DNS-01チャレンジ：仕組みと完了方法

DNS-01はワイルドカード証明書（*.example.com）に対応するACMEチャレンジタイプです。DNSにTXTレコードを追加することでドメインの所有権を証明します。Webサーバーやポート80のアクセスは不要です。

仕組み

1. Let’s Encryptが各ドメインにトークンを提供
2. GetHTTPSがキー認証のSHA-256ダイジェストを計算し、base64urlエンコード
3. _acme-challenge.yourdomain.com にこの値のTXTレコードを作成
4. Let’s EncryptがパブリックDNSでTXTレコードを照会
5. 値が一致すれば、チャレンジに合格し証明書が発行

GetHTTPSでは、ステップ1〜2は自動です。レコード名と値をDNSプロバイダーにコピー＆ペーストするだけです。

ステップバイステップの設定

ステップ1：GetHTTPSからTXTレコードの詳細を取得

GetHTTPSが表示するもの：

• レコード名: _acme-challenge.yourdomain.com
• レコード値: base64urlエンコードされた文字列（約43文字）

ステップ2：DNSプロバイダーでTXTレコードを追加

プロバイダー別手順：

Cloudflare

1. ダッシュボード → ドメイン → DNS → レコード → レコードを追加
2. タイプ：TXT、名前：_acme-challenge、内容：値を貼り付け
3. TTL：Auto
4. 保存をクリック

AWS Route 53

1. ホストゾーン → ドメイン → レコードを作成
2. レコード名：_acme-challenge
3. レコードタイプ：TXT
4. 値："paste-value-here"（二重引用符を含める — Route 53では必須）
5. レコードを作成をクリック

GoDaddy

1. DNS管理 → 追加
2. タイプ：TXT、名前：_acme-challenge、値：値を貼り付け
3. TTL：1 Hour
4. 保存をクリック

Namecheap

1. ドメインリスト → 管理 → 高度なDNS → 新しいレコードを追加
2. タイプ：TXT、ホスト：_acme-challenge、値：値を貼り付け
3. TTL：Automatic
4. すべての変更を保存をクリック

ステップ3：DNS伝播を待つ

DNS変更はプロバイダーとTTL設定により1〜15分かかります。GetHTTPSの事前チェックがLet’s Encryptに送信する前にTXTレコードが公開インターネットから見えることを確認します。

手動で伝播を確認：

dig TXT _acme-challenge.yourdomain.com +short

ステップ4：GetHTTPSで検証

検証をクリックします。GetHTTPSがLet’s Encryptにチャレンジを送信します。TXTレコードが正しければ、証明書が発行されます。

ステップ5：クリーンアップ

証明書が発行されたら、DNSから**_acme-challenge TXTレコードを削除**してください。不要になっており、古いレコードは更新時に混乱を招く可能性があります。

DNS-01でのワイルドカード証明書

*.yourdomain.com の証明書を取得するには、DNS-01を使用しなければなりません。HTTP-01はワイルドカードを検証できません。ワイルドカードは無限のホスト名をカバーするため、ファイルを配置する単一のサーバーがないためです。

ワイルドカード証明書の完全ガイド →

DNS-01 vs HTTP-01

よくある質問

DNS-01チャレンジを自動化できますか？

はい、CLIツールで。acme.shは150以上のDNSプロバイダーのAPI統合が組み込まれており、TXTレコードの追加と削除を自動化できます。GetHTTPSは手動でのDNS変更が必要です（ブラウザベースのため、APIコールは行いません）。

TXTレコードをどのくらい保持する必要がありますか？

検証中のみです（通常数分）。証明書が発行されたらレコードを削除してください。更新時に新しい値で新しいレコードを作成します。

DNS-01はCloudflareプロキシ（オレンジクラウド）で動作しますか？

はい。DNS-01検証はHTTPではなくDNS経由でTXTレコードを照会するため、Cloudflareのプロキシ状態（オレンジ vs グレークラウド）は関係ありません。これはHTTP-01（プロキシによりブロックされる可能性がある）に対する主要な利点です。