鍵ペア/CSRの生成OpenSSL (Apacheや、nginxなど) 新規/更新用
次の手順に従い、鍵ペアと CSR を生成してください。
このページでは、Unix環境でOpenSSLを使用していることを前提に説明しています。
ApacheやNginxなど、各種のSSL/TLS対応サーバーの多くは、OpenSSLで鍵ペアとCSRを生成します。鍵ペアとCSRを生成する前に、サーバーとOpenSSLを最新版に更新しておくことをおすすめします。
≪Apache-SSLをご利用の場合≫
Apache-SSL は、OpenSSL 0系列だけの対応です。1以降の系列をご利用になる場合は、他のウェブ・サーバーへの移行をご検討ください。
OpenSSLのバージョンを確認するためのコマンド:
$ openssl version≪Windows版をご利用の場合≫
実際の表記や用語が異なりますので、 読み替えて行ってください
| 環境 | Unix | DOS(Windows) |
|---|---|---|
| 変数置換 | ${変数名} | %変数名% |
| パス名 | /ディレクトリー名/ファイル名 | ドライブ名:\ディレクトリー名\ファイル名 |
| プロンプト | #や$ | ドライブ名> |
| コマンド・インタープリタ | シェル | コマンド プロンプト |
更新時も、必ず新たに鍵ペアおよびCSRを作成してください。
1.鍵ペアの生成
※1.1系列以降のOpenSSLやWindows環境でご利用の場合は、 鍵ペアの生成 (1-2.) のみ実行してください。
現在ご利用中の鍵ペアがある場合は、上書きしないようご注意ください。
1-1
ファイル生成マスクの値の記録および変更
ファイル生成マスクの値の記録
次のコマンドを実行し、 出力 (ファイル生成マスクの値) を記録します。
コマンド例:
$ umask※正常に終了すれば、「22」「007」など 0?7までの数字が1?4桁 表示されます。
ここで出力された(記録した)数字は、手順 1-3.で使用します。
ファイル生成マスクの値の一時変更
出力された数字が 「77」「077」「0077」の3つ以外の場合
鍵情報の漏洩を防ぐため、 次のコマンドを実行してください (出力はありません)。
コマンド例:
$ umask 77
1-2
鍵ペアの生成
鍵ペアの生成コマンドの入力
以下の例では、 2048ビットの RSA 鍵ペアを生成し、「servername.key」 (ファイル名は任意) というファイル名で保存することを示しています。
どの系列のOpenSSLでも実行できるコマンド例:
$ openssl genrsa -des3 -out servername.key 20481系列以降のOpenSSLでのコマンド例:(3系列で推奨されます。0系列では機能しません)
$ openssl genpkey -algorithm rsa -des3 -pkeyopt rsa_keygen_bits:2048 -out servername.key「-des3」:
パス・フレーズで保護するアルゴリズムを示すオプション
Windows環境や古いnginxなど、パス・フレーズによる保護をサポートしていないプラットホームやサーバーの場合、「-des3」は省略してください。
パス・フレーズの入力
プロンプトが表示されましたら、パス・フレーズを入力してください(入力したパス・フレーズは表示されません)。
確認のため再度プロンプトが表示されますので、同じパス・フレーズを再入力してください。
重要:
このパス・フレーズは、 サーバーの再起動時および証明書のインストールに必要となる重要な情報です。
忘れることがないよう、また情報が他人に漏れることがないようご注意ください。
1-3
ファイル生成マスクの値の復旧
1-1.でumask 77コマンドを実行した場合のみ対応いただきます。
umask 77コマンドを実行した場合は、ファイル生成マスクの値を復旧するため、次のコマンドを実行してください (出力はありません)。
コマンド例:
$ umask 《ファイル生成マスク値》「《ファイル生成マスク値》」:1-1.で記録した数字
2.CSRの生成
鍵ペアが作成されたことを確認後、 CSRを生成します。
2-1
CSRの生成
CSRの生成コマンドの入力
以下の例では、SHA-256アルゴリズムでCSRを作成し、「server.csr」 (ファイル名は任意) というファイル名で保存することを示しています。
コマンド例:
$ openssl req -new -key servername.key -out server.csr -sha256「servername.key」:
“1.鍵ペアの作成“で作成した、鍵ペアのファイル名
「-sha256」:
アルゴリズムを示すオプション。
※0.9.8以降のOpenSSLが、このアルゴリズムをサポートしています。
パス・フレーズの入力
プロンプトが表示されましたら、パス・フレーズを入力してください。
サーバー識別名 (DN) 情報の入力
証明書内に組み込むサーバー識別名 (DN) 情報を入力します。
入力には以下の点にご注意ください。
- ・64文字以内の半角文字で入力してください
- ・識別名に使用できるのは、算用数字、アルファベット、空白、アポストロフィー (')、コンマ (,)、ハイフン (-)、ピリオド (.)、コロン (:)、等号 (=) です
