NetBird、社内サービス向け TLS 証明書管理ツールを公開──Split-Horizon DNS と ACME で自動化
自己署名証明書の配布・信頼設定を廃止し、Let's Encrypt と VPN の DNS 制御を組み合わせたセキュアな内部通信基盤の構築手法。
リリース: 2026-07-09 · 読了 5 分記事の要約
1. 核心(What)
- NetBird の Custom Zones 機能を用いた Split-Horizon DNS 構成による内部サービスへの証明書発行手法を提示。
- acme.sh を使用し、Let's Encrypt 経由でパブリック CA 証明書を内部サービス(例: grafana.tuxnet.dev)に適用。
- VPN 接続時のみ内部 IP を解決し、それ以外はパブリック IP を返す DNS 制御を実装。
- Nginx をリバースプロキシとして配置し、VPN 外からのアクセスを WAF で遮断する構成を採用。
2. 影響(Why)
- 証明書配布の運用負荷を削減: 全クライアントへ自己署名証明書を配布・信頼設定する手間を排除し、パブリック CA 証明書を用いることでブラウザや HTTP クライアントの警告を回避。
- 国内 SaaS 事業者のセキュリティ設計: 社内管理ツールや検証環境を運用する中規模の国内テック企業において、VPN 接続環境の証明書管理を一元化し、セキュリティ設定の漏れを防ぐ現実的な解となる。
3. 根拠・詳細(How)
- Split-Horizon DNS の実装: NetBird の Custom Zones 機能により、特定のピアグループに対してのみ内部 DNS 解決を適用し、サーバー側は http-01 チャレンジのためにパブリック DNS を参照する構成。
- 証明書発行の自動化: acme.sh クライアントを --standalone モードで実行し、Let's Encrypt からドメイン検証済み証明書を自動取得するフローを構築。
4. 展望・課題(Next)
- WAF によるアクセス制御: 証明書発行後の最終的な保護として、Nginx で VPN 経由のトラフィックのみを許可するフィルタリング設定が必須となる。