サポート › CSR の作成方法 › certbot(ACME自動取得)
certbot で CSR・証明書を一発取得
ACME クライアント certbot を使えば、CSR の手動作成も、SSL ストアの管理画面への貼り付けも不要。
証明書の取得から更新までを完全自動化できます。
🛠️ certbot のインストール
OS / ディストリビューション別のインストール方法:
| OS | インストールコマンド |
|---|---|
| Ubuntu / Debian | sudo apt install certbot python3-certbot-nginx |
| RHEL / Alma / Rocky | sudo dnf install certbot python3-certbot-nginx |
| Amazon Linux 2023 | sudo dnf install certbot python3-certbot-nginx |
| macOS(Homebrew) | brew install certbot |
Apache の場合は python3-certbot-apache を選択してください。
📋 FujiSSL の証明書を取得する手順
-
ACME アカウントの登録
FujiSSL.jp で ACME ライセンスを契約後、メールで EAB(External Account Binding)認証情報が届きます。
$ sudo certbot register --server https://acme.fujissl.jp/acme/directory --eab-kid <あなたのKey ID> --eab-hmac-key <あなたのHMAC Key> --email you@example.com --agree-tos -
証明書の取得(Nginx・自動設定モード)
--nginxプラグインを使えば、Nginx の設定ファイル編集まで自動化されます。$ sudo certbot --nginx --server https://acme.fujissl.jp/acme/directory -d example.com -d www.example.comこれだけで以下が自動実行されます:
- ✅ 秘密鍵の生成
- ✅ CSR の生成
- ✅ FujiSSL から証明書を取得
- ✅ Nginx の設定ファイル更新
- ✅ Nginx の再読み込み
- ✅ 自動更新スケジュールの登録
-
証明書の取得(Apache・自動設定モード)
$ sudo certbot --apache --server https://acme.fujissl.jp/acme/directory -d example.com -d www.example.com -
証明書の取得(standalone モード)
Web サーバ稼働中の場合は
--webroot、停止可能な場合は--standalone。# standalone モード(Webサーバを一時停止) $ sudo certbot certonly --standalone --server https://acme.fujissl.jp/acme/directory -d example.com # webroot モード(Webサーバ稼働中のまま) $ sudo certbot certonly --webroot -w /var/www/html --server https://acme.fujissl.jp/acme/directory -d example.com -
ワイルドカード証明書の取得(DNS認証)
ワイルドカード証明書は DNS 認証が必須です。
--manualモードでDNSレコードを手動追加します。$ sudo certbot certonly --manual --preferred-challenges dns --server https://acme.fujissl.jp/acme/directory -d "*.example.com" -d example.com表示される TXT レコードを DNS に追加し、Enter を押すと検証が実行されます。
💡 自動化したい場合 DNS プロバイダー(Route 53、Cloudflare、Google Cloud DNS など)の API キーを使った自動DNS認証も可能です。certbot 詳細ガイド をご参照ください。 -
自動更新の確認
certbot は自動的に systemd タイマー(または cron)に登録され、有効期限の30日前から自動更新します。
# 自動更新のテスト(実際には更新しない) $ sudo certbot renew --dry-run # systemd タイマーの確認 $ sudo systemctl list-timers | grep certbot
🗂️ 証明書の保存場所
certbot が取得した証明書は以下の場所に保存されます:
| ファイル | パス | 用途 |
|---|---|---|
fullchain.pem | /etc/letsencrypt/live/example.com/ | サーバ証明書 + 中間CA証明書(Apache/Nginx で使用) |
privkey.pem | /etc/letsencrypt/live/example.com/ | 秘密鍵 |
cert.pem | /etc/letsencrypt/live/example.com/ | サーバ証明書のみ |
chain.pem | /etc/letsencrypt/live/example.com/ | 中間CA証明書のみ |
fullchain.pem(サーバ証明書 + 中間CA証明書)を指定するのが標準です。chain.pem は古い Apache(2.4.8未満)で別途指定する場合のみ使用します。
⚙️ Nginx 設定例
server {
listen 443 ssl http2;
server_name example.com www.example.com;
ssl_certificate /etc/letsencrypt/live/example.com/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/example.com/privkey.pem;
# 推奨: TLS 1.2 / 1.3 のみ
ssl_protocols TLSv1.2 TLSv1.3;
ssl_prefer_server_ciphers off;
# HSTS(推奨)
add_header Strict-Transport-Security "max-age=31536000; includeSubDomains" always;
# その他の設定
root /var/www/html;
index index.html;
}
# HTTP → HTTPS リダイレクト
server {
listen 80;
server_name example.com www.example.com;
return 301 https://$host$request_uri;
}❓ よくあるご質問
Q. Let's Encrypt と FujiSSL の ACME の違いは?
技術的には同じ ACME プロトコルですが、以下の違いがあります:
- Let's Encrypt: 完全無料の DV 証明書。OV/EV は提供なし。
- FujiSSL ACME: 有料だが OV/EV にも対応。組織情報を証明書に明記でき、フィッシング対策に有効。商用サイト・法人サイトに最適。
Q. ACME ライセンスはどこで取得しますか?
当社運営の FujiSSL.jp から直接お申し込みください。1契約から導入可能で、契約後すぐに EAB 認証情報が発行されます。詳しくは ACME自動更新ガイド をご覧ください。
Q. 既に certbot で Let's Encrypt を使っています。FujiSSL に乗り換えられますか?
はい、可能です。--server オプションで ACME サーバを切り替えるだけで乗り換えられます。証明書の保存場所も /etc/letsencrypt/ がそのまま使えます。乗り換え後、自動更新も継続して機能します。
Q. 古い certbot バージョンでも使えますか?
certbot 1.21 以降を推奨します。それ以前のバージョンでは EAB(External Account Binding)非対応のため、FujiSSL の ACME で必要な認証が動作しません。certbot --version で確認し、必要に応じてアップグレードしてください。
Q. OV 証明書でも ACME で取得できますか?
はい、可能です。FujiSSL は OV 証明書も ACME ネイティブ対応している業界でも稀な認証局で、同等の信頼性(OV)を業界最安水準で完全自動運用できます。組織審査は初回契約時のみ行われ、以降の更新は完全自動化されます。