DigiCert KnowledgeBase - Technical Support-hero

Knowledge Base

Apache + OpenSSL CSR生成手順 (新規/更新)

ソリューション番号: SO23384
最終更新日: 2025/01/07

Apache + OpenSSL CSR生成手順 (新規)

必ずお読みください

  • 本文書の内容によって生じた結果の影響について弊社では一切の責任を負いかねますこと
    予めご了承ください。
  • 本文書は基本的な構成を想定しています。お客様のシステム環境や構成、
    設定状況などにより、手順や画面表示が変わることがあります。
    アプリケーション及びツールごとの仕様及び設定手順等のご不明な点は、
    製品のマニュアルをお読みいただくか、開発元にご確認ください。
     

事前にご確認ください

  • 当社では、お客様が利用するウェブサーバアプリケーション および ウェブブラウザの
    仕様や証明書の導入にあたっての設定、不具合などのサポートを行っていません。
    各製品の開発元・販売元にお問合せいただいています。
    明確なお問合せ先のないApache やOpenSSLなどのフリーウェアの設定などの不明点や、
    発生した不具合については、お客様の責任においてご対応いただくことになります。
    あらかじめご了承ください。
  • 作業をはじめる前に、ウェブサーバに OpenSSL がインストールされていることを確認してください。
  • 以下の手順では、OpenSSLが /usr/local/ssl/bin にインストールされている状態を
    想定しています。
    お客様の環境により、パスおよびファイル名が異なります。

マルチドメイン、ワイルドカード、複数年プランに対応しているSSL/TLSサーバ証明書。自動更新、ユーザ管理、レポートなど、高機能かつ直観的に利用できる管理コンソールCertCentralで更新負担を下げます。

詳細

Step1:秘密鍵とCSRの生成

  1. 秘密鍵を作成します。2048bit の秘密鍵(ファイル名:private.key)を作成する場合の例
    # ./openssl genrsa -des3 -out (秘密鍵ファイル名) (キー長)

    例 openssl genrsa -des3 -out private.key 2048

    • 秘密鍵生成時には、必ず2048bitを指定してください。
    • 1024bit鍵長のCSRによる申請は、2012年9月28日を もって受付を停止いたしました。
  2. 秘密鍵を保護するためのパスフレーズの入力を求められます。
       任意のフレーズを入力し、[Enter]キーを押します(同じフレーズを2度入力します)。
    ここで入力するパスフレーズは、絶対に忘れないように大切に管理してください。
  3. 指定したファイル名 (private.key) で、秘密鍵ファイルが作成されます。
  4. 作成した秘密鍵ファイルからCSRを生成します。
    ※SHA-2版証明書の申請に、-sha256のオプション指定は必須ではありません。
    # ./openssl req -new -key (秘密鍵ファイル名) -out (CSRファイル名)

    例: openssl req -new -key private.key -out server.csr

  5. 秘密鍵のパスフレーズの入力を求められます。
    秘密鍵作成時に指定したパスフレーズを入力し、[Enter]キーを押します。
  6. 続いて、ディスティングイッシュネーム 情報を順に入力していきます。
    注意
    CertCentralでの申請ではCSRに入力するディスティングネーム情報は使用されません。
    証明書に反映させたいコモンネームや組織名等の情報は申請時にページ内で指定してください。

    入力例:

    Country Name (2 letter code) [AU]:JP
    State or Province Name (full name) []:Tokyo
    Locality Name (eg, city) []:Chuo-Ku
    Organization Name (eg, company) []:Sample K.K.
    Organizational Unit Name (eg, section) []:Web Sales Dept.
    Common Name (eg, YOUR name) []:www.sample.co.jp

    入力必須項目は、ここまでの6項目です。これ以降以下の様な項目が表示される場合、
    入力不要です。何も入力せず[Enter]キーを押して進んでください。
    Email Address []:  A challenge password []:  An optional company name []:

     

  7. CSRが生成されます。 生成されたCSRは、申請情報入力画面に貼り付けます。

    ※このCSRはサンプルです。申請には利用できません。

Step 2:秘密鍵のバックアップ

「Step 1:秘密鍵とCSRの生成」 の手順 (2.) で作成した秘密鍵ファイルをバックアップします。

上記例: のファイル名では、"private.key"

サーバIDは、申請に利用したCSRの生成元秘密鍵との正しい組み合わせ以外 にはインストールできません。正しい秘密鍵を確実にバックアップし、設定したパスフレーズを忘れないよう注意してください。

お客様の秘密鍵について

  • 秘密鍵は、セキュリティ上最も大切な情報です。秘密鍵が漏洩した場合、暗号化の安全性が失われます。
  • 秘密鍵をEメールに添付して送信したり、共有のドライブで保存するなどの行為は
    絶対にお止めください。
  • 当社がお客様の秘密鍵情報を受け取ることは絶対にありません。
  • 秘密鍵は必ずハードディスク以外のメディアにもバックアップを取り、厳重管理
    してください。
  • 設定したパスフレーズを忘れないように十分注意してください。

パスフレーズの解除について

秘密鍵にはパスフレーズをつけていただくことをお勧めしていますが、ご利用の環境、製品によりパスフレーズを解除する必要がある場合には、お客様のご判断にて以下の手順をお試しください。
※元の秘密鍵ファイル名とパスフレーズなしの秘密鍵ファイル名を同じにすると、上書きされます
のでご注意ください。

# ./openssl rsa -in (秘密鍵ファイル名) -out (パスフレーズなしの秘密鍵ファイル名)

例: openssl rsa -in private.key -out private_passoff.key 

  • DigiCert Logo

    法人向けTLS/SSLサーバ証明書、PKI、IoT、署名ソリューションを提供するグローバルリーディングカンパニーです。