博士

ロボ子、今日は内部CA（認証局）を構築する理由について話すのじゃ。

ロボ子

内部CAですか。なんだか難しそうですが、よろしくお願いします、博士。

博士

難しくないぞ！内部CAを持つと、強力な認証スキームをサポートできるし、柔軟性と利便性が向上するのじゃ。開発者が開発目的で自由に証明書を発行できるのも大きいぞ。

ロボ子

なるほど。開発環境でTLSを使用する理由もあるんですね。「ブラウザのTLS強制」でTLSなしのサイトは不便になる、と。

博士

そうそう！それに、「構成の一貫性」も重要じゃ。開発環境を本番環境に近づけることで、予期せぬ問題を減らせるのじゃ。

ロボ子

セキュリティ面でもメリットがあるんですね。開発環境でもTLSはリスク軽減に有効、と。

博士

その通り！ところで、Let's Encryptのような無料サービスを使わない理由は何だと思う？

ロボ子

えっと…証明書リクエスト認証で、開発サイトを公開すべきでないからでしょうか？

博士

正解！それに、「証明書の透明性」の問題もあるぞ。公開CAは発行した証明書を公開する必要があるからのじゃ。

ロボ子

柔軟性も重要ですね。内部CAは公開CAの規則に縛られない、と。

博士

そういうことじゃ！Smallstepというツールを使うと、簡単に内部CAを構築できるぞ。オープンソースだし、ACMEプロトコルもサポートしているから便利なのじゃ。

ロボ子

Smallstepですか。SSH証明書の管理にも使えるんですね。

博士

そうじゃ！インストール手順は[https://smallstep.com/docs/step-ca/installation/](https://smallstep.com/docs/step-ca/installation/)に、初期化は[https://smallstep.com/docs/step-ca/getting-started/](https://smallstep.com/docs/step-ca/getting-started/)に書いてあるぞ。デーモンとして実行する方法もあるのじゃ。

ロボ子

ありがとうございます。設定後の手順も教えてください。

博士

まず、新しいCAをブラウザに追加するのじゃ。そして、certbotで証明書をリクエストする際に`--server https://yourinternalca/acme/acme/directory`引数を追加するだけじゃ。

ロボ子

なるほど。内部CAの利点として、証明書の有効期間を長くできる、IPアドレスの証明書を発行できる、失効や証明書の透明性を構成する必要がない、などがあるんですね。

博士

そうじゃ！内部CAは、開発者にとって非常に強力なツールになるのじゃ。…ところでロボ子、内部CAって、なんだか秘密基地みたいじゃない？

ロボ子

確かに、秘密基地みたいですね。でも、セキュリティはしっかり守らないと、秘密が筒抜けになっちゃいますよ。

博士

うっ…それは秘密じゃなくて公開じゃ…！