目次

1. 認証情報管理手順

本章では、サービス参加機関の利用管理者に配付するACMEアカウントの登録・更新・停止及び管理を行う登録担当者の操作方法について記述します。 
サービス参加機関の利用管理者からACMEアカウントの登録要求があり、ACMEアカウントの新規登録が必要な場合は「1-1. ACMEアカウント登録」を行ってください。
既にACMEアカウントを本システムから登録していて、ACMEプロトコル認証情報（EAB）などの更新を行う場合は「1-2. ACMEアカウント更新」を行ってください。
ACMEアカウントの停止を行う場合は「1-3. ACMEアカウント停止」を行ってください。

※ACMEアカウントについて

• ACMEアカウントとは、ACME発行サーバプロトコルを利用して認証局サービスを使う際に、発行可能なサーバ証明書を管理するために事前に登録するアカウントです。

• 登録担当者によってACMEアカウントを登録すると、認証局サービスでACMEプロトコル認証情報（EAB）が生成され、その情報が登録担当者へ共有されます。

• 1アカウントに1つのACMEプロトコル認証情報（EAB）が設定されます。

• ACMEアカウントは下記の情報を含んでいます。

  • ACMEアカウントID

  • EAB情報

  • 主体者DNおよびSAN情報

  • 利用管理者情報

※ACMEプロトコル認証情報（EAB）について

• EAB（External Account Binding）は、ACMEプロトコルを使用して認証局サービスを利用する際、ACMEクライアントが事前に登録された外部アカウントの権限を証明し、サーバ証明書の自動発行や更新を可能にするための認証情報です。
  ACMEプロトコル認証情報（EAB）では、ACMEアカウントの登録時に事前に生成されたKeyID（アカウントID）とHMAC秘密鍵（アカウントのワンタイムパスワード）を利用管理者に連携します。
  利用管理者がこの情報を含んだACMEアカウント登録を実施することで、ACMEアカウントの登録が完了します

• ACMEアカウントは、一度利用管理者からの登録がなされると、その鍵情報を元に通信相手を特定します。
  よってHMAC秘密鍵が不特定多数に知られるような運用や使いまわしは避けてください。

• ACMEアカウントの再利用は、秘密鍵の再利用と同じで、
  秘密鍵が外部流出した場合、そのACMEアカウントは破棄する必要があります。
  別のサーバにACMEアカウントを移動させる場合は、ACMEアカウントの再発行をお願いいたします。
  また、同一サーバで、複数のACMEアカウントを持つことはシステム上可能ではありますが、
  ACMEクライアントツールは、1アカウント1サーバを前提にしているため推奨いたしません。

• ACMEアカウントの管理権限が他の利用管理者に変更された場合、ACMEアカウントの更新が必要です。

• ACMEアカウントを停止した場合、ACMEクライアントからのリクエストは不正なものとして受け付けません。
  
  

1-1. ACMEアカウント登録

以下に記述する手続きにより、ACMEアカウント登録を行います。

Open