ACME自動更新ガイド

47日ルール移行ロードマップ

2027-03-15 まで

0 3 0 6 日

次の節目: Phase 2（100日へ短縮）

Phase 1

199日へ短縮

✓ 移行済み

2026-03-15

Phase 2

100日へ短縮

あと 306 日

2027-03-15

Phase 3

47日へ短縮（最終）

あと 1,037 日

2029-03-15

⚡

ACME自動更新でご利用の方へ

ACME自動更新は別サイト「FujiSSL」でのお取り扱いとなります

2026年5月現在、当店（SSLストア）でのACME対応商品は準備中です。今すぐACME自動更新でお使いいただくには、当社運営の FujiSSL でアカウント作成のうえご利用いただけます。

FujiSSL へ → SSLストア経由で見積依頼

WHY ACMEなぜ、いまACMEが必要なのか

01

有効期間が47日に短縮される

CA/Browser Forumの正式決定により、2026年3月から段階的に証明書の有効期間が短縮されます。

2026.03.15〜	最大199日
2027.03.15〜	最大100日
2029.03.15〜	最大47日

02

手動運用は事実上不可能になる

47日ごとの手動更新は人間の業務として現実的ではありません。年8回以上の更新作業、CSR生成、ファイル配置、サーバー再起動を自前でこなすのは、運用コストとして許容できません。

加えて、更新漏れによるサイトダウンのリスクも倍増。1度のミスで顧客信頼を失う事故につながります。

03

ACMEで完全自動運用が可能

ACMEプロトコル（RFC 8555）は、証明書の発行・更新・失効を機械同士で自動的に行うための業界標準です。一度設定すれば、その後の運用は完全自動。47日サイクルでも人間の介入は不要です。

FujiSSL は国内で初期からACMEに対応した認証局の一つ。OV認証クラスでもACME自動更新を利用できる、世界でも稀な実装です。

SETUP GUIDEセットアップガイド

サポートに相談 →

acme.sh による自動更新セットアップ

acme.sh は Pure Bash で書かれた軽量なACMEクライアントです。Linux/macOS/BSD系の各種サーバで動作し、依存関係も最小限。FujiSSLとの相性が良く、もっとも手軽にセットアップできます。

STEP 1：acme.sh のインストール

$ curl https://get.acme.sh | sh -s email=you@example.com

STEP 2：FujiSSL CAアカウント登録

$ acme.sh --register-account --server fujissl

※ FujiSSLとのアカウント連携が必要です。事前に当店から発行された認証情報をご利用ください。

STEP 3：証明書の発行

$ acme.sh --issue -d example.com -w /var/www/html --server fujissl

これだけです。発行された証明書は ~/.acme.sh/example.com/ に格納されます。

STEP 4：Webサーバへのインストール

$ acme.sh --install-cert -d example.com \
  --key-file       /etc/nginx/ssl/example.com.key \
  --fullchain-file /etc/nginx/ssl/example.com.crt \
  --reload-cmd     "service nginx reload"

STEP 5：cron による自動更新（自動設定）

acme.sh はインストール時に cron に自動登録され、毎日深夜に証明書の有効期限を確認します。47日サイクル内であれば自動的に更新と再配置を実行します。

✓ ここまでで完了。今後の更新作業は完全自動になります。

certbot による自動更新セットアップ

certbot は多くのLinuxディストリビューションで標準パッケージとして提供されている定番のACMEクライアントです。エンタープライズ環境での採用例も多数あります。

STEP 1：certbot のインストール（Ubuntu/Debian例）

$ sudo apt update
$ sudo apt install certbot python3-certbot-nginx

STEP 2：FujiSSL ACMEサーバの設定

$ sudo certbot register \
  --server https://acme.fujissl.com/directory \
  --email you@example.com \
  --eab-kid YOUR_KID \
  --eab-hmac-key YOUR_HMAC_KEY

EAB (External Account Binding) の認証情報は当店より発行いたします。

STEP 3：証明書の発行と自動Web設定

$ sudo certbot --nginx -d example.com \
  --server https://acme.fujissl.com/directory

STEP 4：自動更新の確認

$ sudo systemctl status certbot.timer
$ sudo certbot renew --dry-run

certbot.timer により1日2回の更新確認が自動実行されます。

win-acme による自動更新セットアップ（Windows IIS）

win-acme はWindows Server / IIS環境向けのACMEクライアント。GUIとCLIの両方をサポートし、IISのバインディングを自動更新できます。

