Apache + OpenSSL CSR生成手順 (新規)

Solution ID:    SO23384    Updated:    08/12/2015

Problem

Apache + OpenSSL CSR生成手順 (新規)

Solution

必ずお読みください

  • 本文書の内容によって生じた結果の影響について、弊社では一切の責任を負いかねますこと予めご了承ください。
  • 本文書は基本的な構成を想定しています。お客様のシステム環境や構成、設定状況などにより、手順や画面表示が変わることがあります。アプリケーション及びツールごとの仕様及び設定手順等のご不明な点は、製品のマニュアルをお読みいただくか、開発元にご確認ください。

事前にご確認ください

  • フリーウェアApacheをご利用のお客様は、作業をはじめる前に必ず以下をお読みください。
  • 作業をはじめる前に、ウェブサーバに OpenSSL がインストールされていることを確認してください。
  • 以下の手順では、OpenSSLが /usr/local/ssl/bin にインストールされている状態を想定しています。
    お客様の環境により、パスおよびファイル名が異なります。
  • EV SSL証明書のご申請において日本語の組織名をご指定される場合は、予めSSHクライアントの文字コードをUTF-8に設定してください。
     

Step 1:秘密鍵とCSRの生成

  1. 秘密鍵を作成します。
    2048bit の秘密鍵(ファイル名:private.key)を作成する場合の例

    # ./openssl genrsa -des3 -out (秘密鍵ファイル名) (キー長)

    例: openssl genrsa -des3 -out private.key 2048

    • 秘密鍵生成時には、必ず2048bitを指定してください。
    • 1024bit鍵長のCSRによる申請は、2012年9月28日をもって受付を停止いたしました。
       
  2. 秘密鍵を保護するためのパスフレーズの入力を求められます。
    任意のフレーズを入力し、[Enter]キーを押します(同じフレーズを2度入力します)。

    ここで入力するパスフレーズは、絶対に忘れないように大切に管理してください。

  3. 指定したファイル名 (private.key) で、秘密鍵ファイルが作成されます。
     
  4. 作成した秘密鍵ファイルからCSRを生成します。
    ※SHA-2版の証明書を取得する場合も、-sha256のオプションは不要です。
     

    # ./openssl req -new -key (秘密鍵ファイル名) -out (CSRファイル名)

    例: openssl req -new -key private.key -out server.csr

  5. 秘密鍵のパスフレーズの入力を求められます。
    秘密鍵作成時に指定したパスフレーズを入力し、[Enter]キーを押します。

  6. 続いて、ディスティングイッシュネーム情報を順に入力していきます。
    各項目の入力要領は、以下のFAQを確認してください。


    EV SSL証明書を申請されるお客様へ

    以下の例は、SSLサーバ証明書(サーバID)申請用 CSR のディスティングイッシュネーム登録例です。
    「EV SSL証明書」申請用 CSR については、必ず以下 FAQ を事前に確認してください。
    日本語組織名を指定する場合は、必ず以下 FAQ を事前に確認してください。


    【Country (国名)】
    半角大文字で JP と入力し、[Enter]キーを押します。

    Country Name (2 letter code) [AU]:JP
     

    【State(都道府県名)】 (例:Tokyo)
    都道府県名をローマ字表記で入力し、[Enter]キーを押します。

    State or Province Name (full name) []:Tokyo
     

    【Locality(市区町村名)】 (例:Chuo-Ku)
    市区町村名(都道府県の1つ下のレベル)をローマ字表記で入力し、[Enter]キーを押します。

    Locality Name (eg, city) []:Chuo-Ku
     

    【Organizational Name(組織名)】 (例:Sample K.K.)
    サーバID申請団体の 正式英語組織名(会社名・団体名)を入力し、[Enter]キーを押します。

    Organization Name (eg, company) []:Sample K.K.
     

    【Organizational Unit(部門名)】 (例:Web Sales Dept.)
    部門名・部署名など、任意の判別文字列を入力し、[Enter]キーを押します。
    ※申請団体名以外の組織名、団体名、 商号、商標 またはそれらに近似する文字列は指定できません。
    ※Division , Department , Project など、内部組織名であることが判別できる単位名を指定してください。

    Organizational Unit Name (eg, section) []:Web Sales Dept.
     
    • 同一コモンネームでの複数申請は、この項目の指定文字列を変更して申請件数分CSRを生成します。

    【Common Name(コモンネーム)】 (例:https://www.sample.co.jp/ の場合→ www.sample.co.jp)
    サーバIDを導入するサイトのURL(SSL接続の際のURL:FQDN)を入力し、[Enter]キーを押します。

    Common Name (eg, YOUR name) []:www.sample.co.jp
     

    入力必須項目は、ここまでの6項目です。

    これ以降以下の様な項目が表示される場合、入力不要です。
    何も入力せず[Enter]キーを押して進んでください。

    Email Address []:  A challenge password []:  An optional company name []:
     
  7. CSRが生成されます。
    生成されたCSRは、ストアフロントの申請情報入力画面に貼り付けます。

    申請情報入力画面の「サーバソフトウェア」の選択肢では、Microsoft以外のサーバを選択してください。

    • このCSRはサンプルです。申請には利用できません。
       

Step 2:秘密鍵のバックアップ

「Step 1:秘密鍵とCSRの生成」 の手順 (2.) で作成した秘密鍵ファイルをバックアップします。
例: のファイル名では、"private.key"

サーバIDは、申請に利用したCSRの生成元秘密鍵との正しい組み合わせ以外にはインストールできません。
正しい秘密鍵を確実にバックアップし、設定したパスワードを忘れないよう注意してください。
 

お客様の秘密鍵について

  • 秘密鍵は、セキュリティ上最も大切な情報です。秘密鍵が漏洩した場合、暗号化の安全性が失われます。
  • 秘密鍵をEメールに添付して送信したり、共有のドライブで保存するなどの行為は絶対にお止めください。
  • 当社がお客様の秘密鍵情報を受け取ることは絶対にありません。
  • 秘密鍵は必ずハードディスク以外のメディアにもバックアップを取り、厳重管理してください。
  • 設定したパスフレーズを忘れないように十分注意してください。 
     

パスフレーズの解除について

秘密鍵にはパスフレーズをつけていただくことをお勧めしていますが、ご利用の環境、製品によりパスフレーズを解除する必要がある場合には、
お客様のご判断にて以下の手順をお試しください。
※元の秘密鍵ファイル名とパスフレーズなしの秘密鍵ファイル名を同じにすると、上書きされますのでご注意ください。

 

# ./openssl rsa -in (秘密鍵ファイル名) -out (パスフレーズなしの秘密鍵ファイル名)

例: openssl rsa -in private.key -out private_passoff.key 



 

Disclaimer:

本情報の使用条件は次を参照してください。 利用規約

Find Answers