SSLならセクティゴ・コモドのEV・企業・ドメイン認証

Sectigo CaaSを利用したACMEのライフサイクルについて、認証局(CA)とお客様(ユーザー)の役割分担を整理しました。

ACMEを利用することで、従来の手動申請(CSR作成やドメイン認証)が、一度の設定で「全自動」に変わる点が最大のメリットです。

※ACME証明書ライフサイクル・ワークフロー

このプロセスは、大きく分けて「準備(手動)」と「運用(自動)」の2つのフェーズに分かれます。

1. サブスクリプション・入金フェーズ(手動・ご契約)

	入金を確認後、ACME専用のEAB情報(KIDとHMAC Key)を発行します。また、企業認証レベル以上の場合、組織審査を受けます、お客様のドメインを「発行許可リスト」に登録します。
	対象CaaSの注文(サブスク契約)を行い、マイページからEAB情報を取得します。

2. ACME登録フェーズ(手動・初期設定)

	ACMEクライアント側で登録コマンド(例:certbot register等) を実行します。このときに弊社から払出されたEAB情報(ID及びキー)を入力することで、サーバの秘密鍵とセクティゴ(CA側)のACMEのアカウントが紐付けられます。
	登録コマンドでお客様から送信されてきたEAB(ID・キー)を検証し、正当な契約者としてACMEアカウントを作成・承認します

3. 証明書発行フェーズ(初回自動実行)

	ACMEクライアントで発行申請(例:certbot certonly 等)コマンドを実行します。 ドメインチェック方式を指定すると セクティゴ認証局側はご指定の方式のチャレンジ(DNSやHTTP)に応答します。 設置アクションの指定 自動取得された証明書がアプリケーションサーバ(Apache/Nginx/IIS/Tomcat/postfix 等)に適用(多くの場合自動)させる設定をします
	チャレンジが成功したことを確認し、即座に署名済み証明書をダウンロードさせます。

4. 自動更新設定フェーズ(完全自動)

	cron や systemd timer で certbot renew を定期実行するよう設定します(通常インストール時に自動設定されます)
	更新リクエストの中から有効期限が近づいたオーダを検知し、再度ドメインチェック(チャレンジ)を行った上で、新しい証明書を発行

※役割分担まとめ表

フェーズ	認証局(CA)の役割	お客様の役割
1. ご契約	EAB情報の払い出し・ドメイン事前審査	お支払・EAB情報をマイページから取得
2. 登録	ACMEアカウントの認証・作成	Certbot等ACMEクライアントへのEAB情報入力(初回のみ)
3. 発行	チャレンジ検証・証明書の発行	証明書取得コマンドの実行・サーバ設定
4. 更新	定期的な更新リクエストの受付	更新スケジュールの確認(基本放置でOK)

ポイント: 商用CAの場合、一度「2」の登録まで完了してしまえば、自動運用できます。最大の違いは、発行枚数の制限(レート制限)がないことと証明書に補償金つくことです