- ・「&」が含まれる場合は、半角英字の and 等に置き換えてください
- ・スペースのみの入力は控えてください。 スペースのみの入力項目がある場合、 証明書が発行されません
- ・CSRは、OUやemailAddressを含めないよう生成ください
- ・OU や emailAddress を含んだCSRを送付いただいても、証明書には OU も emailAddress も含まれません
■各項目について
・Country Name:国名
ISO 3166による国名などの2文字の符号です。日本国となりますので「JP」と入力してください。
・State or Province Name:都道府県名
都道府県名になります。
≪登録例≫
都道府県【ST】
(例)東京都: 「Tokyo to」「Tokyo-to」「Tokyo pref.」
北海道:「Hokkaido」「Hokkaido pref.」
大阪府:「Osaka fu」「Osaka-fu」「Osaka pref.」
※行政区分(都、府、県)を示す単語(to, fu, ken, prefecture)は省略可能です。
・Locality Name:市区町村名
通常、組織の本店(代表)が置かれている市区町村名になります。
※市区町村以降の住所(町名、字、丁目、番地、号など)は含めないでください。
≪登録例≫
市区町村名【L】
- 特別区(東京23区)の場合
(例)千代田区:「Chiyoda ku」「Chiyoda-ku」「Chiyoda city」 - 市の場合
(例)市川市:「Ichikawa shi」「Ichikawa-shi」「Ichikawa-city」 - 政令指定都市の場合
(例)横浜市西区:「Yokohama-shi」「Yokohama-shi Nishi-ku」 - 町村の場合
(例)中郡二宮町:「Naka-gun Ninomiya-machi」「Naka-county Ninomiya-town」
西多摩郡檜原村:「Nishitama-gun Hinohara-mura」「Nishitama-county Hinohara-village」
NG例
- 「Mitaka-shi. Shimorenjyaku」
- 「Shibuya-ku, jingumae 1-5-1」
町名、字、丁目、番地、号など含めたものはNGとなります。
・Organization Name:組織名
お申込み者の組織名になります。
例) セコムトラストシステムズの場合 「SECOM Trust Systems CO.,LTD.」
※申請組織とドメイン所有者が異なる場合
ドメイン所有者の組織名登録ではなく、証明書発行先となる申請組織名の登録となりますので、ご注意ください。
・Organizational Unit Name:省略してください
この項目は発行に先立ち削除されます。
2022年9月から禁止ですので、省略してください。
・Common Name:サーバー名
コモン・ネームになります。
例) SSL/TLS通信を行うサイトが www.example.jp の場合「www.example.jp」
※注意点
コモン・ネームに以下を使用することはできません。
- ・プロトコル特定子 (http://)
- ・IPアドレスやポート番号
- ・パス名
- ・「*」 や 「?」 のワイルドカード文字
サーバー名は、 SSL/TLS通信を行うサイトのFQDN (Fully Qualified Domain Name) と同一でなければなりません。 証明書に登録するサーバー名と一致しない場合、 ブラウザがサイトへの安全な接続を拒否する場合があります。
例えば、コモン・ネームを「example.jp」 とし証明書を発行した場合、<https://www.example.jp/>でアクセスすると、コモン・ネーム (example.jp) とFQDN (www.example.jp) が一致しないため、ブラウザでは警告が表示されます。
次は指定しないでください。
- ・Organizational Unit Name (OU)
- ・Email Address (emailAddress)
- ・A challenge password (challengePassword)
- ・An optional company name (unstructuredName)
2-2
生成されたファイルの確認
要求された情報の入力が完了するとCSRが生成され、指定した名前のファイル (例:server.csr) に保存されます。
以下のコマンドでCSRの内容(DN情報)を確認し、内容に間違いないことをご確認ください。
コマンド例:
$ openssl req -noout -text -in server.csr「server.csr」:CSRを保存したファイル名
CSRおよび鍵ペアの生成は、以上で完了です。
CSRサンプル
ここで生成したCSRを、お申込み画面に貼り付けて申請してください。
※重要
作成したCSRおよび鍵ペアのファイルは、 必ずバックアップをとって、 安全な場所に保管してください。 また、鍵ペアのファイル生成時に指定したパス・フレーズも確実に管理してください。 鍵ペアのファイルの紛失、 パス・フレーズ忘れ等が発生した場合、 証明書のインストールが行えなくなりますので、 ご注意ください。
