本文へスキップ
重要 SSL/TLS証明書 47日間ルール正式決定 — ACME自動更新の導入を推奨しております。 Phase 2(100日へ短縮)まで 306日
FujiSSL公式 よくある質問 サポート
300,000枚 累計発行
17,206社 利用中
19年 運営
24時間365日 自動発行
📂 47日ルール・自動更新
Q.

既存の手動運用からACME自動更新へ切り替えるにはどうしたらよいですか?

A. 回答

既存の手動運用から ACME 自動更新への切替えは、4 ステップで完了します。多くの場合、半日〜1 日程度の作業で、以降は完全自動運用に移行できます。本ページでは、具体的なコマンド例・設定例を交えながら手順を解説します。

🎯 3行でわかる切替え手順

  • サーバ環境に合わせて ACME クライアントを選定
  • FujiSSL.jp で ACME 対応プランを申込み、EAB 情報を取得
  • テスト発行 → 本番切替え。既存証明書は失効日まで併走可能

📊 切替えの全体像

STEP 内容 所要時間 担当
1 ACME クライアントの選定・インストール 30 分〜1 時間 サーバ管理者
2 FujiSSL で ACME 契約・EAB 情報取得 10〜30 分 申込担当者
3 クライアント設定・テスト発行 1〜2 時間 サーバ管理者
4 本番ドメインへの切替え 30 分〜1 時間 サーバ管理者

既存の手動運用証明書は有効期限まで継続使用可能です。ACME 移行による即時切替えではなく、自然な世代交代が可能です。

🛠 STEP 1:ACME クライアントの選定・インストール

サーバ環境に合わせて ACME クライアントを選びます。

環境別のおすすめクライアント

サーバ環境 推奨クライアント インストールコマンド
Linux(Apache / Nginx) certbot apt install certbot または dnf install certbot
Linux(共有・軽量環境) acme.sh curl https://get.acme.sh | sh
Windows / IIS win-acme 公式サイトからダウンロード
Caddy / Traefik 標準内蔵 追加インストール不要
Kubernetes cert-manager helm install cert-manager jetstack/cert-manager

インストール例:Ubuntu + Nginx

# certbot 本体と Nginx プラグインをインストール
sudo apt update
sudo apt install certbot python3-certbot-nginx

# バージョン確認
certbot --version

📝 STEP 2:FujiSSL で ACME 契約・EAB 情報取得

当グループ運営の FujiSSL.jp から ACME 対応プランをお申込みいただきます。

申込時に決めること

  • ブランド:FujiSSL(同社運営)または Sectigo(旧 Comodo)
  • 認証レベル:DV(個人・小規模)/ OV(企業)/ ワイルドカード / EV
  • 有効期間:1 年(47 日ルール開始まで)
  • ドメイン数:1 契約あたり 1 ドメインから

取得する情報(EAB 認証情報)

申込完了後、マイページから以下の EAB(External Account Binding)情報を取得します。

# 取得する 3 つの情報
ACME ディレクトリ URL:https://acme.fujissl.jp/acme/directory
KID(Key ID):XXXXXXXXXXXXXXXXXXXX
HMAC キー:YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
⚠️ EAB 情報の取扱い注意
EAB 情報はパスワードと同等の機密情報です。Git リポジトリへのコミット、Slack や Email での共有は厳禁。サーバ上では適切なファイルパーミッション(chmod 600)で保管してください。

🧪 STEP 3:クライアント設定・テスト発行

ACME クライアントに FujiSSL の認証情報を登録し、テスト用ドメインで動作確認を行います。

certbot の場合

# EAB 情報を登録してアカウント作成
sudo certbot register \
  --server https://acme.fujissl.jp/acme/directory \
  --eab-kid XXXXXXXXXXXXXXXXXXXX \
  --eab-hmac-key YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY \
  --email admin@example.com \
  --agree-tos

# テストドメインで証明書取得
sudo certbot certonly \
  --server https://acme.fujissl.jp/acme/directory \
  --webroot -w /var/www/html \
  -d test.example.com

acme.sh の場合

# デフォルトの CA を FujiSSL に設定
acme.sh --set-default-ca --server https://acme.fujissl.jp/acme/directory

# EAB 情報を登録
acme.sh --register-account \
  --server https://acme.fujissl.jp/acme/directory \
  --eab-kid XXXXXXXXXXXXXXXXXXXX \
  --eab-hmac-key YYYYYYYYYYYYYYYYYYYYYYYYYYYYYYYY

