ACMEクライアント「lego」でSSL証明書を自動発行・更新するまでの完全解説

手動更新の限界を超える
ACMEとlegoの関係を理解する
legoのインストール
アカウント登録と初回設定
ドメイン検証（Challenge）の仕組み
nginxへの反映設定
自動更新の仕組み
DNS-01方式の利点と落とし穴
複数ドメイン・ワイルドカード対応
docker-composeを使ったlego運用
ACMEの裏側で起きていること
47日時代を見据えたlegoの活用
自動化は「信頼の継続」である

手動更新の限界を超える

ウェブサイト運用者にとって、SSL/TLS証明書の更新は「気を抜くと致命的な停止を招く」作業の代表格だ。数年前まで、証明書の有効期限は最長825日だったため、1～2年に一度更新すれば十分だった。しかし2020年以降、証明書の有効期限は398日に短縮され、さらに2026年以降は200日、2027年には100日、2029年には47日と、わずか数週間単位での更新が求められる時代がやってくる。そんな環境で人手の運用を続けるのはもはや現実的ではなく、自動化が生き残る唯一の道となる。

自動化の中心にあるのが「ACME（Automatic Certificate Management Environment）」という仕組みだ。ACMEはIETFのRFC 8555で標準化されたプロトコルであり、認証局（CA）とウェブサーバの間で自動的に証明書を要求・発行・更新するための通信規約である。このACMEのクライアント実装は多数存在するが、その中でも特に軽量で柔軟、そして運用スクリプトに組み込みやすいのが「lego」である。

legoはGolangで書かれたコマンドラインACMEクライアントであり、Let’s EncryptやSectigo、ZeroSSL、さらにはFujiSSL ACMEにも対応できる。小規模サイトでも、複数ドメインを抱える企業環境でも使いやすく、Dockerやsystemd環境での運用にも向いている。本稿では、このlegoを使い、example.comという仮想ドメインを題材に、SSL証明書の自動発行から反映、自動更新までを構築していく。

ACMEとlegoの関係を理解する

ACMEは、証明書発行に必要なやり取りをHTTP APIとして自動化するためのプロトコルである。証明書を発行するには、認証局が申請者が本当にそのドメインを所有しているかを確認する必要がある。従来はCSR（証明書署名要求）を作り、メールやファイルアップロードなどで手動認証をしていたが、ACMEではクライアントが自動的に認証局へ接続し、ドメイン検証（Challenge）を完了させ、署名済み証明書を受け取るまでを一貫して実施する。legoはこのACMEクライアントの一種で、Goで書かれた実装として高い評価を受けている。Goで書かれているため、バイナリひとつで動作し、依存関係をほとんど持たない。つまり、コンテナ環境、軽量Linux、クラウドVMなどあらゆる環境で導入できる。

legoが対応しているCAはLet’s Encryptが有名だが、--serverオプションで任意のACMEエンドポイントを指定できるため、SectigoやFujiSSLのACMEエンドポイントを使うことも可能である。これにより、特定の商用証明書（有料DV/OV/EV）でも同じ仕組みで自動更新を実現できる。

legoのインストール

ここではUbuntu 22.04環境を例にする。Go言語の環境がなくても、legoは単一バイナリで提供されているため、wgetまたはcurlで入手できる。以下はバイナリ直接インストールの例である。

sudo mkdir -p /usr/local/bin
sudo curl -s https://api.github.com/repos/go-acme/lego/releases/latest | grep browser_download_url | grep linux_amd64 | cut -d '"' -f 4 | wget -i -
sudo tar -xzf lego_v*.tar.gz
sudo mv lego /usr/local/bin/
lego --version

これでlegoコマンドが使用可能になる。バージョンが表示されれば成功だ。もしコンテナ環境やCI/CDで運用する場合は、Docker Hubにもgoacme/legoという公式イメージが用意されているため、docker run --rm goacme/lego --versionで確認できる。

アカウント登録と初回設定

ACMEサーバと通信するには、まずlegoが使用するアカウントを作成する必要がある。ACMEサーバはEメールアドレスをアカウント識別子として使用し、秘密鍵で署名することでそのアカウントを認証する。初回登録時にはACMEの規約（Terms of Service）への同意が求められる。以下が最初の登録コマンド例である。

sudo lego --email "admin@example.com" --domains "example.com" --server "https://acme-v02.api.letsencrypt.org/directory" register

