Let's Encrypt™ の証明機関 (CA)

Let's Encrypt™ CAを使用して、パブリックドメイン用の信頼できる証明書を作成できます。Let's Encrypt CA では、証明書の作成、署名、検証、更新が自動的に行われます。X.509 証明書が発行されます。

Let's Encrypt 証明書の作成

Let's Encrypt 証明書を作成するには、Let's Encrypt CA に登録する必要があります。登録後、Let's Encrypt の証明書署名要求 (CSR) を生成できるようになります。Let's Encrypt CA が CSR を検証した後、その証明書は有効かつ信頼できるものとして、SFOS で使用できるようになります。

Let's Encrypt CA は、CSR を検証するためにファイアウォールと通信する必要があります。この通信のために、ファイアウォール側で一時的に WAF ルールが作成されます。CA が CSR を検証した後、このルールは削除されます。そのため、CSR の検証中は、「ルールとポリシー」ページに WAF ルールが表示される可能性があります。

制限

リモートアクセス VPN、サイト間 VPN、および Chromebook SSO 認証サービスでは、Let's Encrypt 証明書は使用できません。
Let's Encrypt 証明書は IPv4 でのみサポートされています。
Let's Encrypt CA が CSR を検証している間、WAF ルールで保護されている Web アプリケーションをファイアウォール経由で利用できなくなります。

Let's Encrypt CA への登録

登録するには、次の手順を実行します。

「証明書 > Let's Encrypt」に移動します。
Let's Encrypt の利用者規約およびその他の利用条件をお読みください。Policy and Legal Repository (ポリシーおよび法務のリポジトリ) をご覧ください。
「アカウントの登録」をクリックします。

「アカウントの登録」をクリックすると、Let's Encrypt の利用者規約に同意したことになります。

利用者規約が変更された場合、Let's Encrypt CA の利用を継続するには、再度「アカウントの登録」をクリックする必要があります。再登録しないと、既存の証明書は更新されず、新しい証明書も作成できなくなります。

利用者規約が変更された場合、以下の方法で通知されます。
- 管理者にメールで通知が届きます。
- コントロールセンターにアラートが表示されます。

登録を解除するには、「アカウントの登録解除」をクリックします。

Let's Encrypt 証明書の追加

Let's Encrypt 証明書を追加するには、Let's Encrypt の証明書要求を参照してください。

証明書の自動更新

Let's Encrypt 証明書は、90日間有効です。証明書の有効期限が 30 日を切ると、ファイアウォールから Let's Encrypt CA に対し、証明書の更新要求が送信されます。Let's Encrypt CA はそれを受け、証明書を自動的に更新します。

Let's Encrypt CA の登録を解除すると、既存の証明書は更新されなくなります。