SSL/TLS サーバー証明書更新を自動化し、管理負荷を軽減！

～ IIS や Azure のサーバー証明書更新を自動化 ～

サーバー証明書に関連する業界動向

インターネット上で標準的に利用される暗号通信プロトコルである SSL および TLS の機能を実装した OpenSSL（オープン・エスエスエル）は、提供されるバージョンによってサポート期限があります。BLOG：FIPS 140-3 に準拠した OpenSSL の最新バージョン「OpenSSL 3.1」公開 でも解説しています。2023 年 11 月に最新バージョンであります「OpenSSL 3.2.0」が公開されており、次期バージョンであります「OpenSSL 3.3.0」が、2024 年 4 月までに公開予定であることを OpenSSL Project が公表しています。
さらに、サーバー証明書の有効期間は、業界規制やブラウザーの仕様変更によって、2024 年 2 月現在の最長の有効期間は 1 年となっています。
サーバー運営者は、技術動向、業界規制や主要ブラウザーの仕様変更など、さまざまな業界動向を理解し、サーバー運用しなくてはなりません。そして、複数のサーバーを運用するサーバー運営者にとっては、サーバー証明書の申請、取得、インストールなどの管理負荷は大きなものではないでしょうか。

IIS、Azure のサーバー証明書更新を自動化

サイバートラストでは、各種サーバーの CSR 作成 / 証明書インストール手順書 をはじめ、サーバー証明書の管理負担を軽減するために、SureHandsOn ACME を提供しています。SureHandsOn（シュアハンズオン）は、SSL/TLS サーバー証明書「SureServer」のお客様の企業情報を年に一度でまとめて審査を行うことで、サーバー証明書の発行のたびに本来なら生じる電話確認や書類審査などの諸手続きを省くことができ、24 時間 365 日（サービスメンテナンス時を除く）、お客様による申請・発行を可能にしたマネージドサービスです。年間に 10 枚以上のサーバー証明書をご利用のお客様で、申請処理（申請、電話応対等）の手間の軽減、ならびに発行のタイミングをお客様自身でコントロールしたいとお考えの場合、ご利用いただくと大変便利なサービスで、費用ならびに運用面でメリットがあります。枚数に応じた割引価格が適用されるなどのコストメリットがあります。

SureHandsOn ACME は、国際標準の ACME プロトコルを用いた証明書管理の自動プログラムで、お客様のサーバーに初期設定後、サーバー証明書の申請、取得を自動化でき、サーバー証明書の更新漏れを防ぎ管理コストを軽減することができます。

SureHandsOn ACME は、無償にて提供しており、お客様のサーバーに ACME クライアントを設定いただくことで利用可能で、以下のサーバー環境においてサーバー証明書更新を自動化することが可能です。

• ロードバランサー「BIG-IP」
• Microsoft Internet Information Services（IIS）
• Microsoft Azure（Azure）

IIS および Azure 環境におけるサーバー証明書更新を自動化する場合は、ACME クライアント「win-acme」が動作する環境を介して、取得したサーバー証明書と秘密鍵をアップロードすることができます。

（IIS の発行申請例）

（Azure の発行申請例）

ACME（Automated Certificate Management Environment の略）
ウェブサーバーと認証局との間の相互作用を自動化するための通信プロトコル で、利用者のウェブサーバーにおいてサーバー証明書の自動展開を可能とするもので、RFC8555 として公開されています。

前述しました BIG-IP、IIS や Azure 環境における更新自動化および SureHandsOn ACME の詳しい内容については、是非 お問い合わせください。