上記コマンドにより、legoは~/.lego/accountsディレクトリに秘密鍵とアカウントデータを保存する。登録後、このアカウントを使って証明書の要求や更新が行われる。もしFujiSSL ACMEを使う場合は、--serverにそのエンドポイントを指定すれば同じ手順で登録可能である。

ドメイン検証（Challenge）の仕組み

ACMEの認証方式はHTTP-01とDNS-01の2種類が主流である。HTTP-01はWebサーバ上に特定ファイルを配置してアクセス検証を行う方法で、シンプルだがポート80が外部からアクセス可能でなければならない。一方DNS-01は、ドメインのTXTレコードを発行して認証局がDNS経由で所有確認を行う方式で、CDN配下やWAF環境、非公開サーバでも対応できる。legoはこのどちらにも対応しており、DNSプロバイダごとのAPIクレデンシャルを設定すれば完全自動化できる。

例として、example.comをRoute53で管理している場合を考える。legoはAWS_ACCESS_KEY_IDとAWS_SECRET_ACCESS_KEYを環境変数に設定すれば自動でDNSレコードを作成・削除してくれる。

export AWS_ACCESS_KEY_ID="XXXXXXXXXXXXXXXX"
export AWS_SECRET_ACCESS_KEY="YYYYYYYYYYYYYYYY"
sudo lego --email "admin@example.com" --domains "example.com" --dns "route53" run

このコマンドを実行すると、legoはDNSレコードを作成し、ACMEサーバに挑戦を通知し、検証が完了すると証明書を発行する。発行後は/etc/lego/certificates/example.com.crtとexample.com.keyなどが生成される。これをWebサーバ（nginxやApache）に反映すればHTTPS化が完了する。

nginxへの反映設定

nginxを使う場合、/etc/nginx/conf.d/example.com.confなどの設定ファイルでSSL証明書のパスを指定する。

server {
    listen 443 ssl;
    server_name example.com;
    ssl_certificate     /etc/lego/certificates/example.com.crt;
    ssl_certificate_key /etc/lego/certificates/example.com.key;
    location / {
        root /var/www/html;
        index index.html;
    }
}

反映後、sudo nginx -t && sudo systemctl reload nginxを実行すれば証明書が読み込まれる。この時点でhttps://example.com にアクセスすれば、ブラウザの鍵マークが表示され、SSL通信が確立されているはずだ。

自動更新の仕組み

ACMEクライアントの真価は、証明書の期限を監視し、自動で更新できる点にある。legoの場合、renewサブコマンドを使えば手動更新できるが、systemdのtimerやcronに組み込むことで完全自動化が可能になる。

たとえばsystemdでの設定例を示そう。まず/etc/systemd/system/lego-renew.serviceを作成する。

[Unit]
Description=Renew SSL certificates using lego
After=network.target

[Service]
Type=oneshot
ExecStart=/usr/local/bin/lego --email admin@example.com --domains example.com --dns route53 --server https://acme-v02.api.letsencrypt.org/directory renew --days 30
ExecStartPost=/bin/systemctl reload nginx

次に、タイマーを作成する。/etc/systemd/system/lego-renew.timerに以下を記述する。

[Unit]
Description=Run lego renew daily

[Timer]
OnCalendar=daily
Persistent=true

[Install]
WantedBy=timers.target

sudo systemctl enable --now lego-renew.timerを実行すれば、毎日自動的に更新チェックが走り、残日数が30日未満であれば証明書を再取得してnginxをリロードする。これで「手動更新」という作業は完全に消滅する。systemctl list-timersで実行状況を確認できる。

DNS-01方式の利点と落とし穴

DNS方式は自動化に最適だが、API権限設定を誤るとセキュリティリスクにもなる。AWSのようなクラウドDNSならIAMポリシーを最小権限化すること、オンプレDNSなら更新スクリプトにトークンを直書きしないことが重要である。legoは主要DNSプロバイダ（Cloudflare、Google DNS、Route53、ConoHa、さくら、など）に対応している。環境変数のセットで完結する設計は安全かつ効率的だ。

HTTP方式を選ぶ場合は、.well-known/acme-challenge/ディレクトリを公開し、nginx設定にlocation /.well-known/acme-challenge/ { root /var/www/html; }を追加する必要がある。legoは内部的にそこへトークンファイルを配置するが、Dockerなどで運用している場合はボリューム共有を忘れないことが肝要だ。

複数ドメイン・ワイルドカード対応

legoはワイルドカード証明書（例：*.example.com）もDNS-01方式で発行できる。HTTP方式では不可能なので注意が必要だ。複数ドメインを同時に指定する場合は、--domainsを複数書けば良い。

sudo lego --email admin@example.com --domains example.com --domains www.example.com --dns route53 run

