CSR作成 Apache + OpenSSL[新規・更新]

SSL マニュアル
重要なお知らせ
中間CA証明書・ルート証明書変更のお知らせ(2017年12月1日以降発行分)
Symantec(シマンテック)からDigeCert(デジサート)へシステム基盤移行のお知らせ

CSR作成 Apache + OpenSSL[新規・更新]

SSLサーバ証明書のお申込みに際しまして、事前にCSRを生成してご用意いただく必要があります。
Apache + OpenSSL環境でのCSR生成手順を説明します。新規・更新ともに同じ手順です。

  • 作業をはじめる前に、ウェブサーバに OpenSSL がインストールされていることを確認してください。
  • 以下の手順では、OpenSSLが /usr/local/ssl/bin にインストールされている状態を想定しています。お客様の環境により、パスおよびファイル名が異なりますので必要に応じてお客様の環境に置き換えて下さい。

■ステップ1 秘密鍵とCSRの生成

■秘密鍵ファイルの生成

秘密鍵を作成します。
【パスフレーズありの場合】

# openssl genrsa -des3 -out 2015server.key 2048

秘密鍵を保護するためのパスフレーズの入力を求められます。
任意のフレーズを入力し、[Enter]キーを押します(同じフレーズを2度入力します)。ここで入力するパスフレーズは、 絶対に忘れないように大切に管理してください。 指定したファイル名で、秘密鍵ファイルが作成されます。

【注意】1024bitのCSRでは受付できません。必ず2048bitとして下さい。
【パスフレーズなしの場合】

# openssl genrsa -out 2015server.key 2048

ウェブサーバの自動起動などの設定上、パスフレーズなしでウェブサーバを起動したい場合には、 -des3 を省略することにより、パスフレーズなしでウェブサーバを起動できます。 サーバ監視システムなどでウェブサーバを自動起動する場合はパスフレーズなしで作成して下さい。

■CSRファイルの生成

作成した秘密鍵ファイル(2015server.key)からCSRファイル(2015server.csr)を生成します。

【SHA-2版の例は以下のとおりです】
【注意】SHA-1版のCSRを作成しても、認証局はSHA-2版で証明書を発行します。

# openssl req -new -sha256 -key 2015server.key -out 2015server.csr


秘密鍵のパスフレーズの入力を求められます。
秘密鍵作成時に指定したパスフレーズを入力し、[Enter]キーを押します。

続いて、ディスティングイッシュネーム情報を順に入力していきます。

以下は、SSLサーバ証明書申請用 CSR のディスティングイッシュネーム登録例です。
すべての項目に半角英数文字で入力します。
全角2バイト文字や以下の様な記号・特殊文字等は使用できません。
, ? ! @ $ % ^ & * ( ) _ { } | : ” < > ? #
【Country (国名)】(例:JP)

 Country Name (2 letter code) [AU]:JP

半角大文字で JP と入力し、[Enter]キーを押します。

【State(都道府県名)】(例:Tokyo)

 State or Province Name (full name) []:Tokyo

都道府県名をローマ字表記で入力し、[Enter]キーを押します。

【Locality(市区町村名)】(例:Shibuya-ku)

 Locality Name (eg, city) []:Shibuya-ku

市区町村名をローマ字表記で入力し、[Enter]キーを押します。

【Organizational Name(組織名)】 (例:ABC Japan K.K.)

 Organization Name (eg, company) []:ABC Japan K.K.

サーバID申請団体の 正式英語組織名(会社名・団体名)を入力し、[Enter]キーを押します。

【Organizational Unit(部門名)】 (例:System1、System2 など)

 Organizational Unit Name (eg, section) []:System1

部門名・部署名など、任意の判別文字列を入力し、[Enter]キーを押します。
同一コモンネームでの複数申請は、この項目の指定文字列を変更して申請件数分CSRを生成します。

【Common Name(コモンネーム)】 (例: www.yourdomain.co.jp)

 Common Name (eg, YOUR name) []:www.yourdomain.co.jp

サーバ証明書を導入するサイトのURL(SSL接続の際のURL:FQDN)を入力し、[Enter]キーを押します。
コモンネーム www.yourdomain.co.jp の場合は、
https://www.yourdomain.co.jp がURLとなります。

※ワイルドカードSSLサーバー証明書の場合は、
コモンネーム *.yourdomain.co.jp のように
ホスト部分は*(アスタリスク)として下さい。

入力必須項目は、ここまでの6項目です。
これ以降以下の様な項目が表示される場合、入力不要です。
何も入力せず[Enter]キーを押して進んでください。

 Email Address []:
 A challenge password []:
 An optional company name []:

CSRが生成されます。
生成されたCSRは、ValueSSLのサイトからSSL証明書のお申込み時に貼り付けます。
CSRサンプル

※ 上記のCSRはサンプルです。申請には利用できません。

■ステップ2 秘密鍵のバックアップ

「Step 1:秘密鍵とCSRの生成」 の手順で作成した秘密鍵ファイルを、CDなどの外部メディアにバックアップします。

サーバ証明書は、申請に利用したCSRの生成の元となった秘密鍵との正しい組み合わせ以外にはインストールできません。
正しい秘密鍵を確実にバックアップし、設定したパスワードを忘れないよう注意してください。









【ご注意】
この文書に記載されている情報は予告なしに変更されることがあります。 この文書に記載されている情報に従ってユーザが操作を行い、いかなる損害を被ろうとも、当社は一切の責任を負いません。 また、ユーザは自己の責任において使用する事に同意したものとみなされます。
-