本記事は、前回の記事の補足として ACME と Zero‑Touch Certificate Management(ZTCM)の仕組みを簡単に整理します。
前回の記事:
1. ACME の概要(NetScaler視点)
ACME とは
ACME は、証明書の発行・検証・更新といったプロセスを自動化するためのプロトコルです。
ACME の構成要素と役割
- ACMEサーバ(認証局側):証明書発行、チャレンジ情報生成、DNS名前解決により TXT レコードの存在を確認
- ACMEクライアント(NetScaler Console Service):証明書要求、ハッシュ値生成、TXT登録、検証後にTXT削除
- DNSプロバイダー:権威DNSサーバ(ドメイン登録DNSサービス)
DNS‑01 は「チャレンジ情報から生成した検証用ハッシュ値」を TXT レコードに置き、認証局がそれを確認する方式です。
NetScaler Console Service ドメインバリデーション対応方式
- NetScaler Console Service は DNS‑01 チャレンジに対応します。
- HTTP‑01 / TLS‑ALPN‑01 には対応しません。
2. Zero‑Touch Certificate Management(ZTCM)の概要
ZTCM とは
ZTCM は証明書の自動的な配置、反映、紐づけを実現する機能です。
どう動くか(要点)
- Fetcher が NetScaler Console Serviceを定期的にポーリングし、新しい証明書と秘密鍵の有無をチェックします。
- ポーリングは 10分に1度、または初期起動時は1分以内に実施されます。
- 証明書のバインドは、クライアントが初めて vserver にアクセスしたタイミングで行われます(Console 管理下の証明書が対象)。
- 証明書選択は ClientHello の SNI または Default SNI 設定をもとに判断されます。
参考:Zero‑Touch Certificate Management(公式ドキュメント)
3.まとめ
・NetScaler Console Serviceは DNS‑01 による ACME 自動化で証明書の取得・更新を行い、ZTCM により NetScaler への配置・選択(SNI/Default SNI)・バインドまで自動化できます。
有効期限短縮時代に向けて、更新作業の属人化と更新漏れリスクを抑えるための現実的な選択肢になります。
4.免責事項
・本ブログ(以降:本書)の記載にあたりまして、細心の注意を払っておりますが、正確性・完全性を保証するものではありません。
・本書の利用によって生じたあらゆる損害に関して、一切の責任を負いかねます。
