質問

Advanced Search

Solution ID : SO23384

Last Modified : 03/22/2021

Apache + OpenSSL CSR生成手順 (新規/更新)

Problem

Apache + OpenSSL CSR生成手順 (新規)

Solution

必ずお読みください

  • 本文書の内容によって生じた結果の影響について弊社では一切の責任を負いかねますこと予めご了承ください。
  • 本文書は基本的な構成を想定しています。お客様のシステム環境や構成、設定状況などにより、手順や画面表示が変わることがあります。アプリケーション及びツールごとの仕様及び設定手順等のご不明な点は、製品のマニュアルをお読みいただくか、開発元にご確認ください。
     

事前にご確認ください

  • フリーウェアApacheをご利用のお客様は、作業をはじめる前に必ず以下をお読みください。
  • 作業をはじめる前に、ウェブサーバに OpenSSL がインストールされていることを確認してください。
  • 以下の手順では、OpenSSLが /usr/local/ssl/bin にインストールされている状態を想定しています。
    お客様の環境により、パスおよびファイル名が異なります。

Step 1:秘密鍵とCSRの生成

  1. 秘密鍵を作成します。
    2048bit の秘密鍵(ファイル名:private.key)を作成する場合の例

    # ./openssl genrsa -des3 -out (秘密鍵ファイル名) (キー長)

    例: openssl genrsa -des3 -out private.key 2048

    • 秘密鍵生成時には、必ず2048bitを指定してください。
    • 1024bit鍵長のCSRによる申請は、2012年9月28日をもって受付を停止いたしました。
       
  2. 秘密鍵を保護するためのパスフレーズの入力を求められます。
    任意のフレーズを入力し、[Enter]キーを押します(同じフレーズを2度入力します)。

    ここで入力するパスフレーズは、絶対に忘れないように大切に管理してください。

  3. 指定したファイル名 (private.key) で、秘密鍵ファイルが作成されます。
     
  4. 作成した秘密鍵ファイルからCSRを生成します。
    ※※SHA-2版証明書の申請に、-sha256のオプション指定は必須ではありません。

    # ./openssl req -new -key (秘密鍵ファイル名) -out (CSRファイル名)

    例: openssl req -new -key private.key -out server.csr

  5. 秘密鍵のパスフレーズの入力を求められます。
    秘密鍵作成時に指定したパスフレーズを入力し、[Enter]キーを押します。

  6. 続いて、ディスティングイッシュネーム情報を順に入力していきます。

    注意:
    CertCentralでの申請ではCSRに入力するディスティングネーム情報は使用されません。
    証明書に反映させたいコモンネームや組織名等の情報は申請時にページ内で指定してください。

    入力例:
    Country Name (2 letter code) [AU]:JP
    State or Province Name (full name) []:Tokyo
    Locality Name (eg, city) []:Chuo-Ku
    Organization Name (eg, company) []:Sample K.K.
    Organizational Unit Name (eg, section) []:Web Sales Dept.
    Common Name (eg, YOUR name) []:www.sample.co.jp
     

    入力必須項目は、ここまでの6項目です。

    これ以降以下の様な項目が表示される場合、入力不要です。
    何も入力せず[Enter]キーを押して進んでください。

    Email Address []:  A challenge password []:  An optional company name []:

  7. CSRが生成されます。

    生成されたCSRは、申請情報入力画面に貼り付けます。


    • このCSRはサンプルです。申請には利用できません。
       

Step 2:秘密鍵のバックアップ

「Step 1:秘密鍵とCSRの生成」 の手順 (2.) で作成した秘密鍵ファイルをバックアップします。

上記例: のファイル名では、"private.key"

サーバIDは、申請に利用したCSRの生成元秘密鍵との正しい組み合わせ以外にはインストールできません。
正しい秘密鍵を確実にバックアップし、設定したパスワードを忘れないよう注意してください。

お客様の秘密鍵について

  • 秘密鍵は、セキュリティ上最も大切な情報です。秘密鍵が漏洩した場合、暗号化の安全性が失われます。
  • 秘密鍵をEメールに添付して送信したり、共有のドライブで保存するなどの行為は絶対にお止めください。
  • 当社がお客様の秘密鍵情報を受け取ることは絶対にありません。
  • 秘密鍵は必ずハードディスク以外のメディアにもバックアップを取り、厳重管理してください。
  • 設定したパスフレーズを忘れないように十分注意してください。 
     

パスフレーズの解除について

秘密鍵にはパスフレーズをつけていただくことをお勧めしていますが、ご利用の環境、製品によりパスフレーズを解除する必要がある場合には、
お客様のご判断にて以下の手順をお試しください。
※元の秘密鍵ファイル名とパスフレーズなしの秘密鍵ファイル名を同じにすると、上書きされますのでご注意ください。

# ./openssl rsa -in (秘密鍵ファイル名) -out (パスフレーズなしの秘密鍵ファイル名)


例: openssl rsa -in private.key -out private_passoff.key