CSR作成 Apache + OpenSSL[新規・更新]
Apache + OpenSSL環境でのCSR生成手順を説明します。新規・更新ともに同じ手順です。
- 作業をはじめる前に、ウェブサーバに OpenSSL がインストールされていることを確認してください。
- 以下の手順では、OpenSSLが /usr/local/ssl/bin にインストールされている状態を想定しています。お客様の環境により、パスおよびファイル名が異なりますので必要に応じてお客様の環境に置き換えて下さい。
■ステップ1 秘密鍵とCSRの生成
■擬似乱数ファイルの生成
OpenSSLのディレクトリに移動し、秘密鍵作成のための擬似乱数の情報を生成します。ここでは md5 ダイジェスト値を擬似乱数として使用する例を説明します。
# cd /usr/local/ssl/bin
# ./openssl md5 * > rand.dat
■秘密鍵ファイルの生成
作成した擬似乱数ファイル(rand.dat)から、秘密鍵を作成します。
トリプルDESを使い、2048bit の秘密鍵(ファイル名:2009key.pem)を作成する場合
# ./openssl genrsa -rand rand.dat -des3 2048 > 2009key.pem
秘密鍵を保護するためのパスフレーズの入力を求められます。
任意のフレーズを入力し、[Enter]キーを押します(同じフレーズを2度入力します)。ここで入力するパスフレーズは、絶対に忘れないように大切に管理してください。 指定したファイル名 (2009key.pem) で、秘密鍵ファイルが作成されます。
ウェブサーバの自動起動などの設定上、パスフレーズなしでウェブサーバを起動したい場合には、 以下のように-des3 を省略することにより、パスフレーズなしでウェブサーバを起動できます。 サーバ監視システムなどでウェブサーバを自動起動する場合はパスフレーズなしで作成して下さい。
↓パスフレーズなしの作成例
# ./openssl genrsa -rand rand.dat 2048 > 2009key.pem
■CSRファイルの生成
作成した秘密鍵ファイル(2009key.pem)からCSRファイル(2009csr.pem)を生成します。
# ./openssl req -new -key 2009key.pem -out 2009csr.pem
秘密鍵のパスフレーズの入力を求められます。
秘密鍵作成時に指定したパスフレーズを入力し、[Enter]キーを押します。
続いて、ディスティングイッシュネーム情報を順に入力していきます。
更新時のディスティングイッシュネーム情報は必ず前回と同じ情報にして下さい。
情報に変更がある場合は、更新ではなく「新規申請」となりますのでご注意下さい。
以下は、SSLサーバ証明書申請用 CSR のディスティングイッシュネーム登録例です。
以下は、SSLサーバ証明書申請用 CSR のディスティングイッシュネーム登録例です。
すべての項目に半角英数文字で入力します。
全角2バイト文字や以下の様な記号・特殊文字等は使用できません。
, ? ! @ $ % ^ & * ( ) _ { } | : ” < > ? #
【Country (国名)】(例:JP)
Country Name (2 letter code) [AU]:JP
半角大文字で JP と入力し、[Enter]キーを押します。
【State(都道府県名)】(例:Tokyo)
State or Province Name (full name) []:Tokyo
都道府県名をローマ字表記で入力し、[Enter]キーを押します。
【Locality(市区町村名)】(例:Shibuya-ku)
Locality Name (eg, city) []:Shibuya-ku
市区町村名をローマ字表記で入力し、[Enter]キーを押します。
【Organizational Name(組織名)】 (例:ABC Japan K.K.)
Organization Name (eg, company) []:ABC Japan K.K.
サーバID申請団体の 正式英語組織名(会社名・団体名)を入力し、[Enter]キーを押します。
【Organizational Unit(部門名)】 (例:System1、System2 など)
Organizational Unit Name (eg, section) []:System1
部門名・部署名など、任意の判別文字列を入力し、[Enter]キーを押します。
同一コモンネームでの複数申請は、この項目の指定文字列を変更して申請件数分CSRを生成します。
【Common Name(コモンネーム)】 (例: www.yourdomain.co.jp)
Common Name (eg, YOUR name) []:www.yourdomain.co.jp
サーバ証明書を導入するサイトのURL(SSL接続の際のURL:FQDN)を入力し、[Enter]キーを押します。
コモンネーム www.yourdomain.co.jp の場合は、
https://www.yourdomain.co.jp がURLとなります。
※ワイルドカードSSLサーバー証明書の場合は、
コモンネーム *.yourdomain.co.jp のように
ホスト部分は*(アスタリスク)として下さい。
入力必須項目は、ここまでの6項目です。
これ以降以下の様な項目が表示される場合、入力不要です。
何も入力せず[Enter]キーを押して進んでください。
Email Address []:
A challenge password []:
An optional company name []:
CSRが生成されます。
生成されたCSRは、ValueSSLのサイトからSSL証明書のお申込み時に貼り付けます。
※ 上記のCSRはサンプルです。申請には利用できません。
■ステップ2 秘密鍵のバックアップ
「Step 1:秘密鍵とCSRの生成」 の手順で作成した秘密鍵ファイルを、CDなどの外部メディアにバックアップします。
サーバ証明書は、申請に利用したCSRの生成の元となった秘密鍵との正しい組み合わせ以外にはインストールできません。
正しい秘密鍵を確実にバックアップし、設定したパスワードを忘れないよう注意してください。