セコムのSSLサーバー証明書 新規・更新お申込み(セコムパスポート for Web SR3.0)

[×]このウィンドウを閉じる

鍵ペア/CSRの生成

OpenSSL (Apacheや、nginxなど) 新規/更新用

次の手順に従い、鍵ペアと CSR を生成してください。
このページでは、Unix環境でOpenSSLを使用していることを前提に説明しています。

注意事項

ApacheやNginxなど、 各種のSSL/TLS対応サーバーの多くは、 OpenSSLで鍵ペアとCSRを生成します。 鍵ペアとCSRを生成する前に、 サーバーとOpenSSLを最新版に更新しておくことをおすすめします。

≪Apache-SSLをご利用の場合≫
Apache-SSL は、OpenSSL 0系列だけの対応です。1以降の系列をご利用になる場合は、他のウェブ・サーバーへの移行をご検討ください。

OpenSSLのバージョンを確認するためのコマンド:
$ openssl version

≪Windows版をご利用の場合≫
実際の表記や用語が異なりますので、 読み替えて行ってください

環境 Unix DOS(Windows)
変数置換 ${変数名} %変数名%
パス名 /ディレクトリー名/ファイル名 ドライブ名:¥ディレクトリー名¥ファイル名
プロンプト #や$ ドライブ名>
コマンド・インタープリタ シェル コマンド プロンプト

更新時も、必ず新たに鍵ペアおよびCSRを作成してください。

1.鍵ペアの生成

※1.1系列以降のOpenSSLやWindows環境でご利用の場合は、 鍵ペアの生成 (1-2.) のみ実行してください。

現在ご利用中の鍵ペアがある場合は、上書きしないようご注意ください。

1-1.ファイル生成マスクの値の記録および変更

ファイル生成マスクの値の記録

次のコマンドを実行し、 出力 (ファイル生成マスクの値) を記録します。

コマンド例:
$ umask

※正常に終了すれば、「22」「007」など 0〜7までの数字が1〜4桁 表示されます。
ここで出力された(記録した)数字は、手順 1-3.で使用します。

ファイル生成マスクの値の一時変更 

出力された数字が 「77」「077」「0077」の3つ以外の場合

鍵情報の漏洩を防ぐため、 次のコマンドを実行してください (出力はありません)。

コマンド例:
$ umask 77

1-2.鍵ペアの生成

鍵ペアの生成コマンドの入力

以下の例では、 2048ビットの RSA 鍵ペアを生成し、「servername.key」 (ファイル名は任意) というファイル名で保存することを示しています。

コマンド例:
$ openssl genrsa -des3 -out servername.key 2048

-des3」:
パス・フレーズで保護するアルゴリズムを示すオプション
Windows環境や古いnginxなど、パス・フレーズによる保護をサポートしていないプラットホームやサーバーの場合、「-des3」は省略してください。

パス・フレーズの入力

プロンプトが表示されましたら、パス・フレーズを入力してください(入力したパス・フレーズは表示されません)。

確認のため再度プロンプトが表示されますので、同じパス・フレーズを再入力してください。

重要:
このパス・フレーズは、 サーバーの再起動時および証明書のインストールに必要となる重要な情報です。
忘れることがないよう、また情報が他人に漏れることがないようご注意ください。