STEP 1：win-acme のダウンロード

公式サイトから最新版をダウンロード、任意のフォルダ（例：C:\win-acme\）に展開します。

STEP 2：管理者権限で起動

> wacs.exe

対話メニューが表示されます。

STEP 3：FujiSSL ACMEサーバを指定

メニューから「Manage renewals → Create with options」を選択し、ACMEサーバURLとして以下を指定：

https://acme.fujissl.com/directory

STEP 4：IISバインディングと自動更新の選択

対話形式でIISサイトを選択すると、証明書の発行・配置・バインディング設定が一括実行されます。タスクスケジューラへの自動更新登録も同時に行われます。

Terraform による IaC 運用

大規模インフラやクラウド環境では、証明書もコードで管理する IaC (Infrastructure as Code) アプローチが有効です。Terraformのacmeプロバイダーを使うことで、Pull Request → Merge で証明書発行・更新を実現できます。

STEP 1：プロバイダー設定

terraform {
  required_providers {
    acme = {
      source  = "vancluever/acme"
      version = "~> 2.0"
    }
  }
}

provider "acme" {
  server_url = "https://acme.fujissl.com/directory"
}

STEP 2：アカウントリソース

resource "acme_registration" "main" {
  account_key_pem = tls_private_key.account.private_key_pem
  email_address   = "ops@example.com"
  external_account_binding {
    key_id      = var.fujissl_kid
    hmac_base64 = var.fujissl_hmac
  }
}

STEP 3：証明書リソース

resource "acme_certificate" "web" {
  account_key_pem = acme_registration.main.account_key_pem
  common_name     = "example.com"
  subject_alternative_names = ["www.example.com"]

  dns_challenge {
    provider = "route53"
  }
}

STEP 4：apply

$ terraform plan
$ terraform apply

あとは CI/CD パイプラインで terraform apply をスケジュール実行すれば、証明書も完全にコード管理になります。

COMPATIBILITYブランド別 ACME対応状況

ブランド	DV	OV	EV	備考
FujiSSL	✓	✓	—	OV対応は国内で稀有・47日ルール時代の本命
Sectigo	✓	✓	—	グローバル運用に強い
Comodo	✓	—	—	低価格・ベーシックなDV運用に
DigiCert	—	—	—	エンタープライズAPIによる連携可（要相談）
GeoTrust	—	—	—	従来通り手動更新／API連携が中心
RapidSSL	—	—	—	シンプルな手動運用向け

※ 2026年5月時点の情報です。各ブランドの仕様は随時更新される可能性があります。

FAQよくあるご質問

Q. ACMEで発行した証明書も、通常の証明書と同等の信頼性がありますか？

はい、まったく同等です。ACMEは証明書発行プロトコル（自動化の仕組み）であり、発行される証明書そのものは通常のSSL/TLS証明書と完全に同一です。CA（認証局）のルート証明書・中間証明書も同じものが使われ、ブラウザの信頼チェーンも変わりません。

Q. すでに手動運用している場合、ACMEに移行できますか？

可能です。現在お使いの証明書の有効期限が切れる前に、ACMEクライアントをセットアップしておけば、次回の更新からACME経由に切り替えられます。乗り換え時の停止時間はありません。乗り換え手順は当店サポートでもご案内しています。

Q. ファイアウォール内のサーバ（外部からアクセスできない環境）でも使えますか？

使えます。ACMEのドメイン認証には HTTP-01（外部からのアクセスが必要）と DNS-01（DNSレコードで認証）の2方式があり、内部サーバの場合は DNS-01 を選択すれば外部公開なしで証明書を取得できます。

Q. OV/EV証明書でも自動更新できますか？

はい、できます。FujiSSL では DV だけでなく OV（企業認証）・EV（最高ランク） の証明書も ACME による自動更新に対応しています。これは業界でも数少ない対応で、ブランドイメージや法人としての信頼性を維持したまま、47日ルール時代の運用負荷を解消できます。OV/EVは初回の組織審査が必要ですが、一度認証されれば以降の更新は自動です。

Q. 自社で運用が難しい場合、代行してもらえますか？

はい。当店ではインストール代行サービスを提供しております。ACME環境の初期構築、各種クライアント設定、cron/タスクスケジューラ登録までを一括して代行いたします。料金は11,000円（税込）からとなります。

⚡