このようにすれば、両方のFQDNをSANに含んだ1枚の証明書が生成される。ワイルドカードを含める場合は、--domains "*.example.com" --domains example.comとする。生成された証明書はnginxやロードバランサのどちらでも使える。

docker-composeを使ったlego運用

Docker環境でlegoを実行する場合、cronと同等のスケジュールをDockerコンテナ内で動かすのはやや面倒だが、composeとvolumeを活用すれば整然と構成できる。

以下はdocker-compose.ymlの例である。

version: '3'

services:
  lego:
    image: goacme/lego:latest
    container_name: lego
    environment:
      - AWS_ACCESS_KEY_ID=${AWS_ACCESS_KEY_ID}
      - AWS_SECRET_ACCESS_KEY=${AWS_SECRET_ACCESS_KEY}
    volumes:
      - ./lego-data:/lego
      - /etc/nginx/certs:/etc/lego/certificates
    command: >
      --email admin@example.com
      --domains example.com
      --dns route53
      --server https://acme-v02.api.letsencrypt.org/directory
      renew --days 30

このコンテナを日次で起動するようcronまたはホストのsystemd timerを設定すれば、同様に自動更新が実現する。更新後はnginxを再読み込みするジョブをhookとして連携させる。

ACMEの裏側で起きていること

legoを使うと数行のコマンドで証明書が得られるが、その背後では複雑な通信が行われている。ACMEサーバとの間では、JSON Web Signature (JWS) によって署名付きリクエストが交わされ、チャレンジ・オブジェクトを受け取り、検証を経て最終的にSigned Certificateをダウンロードする。legoはこの一連のフローを全自動で行い、.lego/ディレクトリ以下に履歴を管理する。renew時にはこのキャッシュを利用して同一アカウントでの再検証をスキップするため、毎回の登録や鍵生成は不要だ。

legoの特徴は、Goのシンプルな構造により、ログが読みやすい点でもある。--debugオプションを付けるとHTTPリクエストが詳細に出力され、ACMEサーバのレスポンスも確認できる。障害時のトラブルシュートにはこのログが重要であり、検証失敗やDNS伝播の遅延も可視化できる。

47日時代を見据えたlegoの活用

2029年以降、有効期限47日の証明書が主流となると、もはや人手の介入を前提にした運用は成立しない。legoをはじめとするACMEクライアントは、その未来に備えた最も実用的な選択肢だ。重要なのは、「自動発行ができる」という一点ではなく、「障害を起こさずに回り続ける仕組みを確立できる」ことである。systemdやDockerのタイマーによる定期実行、DNS-APIの権限設計、証明書ファイルのローテーション整備、そして再読み込み時の無停止反映が揃ってこそ、自動化は完成する。

多くの運用現場では、更新そのものよりも「反映の自動化」に課題が残る。たとえばロードバランサー配下のnginxが多数存在する環境では、更新完了後に各ノードへファイルを配布し、同時にサービスを再読み込みする仕組みが必要だ。この点でもlegoはシンプルで、証明書出力先を任意指定できるため、Ansibleやrsync、S3同期などと組み合わせて容易にスケールできる。

47日のサイクルは極端に短いが、legoを中心とした自動化基盤を一度作り上げれば、もはや手動更新という概念自体が消える。短命証明書の世界では、自動化の精度こそが信頼の証となる。

自動化は「信頼の継続」である

ACMEとlegoの登場は、証明書更新という作業を単なる定例業務から「システム的信頼維持のプロセス」へと変えた。かつてはSSL証明書を一度導入すれば数年間放置できたが、これからは運用設計そのものが継続的改善を要求される。legoはその過程を支える小さくも強力なツールであり、Goで書かれた堅牢性、DNS・HTTP両対応の柔軟性、systemdとの親和性によって、あらゆる環境に適用できる。

example.comという小さなドメインを例にしても、その構築過程に含まれるのは、ACMEの通信理解、DNS管理、サーバ設定、自動化設計、セキュリティ権限設計といった、運用エンジニアに必要なすべての要素である。legoを使いこなすことは、単にSSL更新を楽にすることではなく、「信頼の継続を自動化する文化」を築くことに他ならない。

証明書有効期限の短縮は運用者にとって試練のように見えるが、実はインフラを近代化する絶好のチャンスだ。legoを導入すれば、あなたのexample.comは今日から永続的に信頼され続ける。煩雑な更新作業は過去の遺物となり、未来の運用は静かに、確実に回り続ける。