Apache + OpenSSL CSR作成手順
CSR(証明書署名要求)の作成手順
手順は、以下を前提に記載していますので、適宜、読み替えてください。
| コモンネーム | www.example.com |
|---|---|
| confディレクトリまでのパス | /[Apacheのサーバルート]/conf/ |
| 作成する秘密鍵のファイル名 | wwwexamplecom.key |
| 作成するCSRのファイル名 | wwwexamplecom.csr |
| 秘密鍵のディレクトリ | /[Apacheのサーバルート]/conf/ssl.key/ |
| CSRのディレクトリ | /[Apacheのサーバルート]/conf/ssl.csr/ |
スタッフ審査を受ける証明書(組織認証タイプ)の場合、以下も確認してください。
秘密鍵を作成します。
- OpenSSLがインストールされてない場合、OpenSSLをインストールします。
- 秘密鍵を置くディレクトリに移動します。
cd /[Apacheのサーバルート]/conf/ssl.key/
- 「ssl.key」は、デフォルトのディレクトリです。適宜、ディレクトリを指定してください。
- 秘密鍵を作成します。
- パスフレーズなし・鍵長2,048bitで、作成
- openssl genrsa -out wwwexamplecom.key 2048
-
- 「wwwexamplecom.key」は、秘密鍵のファイル名、「2048」は、鍵長です。
- 鍵長は、証明書ごとに決められています。秘密鍵の鍵長が、CSRに反映されます。
鍵長
- パスフレーズあり・鍵長2,048bitで、作成
- openssl genrsa -des3 -out wwwexamplecom.key 2048
-
- パスプレーズの入力を求められますので、任意で入力します。
- パスフレーズを設定すると、サーバ起動のたびに、パスプレーズ入力が必要です。
- パスフレーズを忘れた場合、秘密鍵・証明書の使用ができなくなります。
秘密鍵で、CSRを作成します。
- 秘密鍵のファイル名とCSRのファイルは、適宜、指定してください。
openssl req -new -key wwwexamplecom.key -out wwwexamplecom.csr
- 秘密鍵のパスフレーズを設定した場合、パスフレーズの入力を求められます。
秘密鍵作成時に設定したパスフレーズを入力し、[Enter]キーを押します。
- 秘密鍵のパスフレーズを設定した場合、パスフレーズの入力を求められます。
- 識別名を入力します。
- すべてローマ字(半角英数字)で入力してください。
- < > ~ ! @ # $ % ^ * / \ ( ) ? &は、使用できません。
- 更新時の識別名は、前回と同じ情報にしてください。
- 情報に変更がある場合は、更新ではなく「新規申請」となります。
- Country(国名)
- JP(国名を表す2文字のISO省略語)と入力し、[Enter]キーを押します。
- Country Name (2 letter code) [AU]:JP
- State(都道府県名)
- 所在都道府県名をローマ字表記で入力し、[Enter]キーを押します。
- State or Province Name (full name) []:Tokyo
- Locality(市区町村名)
- 所在市区町村名をローマ字表記で入力し、[Enter]キーを押します。
- Locality Name (eg, city) []:Toshima-ku
- Organization(組織名)
- 正式英語組織名 (会社名・団体名など)を入力し、[Enter]キーを押します。
- Organization Name (eg, company) []:Example Inc.
- Organization Unit(部門名)
- 部門名・部署名など、任意の判別文字列を入力し、[Enter]キーを押します。
同一コモンネームでの複数申請は、この項目の指定文字列を変更して申請件数分CSRを生成します。(例) Sales1、Sales2、Sales3 など - Organizational Unit Name (eg, section) []:Sales
- Common Name(コモンネーム)
- 証明書を導入するサイトのURL(SSL接続の際のURL:FQDN)を入力し、[Enter]キーを押します。
- Common Name (eg, YOUR name) []:www.example.com
- 以下の項目の入力を求められますが、何も入力せず[Enter]キーを押して進んでください。
Email Address []:
A challenge password []:
An optional company name []:
CSRの確認・秘密鍵のバックアップを行います。
- CSRは、破線の行も含みますので、ご注意ください。
-----BEGIN CERTIFICATE REQUEST-----
・・・暗号化情報・・・
-----END CERTIFICATE REQUEST----- - CSRの確認チェックを行う。以下のコマンドを使用します。
openssl req -noout -text -in domainname.csr以下のページでもCSRをデコードし、確認チェックを行うことができます。 秘密鍵の確認には、以下のコマンドを使用します。openssl rsa -noout -text -in wwwexamplecom.key
- 秘密鍵をサーバ外に保存します。
秘密鍵が、流出するとSSLのセキュリティが保てなくなりますので、ご注意ください。
サイト内検索
