Certificate as a Service (CaaS) 用 EAB クレデンシャル

外部アカウントバインディング(EAB)認証情報は、お客様のACMEクライアントとお客様のTrustico® Certificate as a Service (CaaS)を接続する安全な認証キーです。

この認証キーにより、お客様のサービスでは、認証されたユーザーのみが SSL Certificate を発行できるようになります。

EAB は ACME プロトコルの業界標準拡張であり、Trustico® のような認証局が ACME の自動化の利点を維持しながら有料サービスを提供することを可能にします。

お客様のEAB認証情報は、お客様のACMEクライアントソフトウェアとお客様のプリペイドTrustico®サービス間のブリッジとして機能し、手動による介入なしにSSL Certificateの自動発行と更新を可能にします。

EAB クレデンシャルパッケージ

Trustico® Certificate as a Service(CaaS)をご購入いただくと、4つの重要なコンポーネントを含む完全な認証情報パッケージをEメールでお送りします:

Trustico® ACMEアカウントID :すべてのアカウント管理、延長、サポートリクエストに使用されるお客様固有のサービス識別子です。このIDは将来のサービス管理に必要となりますので、大切に保管してください。

EAB Key ID :SSL Certificate のリクエストに使用するサービスアカウントを ACME サーバーに知らせる、お客様固有のアカウント ID です。

EAB MAC Key :サービスの利用が許可されていることを証明するセキュアな認証キー。この鍵は秘密にしておかなければならない。

ACME サーバ URL :SSL Certificate を要求し、管理するために ACME クライアントが接続する専用サーバのエンドポイント。

通常、Trustico® Certificate as a Service (CaaS)の有効化または更新時にのみ、この情報を電子メールで送信します。電子メールを紛失された場合は、弊社サポートチームまでご連絡ください。

EABクレデンシャルの仕組み

EAB クレデンシャルは、アカウント登録時に ACME クライアントを認証することで機能します。ACMEクライアントが初めて当社のサーバーに接続する際、お客様のEABキーIDとEAB MACキーを使用して、お客様の有料サービスへのアクセスが許可されていることを証明します。

認証されると、ACMEクライアントはお客様のTrustico® Certificate as a Service (CaaS)に含まれるドメインのSSL Certificateを要求することができます。

ACMEサーバーはドメインの所有権を自動的に検証し、数分以内にSSL Certificateを発行します。

EAB認証情報はサービス期間中有効であり、SSL証明書の継続的な自動更新が可能です。

複数のシステムでEAB認証情報を共有

Trustico® Certificate as a Service (CaaS)の主な利点の一つは、お客様のEAB証明書を複数のACMEクライアントやサーバーで共有できることです。つまり、1つのサービスで複数のシステムを保護するために同じ認証情報を使用することができます。

たとえば、本番サーバー、ステージング環境、ロードバランサー、開発システムのすべてを同じEAB認証情報で構成できます。各システムは、認証されたドメインの SSL Certificate を個別に要求し、更新することができます。

このクレデンシャル共有モデルにより、適切なクレデンシャル管理を通じてセキュリティを維持しながら、各サーバーごとに個別のサービスを購入する必要がなくなります。

ドメイン認証と無制限の SSL 証明書

お客様のEABクレデンシャルは、Trustico® Certificate as a Service (CaaS)を通じて購入した特定のドメインにリンクされています。ドメインが認証されると、そのドメインとドメインに含まれるバリエーションに対して無制限のSSL証明書を発行することができます。

これには、プライマリドメイン、wwwサブドメイン、ワイルドカードSSL Certificateでカバーされるサブドメインが含まれます。ACMEのクライアントは、必要なときにいつでも、追加費用なしで新しいSSL Certificateを要求することができます。

現在ご利用のサービス以外のドメインを保護する必要がある場合は、それらのドメイン用にTrustico® Certificate as a Service (CaaS)をご購入ください。

ACME クライアントの設定

ほとんどの一般的な ACME クライアントは、コマンドラインパラメータまたは設定ファイルによって EAB クレデンシャルをサポートしています。正確な設定手順はクライアントによって異なりますが、中核となる情報は同じです。

Certbot の場合 :--eab-kid および --eab-hmac-key パラメータと --server を使用して、アカウント登録時に ACME サーバ URL を指定します。

acme.sh の場合 :環境変数 ACME_EAB_KID と ACME_EAB_HMAC_KEY を設定し、-server パラメータでサーバー URL を指定します。

EAB 設定オプションについては、クライアントのマニュアルを参照してください。すべての標準 ACME クライアントは、同様のメカニズムで EAB クレデンシャルをサポートします。

EAB クレデンシャルのセキュリティベストプラクティス

EAB クレデンシャルは、Trustico® Certificate as a Service (CaaS) へのアクセスを提供するものであり、API キーやパスワードと同じセキュリティ基準で保護する必要があります。

EAB MAC キーは環境変数または安全な認証情報管理システムに保存してください。これらのクレデンシャルをコードリポジトリ、設定ファイル、暗号化されていないストレージに決してコミットしないでください。

EAB キー ID の機密性は低いですが、機密情報として扱う必要があります。どちらのクレデンシャルも、サービスへのアクセスを提供するものであるため、適切に保護する必要があります。

EAB 証明書へのアクセス権を持つシステムを定期的に監査し、SSL 証明書へのアクセスが不要となった退役したサーバーや開発環境からアクセス権を削除する。

EAB 認証のトラブルシューティング

ACME クライアントが EAB 認証情報の認証に失敗する場合は、認証情報の電子メールに記載されている ACME サーバ URL を正しく使用していることを確認します。異なるサーバ URL を使用すると、認証に失敗します。

