日本IBMは2025年10月30日、SSL/TLSサーバー証明書の更新を自動化するSIサービスを開始したと発表した。システム構成変更を自動化する「Red Hat Ansible」とパスワードや鍵を管理する「HashiCorp Vault」を中核に、証明書を自動更新する仕組みを構築する。業界団体CA/Browser Forumの決定で、証明書の有効期間が段階的に短くなり、手動更新が困難になることを受けて提供する。
日本IBMは、SSL/TLSサーバー証明書の更新を自動化するSIサービスを開始した。システム構成変更を自動化する「Red Hat Ansible Automation Platform」とパスワードや鍵を管理する「HashiCorp Vault」を中核に、証明書自動更新の仕組みを構築する(図1)。
図1:SSL/TLSサーバー証明書の更新を自動化するシステムの構成(出典:日本IBM)拡大画像表示
IBMは、SIサービスを提供する背景として、企業においてサーバーの台数が大幅に増加し、システムの巨大化かつ複雑化が進んでいることと、電子証明書の運用ガイドラインを策定する業界団体CA/Browser Forumが決定した、SSL/TLSサーバー証明書の有効期限短縮化を挙げている。
後者は、CA/Browser Forumが2025年4月に決定した、SSL/TLSサーバー証明書の有効期限を2026年3月15日以降段階的に短縮化するルールのこと。現在は398日だが、これが2027年までに100日、2029年までに47日へと短縮される(関連記事:SSL/TLS証明書の有効期間が2029年に47日へ短縮、証明書管理の自動化が必須に─CyberArk)。
将来「47日ルール」になった際、1年に8回、証明書の更新を行う必要があるが、日本IBMは「これを人手で作業するとなると、限られたメンテナンス時間の中で予定した作業が完了しないリスクがある」と注意を促している。
SIサービスでは、Ansibleで証明書の更新・配布を自動化し、Vaultを証明書と秘密鍵の保管庫にする仕組みを構築する。ほかに、証明書の有効期限や更新状況を把握するためのダッシュボードに運用分析ツールの「IBM Concert」を、システム全体の監視にオブザーバビリティツールの「IBM Instana Observability」を利用する。
同社は、このSIサービスのシステム構成および設定をテンプレート化して、今後、パッケージ販売することを視野に入れている。
