採用情報 お問い合わせ

BLOG

  1. HOME
  2. BLOG
  3. SSL/TLS サーバー証明書 BLOG
  4. SureHandsOn ACME
  5. 【SureHandsOn ACME × BIG-IP KOJOT-ACME】KOJOT-ACME で実現するサーバー証明書の自動更新

SSL/TLS サーバー証明書 BLOG

SureHandsOn ACME

2025 年 09 月 18 日

【SureHandsOn ACME × BIG-IP KOJOT-ACME】KOJOT-ACME で実現するサーバー証明書の自動更新

サイバートラストの SSL/TLS サーバー証明書のブランド名は、2025 年 6 月 1 日より iTrust SSL/TLS サーバー証明書に変更になっています。 過去の記事文中、旧製品名での記載がある場合がありますが、文章記載当時の名称である旨ご了承いただけますようお願いいたします。

「KOJOT-ACME※1」は、F5 社のメンバーが作成した通信制御装置などの製品群「BIG-IP」で使える ACME v2 クライアント です。BIG-IP が ACME v2 クライアントとして動作し、証明書のインストール、スケジュール管理、秘密鍵の更新などを行えます。

※1
「KOJOT-ACME」の詳細につきましては、以下をご覧ください

https://www.f5.com/ja_jp/go/special/blog-jp/f5-solution-to-shorten-server-certificate-expiration-date
https://github.com/f5devcentral/kojot-acme/blob/main/README.md

2025 年 4 月、パブリック証明書の要件を定める業界団体である CA/Browser Forum(CABF)において、SSL/TLS サーバー証明書(サーバー証明書)の有効期間を短縮することが投票によって可決されました。これにより 2026 年 3 月 15 日以降、現在の 398 日から段階的に短縮(最短 47 日)されることが決定しました※2
また、その後更なる短縮を行おうという動きもあり、なかには有効期間を 7 日間に、という意見もあります。
ここで問題になってくるのが、有効期間短縮による証明書更新頻度の増加、およびそれに伴う運用コストの増加です。
仮に証明書が 100 枚あったとすると、従来は「1 年間に 100 枚証明書を更新する」のみであったところが、有効期間が 100 日となると「100 日に 100 枚」、つまり実質的に「1 年間に 400 枚証明書を更新する」ということになります。
これがさらに有効期間が短縮されるとなると、運用コストの増加は決して無視できないものになるでしょう。

※2
有効期間短縮の背景につきましては、ブログ「最大有効期間が 2029 年に 47 日へ! 短縮化の背景と SSL/TLS サーバー証明書の課題と対策」をご覧ください

そこでサイバートラストが提供しているのが、「ACME(Automatic Certificate Management Environment:自動証明書管理環境)」という規格化された証明書の自動申請プロトコルを活用した、サーバー証明書の更新自動化ソリューション、「SureHandsOn ACME」です。

「SureHandsOn ACME」は、サーバーに導入した ACME クライアントを通じて、証明書の更新申請から受領までを自動化します。その結果、更新作業に伴う運用コストを大幅に削減できます。
しかし、「BIG-IP」「FortiGate」などのアプライアンス製品環境下のサーバーの場合、直接サーバー内に ACME クライアントを導入することが難しく、「SureHandsOn ACME」との連携方法がそれぞれの製品機能に依存してしまうという問題がありました。
そのような状況のなか、F5 社より BIG-IP 環境用 ACME クライアント「KOJOT-ACME」が発表され、BIG-IP 環境において、より簡易的に「ACME」を活用できるようになりました。
そこで今回は、「BIG-IP」および「KOJOT-ACME」を取り上げ、その環境で「SureHandsOn ACME」を活用するための設定 を、実際に動作させながら試してみました。
それでは、実際に行った準備や設定について、ご紹介します。

事前準備

事前準備として、BIG-IP 環境の構築、「SureHands On」での自動申請設定を実施しました。
また、今回の検証では、KOJOT-ACME の公式ドキュメントに書かれている自動化手順を参考に操作を実行しました。

KOJOT-ACME のインストール

BIG-IP 環境に ACME クライアントである KOJOT-ACME をインストールしました。
インストール方法は、BIG-IP Shell (CLI) で下記コマンドを実行するのみです。

# curl -s https://raw.githubusercontent.com/f5devcentral/kojot-acme/main/install.sh | bash

申請準備

証明書の新規申請(更新申請)を行うために、下記 2 つの設定を行います。

  1. データグループ設定
    証明書の FQDN および当社 ACME サーバーを設定します。

  1. 設定ファイルの変更
    SureHandsOn アカウントと連携するために、プロファイルキーとアクセスキーの設定を行いました。

発行申請およびスケジュール設定

申請準備が完了したら、下記コマンドを実行し、申請を行います。申請後、自動で証明書を受け取りました。

# ./f5acmehandler.sh -verbose

証明書を受け取ったら、更新スケジュールを設定していきます。スケジュール設定は Cron で行います。
実際に、しきい値を下回る直前の満了日を指定し証明書を発行したところ、翌日に自動更新されました。

SSL プロファイル設定と VIP 適用

最後に、SSL プロファイルを設定し、Load Balancer の役割を担っている VIP (VirtualServer) に適用します。

以上で、「KOJOT-ACME」を使用しての「BIG-IP」環境への「SureHandsOn ACME」適用の手順は終了です。
あくまでも、設定手順の 1 例です。ご利用環境や運用状況に応じて設定してください。
その他、「FortiGate」や「A10 Thunder」などのアプライアンス製品の検証も進めています。
「BIG-IP」環境に限らず、証明書の管理を行っており証明書の有効期間短縮に備えたい、という方は、ぜひ当社にお問い合わせください

本記事に関連するリンク
次の記事へ >
【SureHandsOn ACME × A10 vThunder】A10 vThunder で実現するサーバー証明書の自動更新
最新 BLOG 記事
【SureHandsOn ACME × FortiGate】FortiGate で実現するサーバー証明書の自動更新
【SureHandsOn ACME × FortiGate】FortiGate で実現するサーバー証明書の自動更新
2025 年 10 月 30 日
【SureHandsOn ACME × A10 vThunder】A10 vThunder で実現するサーバー証明書の自動更新
【SureHandsOn ACME × A10 vThunder】A10 vThunder で実現するサーバー証明書の自動更新
2025 年 10 月 30 日
【SureHandsOn ACME × BIG-IP KOJOT-ACME】KOJOT-ACME で実現するサーバー証明書の自動更新
【SureHandsOn ACME × BIG-IP KOJOT-ACME】KOJOT-ACME で実現するサーバー証明書の自動更新
2025 年 09 月 18 日
最大有効期間が 2029 年に 47 日へ! 短縮化の背景と SSL/TLS サーバー証明書の課題と対策
最大有効期間が 2029 年に 47 日へ! 短縮化の背景と SSL/TLS サーバー証明書の課題と対策
2025 年 06 月 03 日
SSL/TLS サーバー証明書の審査状況詳細を管理画面上で確認できる機能を追加
SSL/TLS サーバー証明書の審査状況詳細を管理画面上で確認できる機能を追加
2025 年 02 月 10 日
「WHOIS の連絡先を使用するドメイン名使用権確認」廃止の議論について
「WHOIS の連絡先を使用するドメイン名使用権確認」廃止の議論について
2024 年 10 月 04 日
カテゴリ
CentOS 7 延長サポートサービス
デジタルトランスフォーメーションのための電子認証基盤 iTrust
iTrust SSL/TLS サーバー証明書