# テストドメインで証明書取得
acme.sh --issue -d test.example.com -w /var/www/html

動作確認のポイント

  • 証明書の発行者が FujiSSL CA または Sectigo になっているか
  • コモンネーム・SAN が想定通りか
  • 有効期限が想定通りか
  • 中間証明書(フルチェーン)が正しく取得できているか
# 取得した証明書の確認
openssl x509 -in /etc/letsencrypt/live/test.example.com/cert.pem -text -noout | head -30

🚀 STEP 4:本番ドメインへの切替え

テスト発行が成功したら、本番ドメインで証明書を取得します。

切替えの推奨手順

  1. 本番ドメインで証明書を取得

    STEP 3 と同じコマンドで、本番ドメインを指定して証明書を取得します。

    sudo certbot certonly \
  --server https://acme.fujissl.jp/acme/directory \
  --webroot -w /var/www/html \
  -d www.example.com -d example.com

  2. サーバ設定を新しい証明書のパスに変更

    Nginx / Apache の設定ファイルで、ssl_certificate のパスを ACME が出力する場所に変更します。

    # Nginx の場合
ssl_certificate     /etc/letsencrypt/live/www.example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/www.example.com/privkey.pem;

  3. 設定テスト・リロード

    設定エラーがないことを確認してからリロードします。

    sudo nginx -t  # 設定構文チェック
sudo systemctl reload nginx  # ダウンタイムなしリロード

  4. 自動更新の有効化

    certbot は標準で systemd timer / cron が登録されますが、念のため確認します。

    # 自動更新のドライラン(実際には更新しない)
sudo certbot renew --dry-run

# systemd timer の確認
systemctl list-timers | grep certbot
💡 既存証明書との併走運用
既存の手動運用証明書は、有効期限が切れるまでそのまま使い続けられます。ACME で取得した証明書に切り替えた瞬間、既存証明書は自然に使われなくなり、有効期限を迎えて自然消滅します。サービス停止リスクなく移行できます。

📋 切替え後のチェックリスト

  • SSL Labs SSL Test で A 以上の評価
  • ✅ ブラウザで「保護された通信」マークが表示される
  • ✅ 中間証明書チェーンが完全(フルチェーン)
  • certbot renew --dry-run が成功
  • ✅ 監視システム(Mackerel / Datadog / Zabbix 等)で証明書の更新を検知できる
  • ✅ 担当者の引き継ぎドキュメントを更新

🆘 トラブル時のチェックポイント

症状 確認ポイント
EAB 認証で「invalid」エラー KID / HMAC キーが正確か。コピペ時の空白混入に注意
ドメイン認証が失敗(http-01) /.well-known/acme-challenge/ へのアクセスがファイアウォール・WAF で阻害されていないか
ドメイン認証が失敗(dns-01) DNS TXT レコードの伝播完了を待つ(最大 5 分程度)
証明書取得後もブラウザで警告 サーバ設定の fullchain.pem が指定されているか(cert.pem 単独では中間証明書欠落)
自動更新が動かない systemctl status certbot.timer でタイマーが有効か確認

🤝 導入支援

ACME への切替えに関するご相談を承っています。

詳しい技術仕様は ACME 自動更新ガイド、対応ブランドの一覧は 対応証明書一覧 もご参照ください。

FujiSSL.jp で ACME 対応版を申し込む →

最終更新: 2026年5月13日

関連するFAQ

Q. ECC(楕円曲線暗号)証明書とは何ですか?RSAとの違いは? Q. ACMEプロトコルとは何ですか? Q. ACMEクライアントは何を使えばよいですか? Q. 47日ルールとは何ですか?SSL証明書の有効期間はいつから短縮されますか? Q. 当店で取扱う証明書のうち、ACME自動更新に対応しているのはどれですか?

47日ルール・自動更新のFAQをすべて見る →

このページで解決しない場合は

SSL証明書のお申込み、認証手続き、技術的なご相談まで、専門スタッフが丁寧にご対応します。

お問い合わせフォーム FAQ一覧に戻る

お電話でのご相談: 03-6712-6011(平日 10:30〜17:30)