Let's Encrypt™ の証明機関 (CA)
Let's Encrypt™ CAを使用して、パブリックドメイン用の信頼できる証明書を作成できます。Let's Encrypt CA では、証明書の作成、署名、検証、更新が自動的に行われます。X.509 証明書が発行されます。
Let's Encrypt 証明書の作成
Let's Encrypt 証明書を作成するには、Let's Encrypt CA に登録する必要があります。登録後、Let's Encrypt の証明書署名要求 (CSR) を生成できるようになります。Let's Encrypt CA が CSR を検証した後、その証明書は有効かつ信頼できるものとして、SFOS で使用できるようになります。
Let's Encrypt CA は、CSR を検証するためにファイアウォールと通信する必要があります。この通信のために、ファイアウォール側で一時的に WAF ルールが作成されます。CA が CSR を検証した後、このルールは削除されます。そのため、CSR の検証中は、「ルールとポリシー」ページに WAF ルールが表示される可能性があります。
制限
- リモートアクセス VPN、サイト間 VPN、および Chromebook SSO 認証サービスでは、Let's Encrypt 証明書は使用できません。
- Let's Encrypt 証明書は IPv4 でのみサポートされています。
- Let's Encrypt CA が CSR を検証している間、WAF ルールで保護されている Web アプリケーションをファイアウォール経由で利用できなくなります。
Let's Encrypt CA への登録
登録するには、次の手順を実行します。
- 「証明書 > Let's Encrypt」に移動します。
- Let's Encrypt の利用者規約およびその他の利用条件をお読みください。Policy and Legal Repository (ポリシーおよび法務のリポジトリ) をご覧ください。
-
「アカウントの登録」をクリックします。
「アカウントの登録」をクリックすると、Let's Encrypt の利用者規約に同意したことになります。
利用者規約が変更された場合、Let's Encrypt CA の利用を継続するには、再度「アカウントの登録」をクリックする必要があります。再登録しないと、既存の証明書は更新されず、新しい証明書も作成できなくなります。
利用者規約が変更された場合、以下の方法で通知されます。
- 管理者にメールで通知が届きます。
- コントロールセンターにアラートが表示されます。
登録を解除するには、「アカウントの登録解除」をクリックします。
Let's Encrypt 証明書の追加
Let's Encrypt 証明書を追加するには、Let's Encrypt の証明書要求を参照してください。
証明書の自動更新
Let's Encrypt 証明書は、90日間有効です。証明書の有効期限が 30 日を切ると、ファイアウォールから Let's Encrypt CA に対し、証明書の更新要求が送信されます。Let's Encrypt CA はそれを受け、証明書を自動的に更新します。
Let's Encrypt CA の登録を解除すると、既存の証明書は更新されなくなります。
警告
アーリー アクセス プログラム (EAP) において動的 IP アドレスを使って作成された Let's Encrypt 証明書は、一般提供 (GA) 版で自動的に更新されない可能性があります。EAP で作成した証明書を削除して、再度作成してください。
Let's Encrypt は Internet Security Research Group の商標です。無断転載は禁じられています。