はじめに 長らく Web サーバの TLS 証明書は nginx + certbot という組み合わせで運用してきた人が多いと思う。 ところが 2025 年 8 月、nginx 公式から ngx_http_acme_module という、nginx 本体に組み込みで ACMEv2 を喋るモジュールが登場した。Rust で書かれていて、nginx.conf 内のディレクティブだけで証明書の取得・自動更新まで完結する。 certbot は便利だが、 別プロセス (certbot.timer など) を生やす必要がある --webroot 方式だと /.well-known/acme-challenge/ の location を全 server で世話する必要がある 更新失敗が journalctl -u certbot を見るまで気付きにくい といった「外付け感」がどうしても残る。nginx

