMAC>" \
  --domain <ドメイン名> \
  --agree-tos --non-interactive \
  --email <メールアドレス>

acme.sh を使う場合

acme.sh のインストール手順は acme.sh 設定手順書 をご参照ください。インストール済みであれば、以下のコマンドで取得できます。

# アカウント登録(EAB)→ webrootモードで証明書を取得
~/.acme.sh/acme.sh --register-account \
  --server https://one.digicert.com/mpki/api/v1/acme/v2/directory \
  --eab-kid "<KID>" \
  --eab-hmac-key "<HMAC>"

~/.acme.sh/acme.sh --issue \
  --webroot /var/www/html \
  --domain <ドメイン名> \
  --server https://one.digicert.com/mpki/api/v1/acme/v2/directory \
  --eab-kid "<KID>" \
  --eab-hmac-key "<HMAC>"
取得後のWebサーバへの証明書設定(Apache / Nginx の記述例)は、各クライアントの設定手順書に記載しています。

ワイルドカード証明書(DNS-01)の設定

RapidSSL Wildcard Automate / GeoTrust DV Wildcard Automate でワイルドカード証明書(*.example.com)を取得する場合は、DNS-01認証(DNS validation)が必須です。HTTP-01(File validation)ではワイルドカードは取得できません。

DNS-01認証では、ACMEクライアントがお使いのDNSプロバイダのAPIを使って認証用のTXTレコードを自動で追加します。一度APIの設定を済ませれば、以降の更新も無人で自動化されます。

STEP A:DNSプロバイダのAPI設定

お使いのDNSプロバイダに合わせて、APIの認証情報(APIキー等)を取得し、対応するプラグインを設定します。プロバイダごとの具体的な設定方法は、各クライアントの公式ドキュメントをご参照ください。

クライアント 対応DNSプロバイダ一覧
Certbot Certbot DNS plugins
acme.sh acme.sh dnsapi(約150社対応)

STEP B:ワイルドカード証明書の取得

DNSプロバイダの設定後、以下のコマンドで取得します。--dns 以降のプラグイン名とパラメータは、STEP A で確認したお使いのプロバイダの値に置き換えてください(下記は Cloudflare を使う場合の例です)。

Certbot の場合
# 例:Cloudflare(certbot-dns-cloudflare プラグイン使用)
sudo certbot certonly \
  --dns-cloudflare \
  --dns-cloudflare-credentials /etc/letsencrypt/cloudflare.ini \
  --server https://one.digicert.com/mpki/api/v1/acme/v2/directory \
  --eab-kid "<KID>" \
  --eab-hmac-key "<HMAC>" \
  --domain "<ドメイン名>" \
  --domain "*.<ドメイン名>" \
  --agree-tos --non-interactive \
  --email <メールアドレス>
acme.sh の場合
# 例:Cloudflare(環境変数にAPIトークンを設定してから実行)
export CF_Token="<CloudflareのAPIトークン>"

~/.acme.sh/acme.sh --register-account \
  --server https://one.digicert.com/mpki/api/v1/acme/v2/directory \
  --eab-kid "<KID>" \
  --eab-hmac-key "<HMAC>"

~/.acme.sh/acme.sh --issue --dns dns_cf \
  --domain "<ドメイン名>" \
  --domain "*.<ドメイン名>" \
  --server https://one.digicert.com/mpki/api/v1/acme/v2/directory \
  --eab-kid "<KID>" \
  --eab-hmac-key "<HMAC>"
Cloudflare 以外のプロバイダをご利用の場合は、--dns-cloudflare / --dns dns_cf の部分を、STEP A のドキュメントで案内されているプラグイン名・パラメータに置き換えてください。

自動更新の確認

Certbot・acme.sh とも、初回取得時に自動更新のスケジュールが登録されます。設定が有効になっているかを確認してください。

# Certbot:更新のテスト(実際には更新せず動作のみ確認)
sudo certbot renew --dry-run

# acme.sh:登録済み証明書と次回更新日の確認
~/.acme.sh/acme.sh --list
DNS-01(ワイルドカード)の場合も、STEP A で設定したDNSプロバイダのAPI認証情報が保存されているため、更新時に再設定は不要です。更新は無人で自動的に行われます。

トラブルシューティング

症状・エラー内容 原因 対処法
SSOリンクが管理ページに表示されない お支払い確認が完了していない お支払い状況をご確認ください。確認済みの場合はサポートページよりお問い合わせください
EAB credentials error Key ID / HMAC Key の誤り 設定画面の「ACME Credentials」の値を再確認し、正確にコピーして再実行してください
HTTP-01(File)で Challenge failed: 404 webroot パスの指定ミス DocumentRoot と --webroot のパスが一致しているか確認してください
HTTP-01(File)で 403 エラー(RHEL系) SELinux によるアクセス拒否 sudo restorecon -Rv /var/www/html/.well-known/ を実行してください
ワイルドカードで DNS problem / TXTレコード不一致 DNSプロバイダのAPI設定誤り、または反映待ち STEP A のAPI認証情報を再確認してください。DNSの反映に時間がかかる場合があります
ワイルドカードを HTTP-01 で取得しようとして失敗 HTTP-01 はワイルドカード非対応 DNS-01(DNS validation)で取得してください
ご不明な点はSSLセキュア サポートページよりお問い合わせください。

ページ上部へ戻る