CA/Browser Forum により、SSL/TLS サーバ証明書の有効期限は段階的に短縮される流れにあります。 有効期限が短くなるほど更新頻度が上がり、手動更新では運用負荷と更新漏れリスクが増大します。 本記事では NetScaler を用いた更新自動化の考え方と、実現手段(ACME と Zero-Touch)を整理します。
1. 概要、影響と対策
概要
- CA/Browser Forum は、証明書の有効期限を段階的に短縮する方針を決議しています。
- 2029年までに最大 47日へ短縮される計画が示されています。
影響
- 証明書更新の頻度が増え、更新漏れリスクが高まります。
- 手動更新の限界により、運用負荷が増大します。
対策
- 認証局と連携し、証明書の更新を自動化します。
- 更新した証明書を機器へ自動反映します。
2. 解決策
- NetScaler 単体では、認証局と直接連携して証明書の取得・更新を行うことはできません。
- Citrix は NetScaler Console Service(クラウド)を提供し、 認証局との連携と、更新された証明書を NetScaler に自動登録する仕組みを提供します。
- 自動化を実現する2つの機能
-
- ACME 対応:証明書の取得・更新を API ベースで自動化する仕組み
- Zero-Touch Certificate Management:更新された証明書の自動配置・反映・紐づけ
3. 注意事項(2026年2月時点)
対応する認証局
- Let’s Encrypt
- DigiCert
対応する DNS プロバイダー
- 製品ドキュメントに記載の DNS プロバイダーが対象になります。
- 権威 DNS が企業独自サーバの場合、GUI 上の選択肢に無いケースがあります。
ACME チャレンジ方式
- 一般的に HTTP-01 / DNS-01 / TLS-ALPN-01 が知られています。
- NetScaler Console Serviceは DNS-01 を用いる方式です。
使用できる仮想サーバの種類
- LB vserver
- VPN vserver(機能限定あり)
4. まとめ
証明書有効期限の短縮により、今後は 取得・更新・反映を含めた証明書管理の自動化が不可欠になります。NetScaler では ACME と Zero Touch Certificate Management を組み合わせることで、運用負荷を抑えつつ安全な TLS 通信を継続的に提供できます。
5. 免責事項
・本ブログ(以降:本書)の記載にあたりまして、細心の注意を払っておりますが、正確性・完全性を保証するものではありません。
・本書の利用によって生じたあらゆる損害に関して、一切の責任を負いかねます。
