[EV] OpenSSLで日本語組織名を申請する際のCSR生成方法を教えてください

Solution ID:    SO23171    Updated:    06/30/2015

Problem

EV SSL 証明書の組織名を日本語で申請したいのですが、Apache+Open SSLでCSRを生成する手順を教えてください。

Solution

SSLサーバ証明書のサブジェクトのOrganization(組織名)に日本語組織名を表記する場合は、CSR内の項目をUTF-8の文字コードで作成する必要があります。
以下に、Apache+OpenSSLを利用した場合の作成例をご紹介します。

このFAQでは、Linuxを用いた場合の手順をご説明しています。
Windows版のOpenSSLでは、日本語組織名のCSRを生成できません。
Windowsのコマンドプロンプト(cmd.exe)では、文字コードをUTF-8に変更すると日本語IMEが有効にできなくなるため日本語が書き込めません。また、コピー&ペーストでの日本語貼り付けもできません。
 

  1. ご利用のSSHクライアント(ターミナルエミュレータ)の文字コードをUTF-8に設定します。

    具体的な設定方法は、各アプリケーション毎に異なります。
    ここでは、ご参考までに Tera Term での設定をご紹介します。

    • Tera Termを起動し、[設定] - [端末] から端末の設定画面を表示します。
    • 「漢字-受信」、「漢字-送信」の設定でプルダウンから [UTF-8] を選択し [OK] をクリックします。
    • 設定完了後、[ファイル] - [新しい接続] からサーバに接続します。

       
  2. OpenSSLの設定ファイル "openssl.cnf" の string_mask項目の確認と必要な場合は設定を変更します。

    viなどで openssl.cnfを開き、string_maskの値を確認します。

     # vi openssl.cnf
     # MASK:XXXX a literal mask value.
     # WARNING: current versions of Netscape crash on BMPStrings or UTF8Strings
     # so use this option with caution!
     # we use PrintableString+UTF8String mask so if pure ASCII texts are used
     # the resulting certificates are compatible with Netscape
     string_mask = utf8only
     # req_extensions = v3_req # The extensions to add to a certificate request
     [ req_distinguished_name ]
     countryName = Country Name (2 letter code)
     countryName_default = JP 
    "string_mask = utf8only" と設定されている事を確認してください。
    utf8only以外の値(defaultなど)に設定されている場合には、utf8onlyに変更し保存します。

     
  3. CSRの生成を行います。

    以下リンク先の「Apache + OpenSSL CSR生成手順 」に従って実施しますが、手順のStep5では-utf8のオプションを追加する必要があります。

    -uff8オプションを追加したコマンド例
     # openssl req -new -utf8 -key <秘密鍵ファイル名> -out <CSRファイル名>
    
    
  4. 生成したCSRの内容確認を行います。
     # openssl asn1parse -in <CSRファイル名> | grep -1 organizationName
     66:d=4 hl=2 l= 25 cons: SEQUENCE
     68:d=5 hl=2 l= 3 prim: OBJECT :organizationName
     73:d=5 hl=2 l= 18 prim: UTF8STRING:<日本語組織名> 
    文字コードが "UTF8STRING" と表示され、日本語組織名が文字化けせず表示される事を確認します。
     
    • ※ OpenSSLのバージョンが1.0.0以上でないと、入力値(日本語組織名の部分)が正しく表示されない場合があります。
       
    ※日本語組織名の文字数制限について
    日本語組織名には文字数制限があります。申請前に指定する文字数を確認してください。
    • ストアフロント:40文字まで
    • マネージドPKI for SSL:64文字まで

      ※当社では、証明書を申請するサービスを複数ご提供しています。
       
      • 「ストアフロント」 1枚から証明書をご申請いただけます。
      • 「マネージド PKI for SSL」 エンタープライズのお客様向けボリュームライセンス方式のサービスです。

Disclaimer:

本情報の使用条件は次を参照してください。 利用規約

Knowledge Center