質問

Advanced Search

Solution ID : SOT0026

Last Modified : 02/05/2024

[CertCentral]CSR生成について

Solution

CSRとは

CSRとは、SSLサーバ証明書を導入するサーバ上で生成する証明書の署名リクエスト(Certificate Signing Request)です。
サーバー証明書を導入するサーバで、ウェブサイトの情報(ディスティングイッシュネーム)などを入力して生成します。

CSRサンプル(このCSRはサンプルです。申請には使用できません)


生成したCSRをSSLサーバ証明書の申請画面へ貼り付け送信します。
CSRを生成するためにはお客様のウェブサーバでの操作が必要になりますので、レンタルサーバなどを利用されている場合は、事前にサーバ管理会社へご相談ください。
弊社でCSRを生成したり、お客様へ提供することはできません。

CSR生成手順

CSR生成手順を参考情報としてご案内しています。手順の詳細は各機器またはウェブサーバアプリケーションの開発元に確認してください。

  • 米国デジサートのサイトにも参考手順が掲載されています。
  • CSR生成時に作成した キーペア(秘密鍵)を紛失・破損すると、発行されたサーバー証明書を利用できません。
    必ずハードディスク以外のメディアにもバックアップを取り、厳重に管理してください。
  • 当社がお客様の秘密鍵情報を受け取ることは決してありません。
  • CSR生成時の署名アルゴリズムを指定する場合は、sha224は指定しないでください。

 

アプリケーション名 手順
Apache + OpenSSL 共通
Microsoft IIS 8.0以上 共通
Microsoft IIS 7.0 / 7.5 共通
Microsoft IIS 6.0 新規  /   更新
IBM WebSphere Application Server 7.0 + IBM HTTP Server 7.0 共通
Oracle WebLogic Server 11g 新規  /   更新
Sun One Web Server 6.1 新規  /   更新
HDE Controller 共通

  

クラウドサービス名 手順
Amazon Web Services(AWS)   新規 更新
Amazon Elastic Compute Cloud (Amazon EC2) ご選択いただくサーバーにより手順が異なります。
各サーバーのCSR作成手順書をご覧ください。
Elastic Load Balancing (ELB) CSR 作成 (※)
Amazon CloudFront CloudFront SSL 申請フォーム (※)
Amazon API Gateway CSR 作成 (※)

※外部のWEBサイト(Amazon Web Services)へ遷移します。記載内容に関するご不明点は、クラウドサービス事業者へお問い合わせください

 

 

CSR生成時に入力するディスティングネーム情報について


CertCentralで申請時に提出するCSRを生成の際に入力したディスティングネーム情報は発行される証明書に適用されません。
CertCentralでは申請フォームで選択した「組織」情報の組織名および住所情報で認証し、発行する証明書のディスティングイッシュネーム情報へ反映します。
CSRに含められていた組織名および住所情報と異なる内容で発行される場合がありますので、ご注意ください。


項目 情報 CertCentralでの申請時の指定方法
コモンネーム
Common Name
サーバ証明書を導入し SSL暗号化通信を行うサイトのURL(FQDN)を指定します。
SSL接続の際にブラウザで指定するURLと一致させる必要があります。
例) https://www.digicert.co.jp → www.digicert.co.jp


申請ページの[コモンネーム/SAN]に指定します。


申請画面のコモンネームにはCSRを貼り付けた後CSR生成時に入力したFQDNが表示されますが、コモンネームをゴミ箱マークで削除をして、CSR生成時とは異なる文字列のFQDN(コモンネーム)を入力することも可能です。その場合、発行される証明書のコモンネームは申請画面に入力した文字列のコモンネームで発行されます。 ※更新申請の場合は前回のコモンネームが表示されます。
なおコモンネームで指定したFQDNはSANにも自動的に含まれて発行されますので、SANに入力していただく必要はございません。
※コモンネームおよびSANsに含まれるドメインはドメイン登録機関に
 登録されたドメインである必要があります。ワンワードや
 ローカルドメインを入力するとエラーが表示され申請ができません。
 

組織名
Organization
ウェブサイトを運営する組織名
申請ページの[組織]で証明書に反映する組織情報を指定します。すでに組織が選択されており、社名変更等の理由で変更をする場合にはゴミ箱マークで削除をして「新しい組織」もしくは登録済の組織を選択しなおしてください。
部門名
Organizational Unit
部門・部署名など、任意の識別名称
CSRや申請パラメーターにおいて部門名(OUフィールド)に文字が含まれていた場合も、発行される証明書の部門名(OUフィールド)は省略され空欄のまま発行されます。
市区町村郡名
(※1)
Locality
市区町村郡名 [組織]の住所情報が反映されます。
都道府県名
(※1)
State or Province
都道府県名 [組織]の住所情報が反映されます。
国名 国コード [組織]の住所情報が反映されます。

 

 

CSRに関するFAQ

Q:サーバー証明書の導入を検討していますが、ウェブサーバの準備ができていません。仮のウェブサーバでCSRを生成して サーバー証明書 を申請できますか



A:実運用のウェブサーバの準備が整ってから、CSR生成などの準備を開始することをお勧めします。

CSRを生成するウェブサーバには、キーペア(秘密鍵・公開鍵)の情報が作成されます。
サーバー証明書は、申請用のCSRを生成した際に作成されたキーペアに対してのみ対応しています。
正しいキーペアとの組み合わせでのみ、利用することができます。

キーペア情報不一致などのトラブルを防ぐため、実運用のウェブサーバ上でCSRを生成することをお勧めしています。



Q:サーバー証明書の導入を検討していますが、ウェブサーバの準備ができていません。仮のウェブサーバでCSRを生成して サーバー証明書 を申請できますか

A:実運用のウェブサーバの準備が整ってから、CSR生成などの準備を開始することをお勧めします。

CSRを生成するウェブサーバには、キーペア(秘密鍵・公開鍵)の情報が作成されます。
サーバー証明書は、申請用のCSRを生成した際に作成されたキーペアに対してのみ対応しています。
正しいキーペアとの組み合わせでのみ、利用することができます。

キーペア情報不一致などのトラブルを防ぐため、実運用のウェブサーバ上でCSRを生成することをお勧めしています。

参考サイト:取得したサーバIDを別のサーバに移行できますか
https://knowledge.digicert.com/ja/jp/solution/SO22887


Q: 更新の度に、新しいCSRを生成する必要はありますか?

A: 過去申請に利用したCSRでも更新申請は可能です。
(ただし危殆化した秘密鍵が元となっているCSRで弊社でブラックリスト登録されているCSRは申請時にエラーが発生します。)

CSR生成時に元になる秘密鍵をお持ちであれば、発行された証明書と秘密鍵をペアにしてインストールできます。


ただし、Microsoft IISのようにCSR生成につき1度しかインストールできない仕様のサーバアプリケーションもございますのでご注意ください。