[Atlas][ACME]IIS + simple-acme（新規、自動更新）

本ページでは、Windows Server 2022のIIS10でsimple-acmeを利用したサーバ証明書のインストールおよび自動更新の手順をご紹介いたします。

1.simple-acmeのインストール方法

1. https://simple-acme.com/にアクセスし、画面右上の「Download」をクリックしご利用の環境にダウンロードします。

   

2. ダウンロードが完了したら、ダウンロードしたファイルを右クリックし「すべて展開」から任意のフォルダに展開してください。

   
   

3. 指定したフォルダに、ファイルが展開されます。

   

4. 展開されたフォルダ内のファイル「settings_default（.json）」をテキスト形式で開き、以下の項目のURLを下記指定のURLに編集し保存してください。

   https://emea.acme.atlas.globalsign.com/directory

   

    "Acme": {
       "DefaultBaseUri": "https://acme-v02.api.letsencrypt.org/",
       "DefaultBaseUriTest": "https://acme-staging-v02.api.letsencrypt.org/",
       "DefaultBaseUriImport": "https://acme-v01.api.letsencrypt.org/",
   

   下記のように変更します。

   

    "Acme": {
   　"DefaultBaseUri": "https://emea.acme.atlas.globalsign.com/directory",
       "DefaultBaseUriTest": "https://emea.acme.atlas.globalsign.com/directory",
       "DefaultBaseUriImport": "https://emea.acme.atlas.globalsign.com/directory",
   

   

    
   """Csr"": {
     ""DefaultCsr"": null,
     ""Rsa"": {
     ""KeyBits"": 3072,
     ""SignatureAlgorithm"": ""SHA512withRSA""" 
   

   下記のように変更します。

   

     
    """Csr"": {
     ""DefaultCsr"": null,
     ""Rsa"": {
      ""KeyBits"": 2048,
      ""SignatureAlgorithm"": ""SHA256withRSA"""
    

2.証明書の発行とバインド

1. 展開したフォルダ内にある「wacs.exe」を右クリックし「管理者として実行」をクリックします。

   

2. WindowsのSmartScreenが表示されますので、「実行」ボタンをクリックします。
   ※動作や安全性を保証するものではございません。ご理解のうえご利用ください。

   

3. simple-acmeを実行するコマンドプロンプトウィンドウが表示されます。
   ※実際の内容は画像と一部異なる場合があります。

   

   ※初回起動時はsimple-acmeでの証明書未発行の為、renewal系のメニューはグレーアウトしています。

4. 以下メニューが表示されますので、新規作成の値「n(N)」を入力し「Enter」キーを押下します。

    N: Create certificate (default settings)
    M: Create certificate (full options)
    R: Run renewals (0 currently due)
    A: Manage renewals (1 total)
    O: More options...
    Q: Quit
   

   

5. ウェブサイト（ホスト）をスキャンし自動選択されるため、そのまま「Enter」キーを押下します。

   

6. IIS上で割り当てているホスト名が自動的に選択されるため、「y（Y）」を入力し「Enter」キーを押下します。 ※複数のホスト名が存在する場合、証明書を割り当てたい数字を選択してください。

   

7. 「Globalsign_Subscriber_Agreement（利用約款）」を確認し、同意をする必要があるため、下記どちらも「y（Y）」を入力してください。

   

    Open in default application? (y/n*) - yes
    Do you agree with the terms? (y*/n) - yes
   

   ※自動的にブラウザが立ち上がり、利用約款が表示されます。

8. 利用約款への同意後、「Key identifier」と「key（base64url encoded）」が求められるため、下記手順にてatlasポータルから取得した[KeyID]と[ACME MAC]を入力してください。

   「Key identifier」＝　[KeyID]
   「key（base64url encoded）」＝[ACME MAC]
   

   API-KEYとACMEMACの取得方法
   API Credentialsの取得方法について ACME MACの取得方法について

   

9. 各key情報の入力後、正常にインストールされたレスポンスが表示されれば完了です。

   

10. IISマネージャーからバインドやタスクスケジューラーの設定が行われているかご確認ください。

    
    

    ※自動更新はデフォルトでは"毎日""9時"の設定となっているため、任意の日時にご設定ください。

FAQ

Ｑ. 証明書の発行時にエラーが発生します。

以下をご確認ください。
・サーバにホスト名やグローバルIPアドレスが割り振られているか。
原因がご不明の場合は、エラー時のレスポンスを添付のうえ、サポート窓口にお問合せください。

Ｑ. [Error requesting certificate]というエラーが表示され、証明書が発行できません。

一度紐づけた各Key情報を削除し、証明書のリクエストをやり直してください。

simple-acmeに紐づいた各Key情報の保管場所について

デフォルト保管場所

C:\ProgramData\simple-acme\emea.acme.atlas.globalsign.comdirectory

以下のファイルを削除することで、登録済みのKey情報を削除できます。

・Registration_v2
・Signer_v2

手動更新

緊急で証明書の入れ替えや、万が一自動更新が行われない場合には手動更新をご利用ください。
※大量の証明書発行が継続して行われた場合、サーバー側で申請を制限する場合があります。

1. 「wacs.exe」を右クリックし「管理者として実行」をクリックします。

   

2.  更新「R: Run renewals (0 currently due)」メニューの「a（A）」を入力し「Enter」キーを押下します。

   

3. 続いて表示されたメニューの「 T: Run the renewal (force, no cache)」を実行するため「t（T）」を入力し「Enter」キーを押下します。

   

4. 「Renewal for [IIS] (any site), (any host) succeeded」のレスポンスが表示されれば成功です。
   ※「succeeded with errors」のように一部エラーが発生する場合もありますが、証明書のご利用に影響はありません。