質問

Solution ID : SO23005

ECCのCSR生成方法

Solution

ご注意ください

  • CSR を生成するため、キーペアをサーバーで生成する必要があります。
  • これら 2 つのアイテムはデジタル証明書キーペアで、その組合せ以外で使用することはできません。
  • SSL 証明書をインストールする前に公開キー/秘密キーファイル、パスワードを紛失したり変更した場合、サーバ証明書を再発行する必要があります。
  • インストールを正常に完了させるためには秘密キー、CSR および証明書はすべて一致する必要があります。
  • 詳細については Apache-SSL ベンダーにご連絡いただくことを推奨します。

 

Step 1:ECC 秘密キーの生成

注 : 次の ECC 曲線名がサポートされています。
キータイプ : NIST 推奨曲線名 P-256 (OpenSSL 上の曲線名 prime256v)

ユーティリティ "openssl" は鍵および CSR を生成するのに使用されます。

このユーティリティは OpenSSL パッケージに含まれ、通常 /usr/local/ssl/bin の下にインストールされます。

ユーティリティが別のディレクトリにインストールされている場合、手順もそれに合わせる必要があります。

プロンプトで次のコマンドをタイプします:
注 : 正しい ECC パラメーターを生成するために、曲線名 (例 prime256v1) および SHA-256 署名アルゴリズムを指定してください。OpenSSL ver. 1.0.1e を使用してください。

openssl ecparam -out privatekey.key -name prime256v1 -genkey

例:

 openssl ecparam -out privatekey.key -name prime256v1 -genkey
 

Step 2:CSR の生成

プロンプトで次のコマンドをタイプします:

 openssl req -new -key privatekey.key  -sha256 -out request.csr


例:
 openssl req -new -key privatekey.key  -sha256 -out request.csr
 

注 : openSSL を Windows を使用する場合、openssl.cnf へのパスを次のように指定する必要があります。
openssl req -new -key privatekey.key -out request.csr -config "c:\OpenSSL-Win64\bin\openssl.cnf"

このコマンドは次の証明書に含まれる X.509 属性の入力を求めます :

  • Country Name: 2 文字の国コードを入力します。例 : JP
  • State or Province: 都道府県を入力します。例 : Tokyo
  • Locality or City: 市区町村を入力します。
  • Company: 企業名や部門名に &、@、やその他シフト キーを使用し入力するような記号が含まれている場合、記号はスペル アウトされるか省略します。例 : XY & Z Corporation は XYZ Corporation または XY and Z Corporation とします。
  • Organizational Unit: このフィールは任意ですが企業に登録された証明書を特定するため役立ちます。Organizational Unit (OU) フィールドは申請している部門名や企業内のユニット名を入力します。
  • Common Name : コモンネームはホスト名 + ドメイン名です。"www.company.com" や "company.com" などです。

Symantec の証明書は申請時に指定されたコモンネームを使用するウェブ サーバー上でのみ使用可能です。
例えば "domain.com" に対する証明書が "www.domain.com" や "secure.domain.com" と名付けたサイトに使用されアクセスした場合警告が表示されます。
これは "www.domain.com" や "secure.domain.com" がコモンネーム "domain.com" と異なるためです。

注 : CSR 生成時 email address、challenge password、optional company name は入力しないでください。

公開キー/秘密キーのペアが生成されました。秘密キー (www.domain.com.key) はサーバーマシン上のローカルに保存され、復号化に使用されます。
公開部分は Certificate Signing Request (certrequest.csr) として、証明書申請に使用します。

申請フォームに情報をコピー & ペーストするために、ファイルを Notepad や Vi などのテキスト エディターで開き、.txt ファイルとして保存します。
マイクロソフト Word は使用しないでください。隠し文字などが挿入され CSR の内容が変更される場合があります。

CSR を確認します
 

Step 3:秘密キーのバックアップ

弊社では .key ファイルをディスクや他のリムーバブル メディアにバックアップすること、およびパス フレーズを保存することをお勧めします。

秘密キーのバックアップは義務ではありませんが、バックアップがあることによりサーバー障害時に役立ちます。