1-3.ファイル生成マスクの値の復旧

1-1.でumask 77コマンドを実行した場合のみ対応いただきます。

umask 77コマンドを実行した場合は、ファイル生成マスクの値を復旧するため、次のコマンドを実行してください (出力はありません)。

コマンド例:
$ umask 《ファイル生成マスク値》

《ファイル生成マスク値》」:1-1.で記録した数字

2.CSRの生成

鍵ペアが作成されたことを確認後、 CSRを生成します。

2-1.CSRの生成

CSRの生成コマンドの入力

以下の例では、SHA-256アルゴリズムでCSRを作成し、「server.csr」 (ファイル名は任意) というファイル名で保存することを示しています。

コマンド例:
$ openssl req -new -key servername.key -out server.csr -sha256

servername.key」:
“1.鍵ペアの作成“で作成した、鍵ペアのファイル名

-sha256」:
アルゴリズムを示すオプション。
※0.9.8以降のOpenSSLが、このアルゴリズムをサポートしています。

パス・フレーズの入力

プロンプトが表示されましたら、パス・フレーズを入力してください。

サーバー識別名 (DN) 情報の入力

証明書内に組み込むサーバー識別名 (DN) 情報を入力します。

入力には以下の点にご注意ください。

  • 64文字以内の半角文字で入力してください
  • 識別名に使用できるのは、算用数字、アルファベット、空白、アポストロフィー (')、コンマ (,)、ハイフン (-)、ピリオド (.)、コロン (:)、等号 (=) です
  • 「&」が含まれる場合は、半角英字の and 等に置き換えてください
  • スペースのみの入力は控えてください。 スペースのみの入力項目がある場合、 証明書が発行されません
  • CSRは、 emailAddressを含めないよう生成ください。
  • emailAddress を含んだCSRを送付いただいても、 弊社発行の証明書には emailAddress は含まれません

各項目については以下を参照してください。

  • Country Name:国名
    ISO 3166による国名などの2文字の符号です。日本国となりますので「JP」と入力してください。
  • State or Province Name:都道府県名
    通常、組織の本店(代表)が置かれている都道府県名になります。
    例) 東京都の場合 「Tokyo to
  • Locality Name:市区町村名
    同様に、その市区町村名になります。
    例) 千代田区の場合 「Chiyoda ku
  • Organization Name:組織名
    お申込み者の組織名になります。
    例) セコムトラストシステムズの場合 「SECOM Trust Systems CO.,LTD.
    ※申請組織とドメイン所有者が異なる場合
    ドメイン所有者の組織名登録ではなく、証明書発行先となる申請組織名の登録となりますので、ご注意ください。
  • Organizational Unit Name:組織的単位名
    部署やグループなどの名前になります。この項目は省略することができます。
    2022年9月から禁止ですので、可能なサーバーで新規にご契約のばあいは、省略なさることを強く推奨します。
  • Common Name:サーバー名
    コモン・ネームになります。
    例) SSL/TLS通信を行うサイトが www.example.jp の場合「www.example.jp

    ※注意点
    コモン・ネームに以下を使用することはできません。

    • プロトコル特定子 (http://)
    • IPアドレスやポート番号
    • パス名
    • *」 や 「?」 のワイルドカード文字

    サーバー名は、 SSL/TLS通信を行うサイトのFQDN (Fully Qualified Domain Name) と同一でなければなりません。 証明書に登録するサーバー名と一致しない場合、 ブラウザがサイトへの安全な接続を拒否する場合があります。

    例えば、コモン・ネームを「example.jp」 とし証明書を発行した場合、<https://www.example.jp/> でアクセスすると、コモン・ネーム (example.jp) とFQDN (www.example.jp) が一致しないため、ブラウザでは警告が表示されます。

    次は指定しないでください。

    • Email Address (emailAddress)
    • A challenge password (challengePassword)
    • An optional company name (unstructuredName)

2-2.生成されたファイルの確認

要求された情報の入力が完了するとCSRが生成され、指定した名前のファイル (例:server.csr) に保存されます。

以下のコマンドでCSRの内容(DN情報)を確認し、内容に間違いないことをご確認ください。

コマンド例:
$ openssl req -noout -text -in server.csr

server.csr」:CSRを保存したファイル名

CSRおよび鍵ペアの生成は、以上で完了です。

CSRサンプル
CSRサンプル

ここで生成したCSRを、お申込み画面に貼り付けて申請してください。

※重要
作成したCSRおよび鍵ペアのファイルは、 必ずバックアップをとって、 安全な場所に保管してください。 また、鍵ペアのファイル生成時に指定したパス・フレーズも確実に管理してください。 鍵ペアのファイルの紛失、 パス・フレーズ忘れ等が発生した場合、 証明書のインストールが行えなくなりますので、 ご注意ください

[ このウィンドウを閉じる ]