SSLサーバ証明書を利用するにあたって避けられない、有効期間と更新作業。有効期間は業界団体の規定により2018年以降、短縮されてきました。有効期間の短縮によりSSLサーバ証明書のセキュリティはより向上しますが、同時に利用者は更新作業までの期間が短くなり、多くの枚数を運用している管理者の方は管理が煩雑となります。本記事ではそうした管理コストを軽減するソリューションとその対応環境等について解説します。
SSLサーバ証明書の有効期間と管理コスト
SSLサーバ証明書をご利用いただいているお客様は、ご利用開始から一定期間が経過すると、必ず「有効期限」がやってきます。これはSSLサーバ証明書をよりセキュアにご利用いただくためには避けられないことであり、CA/Browser Forumによっても有効期間が規定されています。
2018年3月1日に改定されたルールでは、SSLサーバ証明書の有効期間は最長825日となり、さらなる2020年9月1日の改定で最長397日になりました。これにより、証明書の更新は3年に1回の更新で済んでいたものが2年に1回となり、2021年現在では毎年更新する必要があります。更新までの期間が短くなったことで、特にホスティング事業者やエンターブライズなど大量のSSLサーバ証明書を管理する負担は増えていく傾向にあります。
管理コスト軽減のための自動更新を可能にするACMEプロトコル
弊社にも、こうした管理コストを軽減するために「証明書を自動更新できませんか」というお問い合わせを多くいただきます。 GMOグローバルサインでは現在、Active DirectoryでID管理しているエンタープライズ企業向けに自動更新を可能にするACMEプロトコルと連携したAEG(Auto Enrollment Gateway)を提供しています。ACMEプロトコルとは、ウェブサーバと認証局との間の証明書の相互作用(インストール、更新など)を自動化するための国際標準の通信プロトコルです。
ACMEプロトコルを利用することでSSLサーバ証明書の更新の自動化が行えるため、大幅な管理コストの削減が可能となります。管理者は運用で一番の懸念となる「有効期限切れ」を気にすることなく運用することができます。
GMOグローバルサインの提供するAEG
現在提供しているAEGは以下となります。
推奨される環境
- Active DirectoryでLinuxのホストやユーザ管理をしているエンタープライズ企業向け
- 企業内のLinuxサーバ、Windowsサーバの証明書更新を自動化
AEGの稼働イメージ
一般のサーバ管理者、特に大量のSSL対応Linuxサーバを一括管理しているホスティングサービス等の管理者向けには、次世代の電子証明書プラットフォーム「Atlas」で自動更新をご利用いただくことが可能となります。
また、現在、Let's Encryptを採用されているホスティング事業者様の場合、サーバに設定しているcertbotなどのエージェントを使用することができ、設定ファイルを少し修正すれば簡単にグローバルサインから証明書が発行できるようになります。