AWS Certificate Manager が ACME に対応、公開TLS証明書の発行・更新を自動化
何が発表されたか
AWSは2026年6月30日、AWS Certificate Manager(ACM)が業界標準の証明書自動管理プロトコルであるACME(Automatic Certificate Management Environment)に対応したと発表した。これにより、Certbotやcert-manager(Kubernetes向け)、acme.shなどACMEv2互換の既存クライアントから、ACMが発行する公開TLS証明書を取得・更新できるようになる。
背景には、CA/Browser Forumの規定により証明書の有効期限が段階的に短縮される流れがある。2027年3月には最大100日、2029年までには最大47日まで短縮される予定であり、手動更新の運用負荷は今後増していく。ACMEサポートは、短命化する証明書の自動更新を外部認証局に頼らずAWS内で完結させる狙いがあるとみられる。
発行される証明書はAmazon Trust Servicesが発行し、主要ブラウザやOSに信頼されているルート証明書チェーンに連なる。既存のACM証明書管理機能(CloudTrailログ、CloudWatchメトリクス、有効期限通知)とも統合される。
技術的なポイント
- ACMEv2互換のCertbot、cert-manager、acme.shなどのクライアントから証明書要求が可能
- 鍵の種類はECDSA P-256(デフォルト)、RSA 2048、ECDSA P-384に対応
- External Account Binding(EAB)によるセキュアなアカウント認証をサポート
- ドメインスコープの制御が可能で、完全一致・サブドメイン・ワイルドカードの許可範囲を指定できる
- すべての商用AWSリージョンで利用可能(AWS GovCloud、中国リージョン、AWS European Sovereign Cloudは今後対応予定)
所感・どう使えるか
Kubernetesのcert-managerやCertbotをすでに運用に組み込んでいる場合、証明書取得先をACMに切り替えるだけでAWSのログ・監視基盤に証明書のライフサイクルを統合できる点はメリットが大きそうだ。証明書の有効期限短縮が進む中で、外部CAとの契約や更新スクリプトの保守から解放されるのは運用コストの削減につながるだろう。一方でGovCloudや中国リージョンは未対応のため、マルチリージョン構成では当面ACME以外の手段も併用する必要がありそうだ。
出典: Automate public TLS certificate issuance with ACME support in AWS Certificate Manager