EAB キー ID と EAB MAC キーが、空白や改行を追加せずに、提供されたとおりに正確にコピーされていることを確認します。これらの認証情報は大文字と小文字が区別されるため、正確に一致する必要があります。

Trustico® Certificate as a Service (CaaS) が有効で、有効期限が切れていないことを確認します。有効期限が切れたサービスは、更新されるまで EAB 認証の試行を拒否します。

問題が解決しない場合は、Trustico® ACME アカウント ID を添えて弊社サポートチームまでご連絡ください。

EAB クレデンシャルによるサービスの管理

Trustico® ACMEアカウントIDは、SSL Certificate発行以外のすべてのサービス管理作業に不可欠です。サービスの延長、サポートの依頼、ウェブサイトやAPIを通じたアカウント管理には、このIDを使用してください。

SSL証明書の継続的な機能を確保するために、サービス延長を期限前に購入することができます。EAB認証情報は、サービス更新後も再設定を必要とせず、シームレスに機能し続けます。

Trustico®のACMEアカウントIDはサービス管理タスクのために簡単にアクセスできるようにしておきますが、EAB MAC Keyは秘密にしておき、ACMEクライアント設定にのみ使用することを忘れないでください。

EAB クレデンシャルのライフサイクル

EABクレデンシャルはTrustico® Certificate as a Service (CaaS)の有効期間中有効です。サービスの有効期限が切れると自動的に無効となり、SSL Certificate の不正発行を防止します。

サービス延長の際も、ACMEクライアントの設定を変更することなく、既存のEAB証明書は引き続きご利用いただけます。これにより、SSL Certificate のシームレスな運用が保証されます。

セキュリティ上の理由で新しい EAB クレデンシャルが必要な場合は、Trustico® ACME アカウント ID を添えて弊社サポートチームまでご連絡いただき、クレデンシャルローテーションオプションについてご相談ください。

EABセットアップのヘルプ

ACMEクライアントをEABクレデンシャルで設定するための一般的な情報については、弊社サポートチームがお手伝いいたします。

サポートに連絡する際は、注文番号と Trustico® ACME Account ID を必ず明記してください。

EABのMACキーはサポートとのやり取りで決して共有しないでください。

サービスの継続と更新

Trustico® Certificate as a Service (CaaS) による SSL Certificate の自動インストールと管理は、お客様の有料サービスが有効な間のみシームレスに動作します。

ACMEクライアントは、SSL証明書の自動更新を継続し、お客様のサービス契約が有効である限り、継続的な保護を維持します。

SSL証明書の管理を中断することなく、真にシームレスに行うためには、Trustico® Certificate as a Service (CaaS)の有効期限が切れる前に更新を行うか、自動課金の設定を検討することが不可欠です。

サービスの有効期限が切れると、ACMEクライアントはSSL Certificateを更新できなくなり、SSL Certificateが失効し、サービスが復旧するまでウェブサイトがダウンする可能性があります。

Sectigo® CaaS DV シングルサイトとワイルドカードの比較

Certificate as a Service (CaaS)は、APIを通じて自動化されたSSL証明書管理を提供します。各ドメインを自動化するシングルサイト、またはAPIによる証明書のライフサイクル管理でサブドメインを包括的にカバーするワイルドカードをお選びください。

特徴 Sectigo® CaaS DV シングルサイト Sectigo® CaaS DV + ワイルドカード
サービスタイプ サービスとしての証明書(CaaS) サービスとしての証明書(CaaS)
カバレッジ 単一ドメインのみ 無制限サブドメイン
対象ドメイン www.example.com + example.com *.example.com + example.com
オートメーション・レベル 完全自動化 完全自動化
APIアクセス 完全なRESTful API 完全なRESTful API
検証レベル ドメイン・バリデーション(DV) ドメイン・バリデーション(DV)
検証方法 電子メール / DNS / HTTP / HTTPS 電子メール / DNS / HTTP / HTTPS
発行時間 非常に速い!数分以内に発行 非常に速い!数分以内に発行
自動更新 自動更新が可能 自動更新が可能
証明書管理 集中ダッシュボード 集中ダッシュボード
統合オプション API、Webhooks、SDK API、Webhooks、SDK
こんな方に最適 SaaSプラットフォーム、シングル・ドメイン・アプリケーション マルチテナント型SaaS、複雑なインフラストラクチャ
スケーラビリティ ドメイン単位のスケーリング 自動サブドメインカバレッジ
保証 500,000ドル 500,000ドル
暗号化強度 256ビットSSL暗号化 256ビットSSL暗号化
ブラウザの互換性 99.9% ブラウザの信頼 99.9% ブラウザの信頼
デュアルドメイン ルートドメインSAN無料! ルートドメインSAN無料!
再発行 無制限 無制限
配備オプション クラウド、オンプレミス、ハイブリッド クラウド、オンプレミス、ハイブリッド
インフォメーションページ 製品情報ページ🔗 🔗 🔗製品情報ページ 製品情報ページ🔗 🔗 🔗製品情報ページ
トラスティコ価格
購入オプション 即座に - 今すぐ購入🔗 ←クリック 即座に - 今すぐ購入🔗 ←クリック

CaaS製品から選ぶ

Trustico® Certificate as a Service (CaaS)に対応したSSL証明書製品からお選びいただけます。