Views: 14
SMPソリューションのHTTPS運用準備ガイド
2025-07-29
Peppolネットワークに参加するSMP(Service Metadata Publisher)は、安全な通信のためにHTTPS(TLS)を使用する必要があります。本記事では、SMPソリューションをHTTPS経由で運用するために必要な技術的要件と設定について解説します。
なお、このHTTPS(TLS)を使用したPeppolネットワークにおけるNAPTR移行は、3段階に分けて実施されます。
2025年5月1日(T1)から、APおよびSMPプロバイダーは、NAPTR形式のSMPルックアップや最大130文字のParticipant IDへの対応、HTTPSによるSMP提供の準備に着手します。
2025年11月1日(T2)までには、APがNAPTR対応を実装し、SMPはHTTPS構成とHTTPからの切替準備を完了している必要があります。
2026年2月1日(T3)以降は、SMPはHTTPSのみで提供され、APもHTTPS URLでのルックアップに完全移行します。HTTPの使用は禁止され、旧URLやDNSレコードの削除も推奨されます。
詳細は、 『Peppol NAPTR移行とAPプロバイダーの対応』をご参照ください。
1. 1. TLS証明書の用意
HTTPSを使用するには、SMPが稼働するドメインに対してPeppol以外の認証局が発行した有効なTLS証明書が必要です。
-
TLS証明書は、そのドメイン名(例:
smp.example.org)に対して発行されたものでなければなりません。 -
*.example.orgのような TLSワイルドカード証明書 を使えば、smp.example.orgやap.example.orgなど複数のサブドメインで共通利用できます。 -
TLS証明書は通信暗号化のためのものであり、SMPが持つ署名用証明書とは目的が異なります。
|
Warning
|
Peppol SMP証明書(Service Metadataに署名するためのもの)は、TLS通信には使用できません。 |
2. 2. Peppolのトランスポートセキュリティポリシーの遵守
SMPのHTTPS通信は、OpenPeppolが定める Peppol Policy for Transport Security に準拠する必要があります。
-
TLSバージョンや暗号スイート、証明書チェーンの構成などの要件を満たす必要があります。
-
詳細な仕様は OpenPeppol の公式文書を参照してください。
3. 3. APとSMPの同一ドメイン運用
SMPとAP(Access Point)を同一のドメインで運用することも可能です。その際は、URLのパスでそれぞれを分離します。
この構成であれば、1枚のTLS証明書で両方のサービスをカバーできます。
4. 4. HTTPとHTTPSの並行運用(移行期間中)
運用初期や移行期間中は、HTTPとHTTPSの両方でSMPを提供することが認められる場合があります。
-
本番運用では必ずHTTPSに統一してください。
-
並行運用は一時的な措置とし、セキュリティを優先します。
5. 5. ファイアウォールの設定
外部からのHTTPSアクセスを許可するため、次の設定が必要です。
-
プロトコル:
HTTPS (TLS) -
ポート番号:
TCP 443 -
許可元IP:
全IPアドレス(0.0.0.0/0)
ファイアウォールでTCPポート443を開放し、SMPがインターネット上からアクセス可能であることを確認してください。
6. まとめチェックリスト
| 項目 | 説明 |
|---|---|
|
TLS証明書 |
SMPのドメイン用に正規のTLS証明書を用意(ワイルドカード証明書も可) |
|
SMP署名証明書 |
TLS通信には使用不可(別用途) |
|
ドメイン構成 |
APとSMPを同一ドメインで運用する場合はパスで分離 |
|
並行運用 |
HTTPとHTTPSを一時的に併用可能だが、最終的にはHTTPSに統一 |
|
ファイアウォール |
TCPポート443をすべてのIPから許可する |
|
Peppolポリシー |
Peppolのトランスポートセキュリティポリシーに準拠 |
コメントを残す