質問

Advanced Search

Solution ID : SO24070

Last Modified : 05/09/2018

ECC 証明書の CSR 作成手順(Apache)

Problem

Apache での ECC 証明書の CSR の作成方法を教えて下さい

Solution

CSR を生成するため、キーペアをサーバーで生成する必要があります。これら 2 つのアイテムはデジタル証明書キーペアで、その組合せ以外で使用することができません。SSL 証明書をインストールする前に公開キー/秘密キーファイル、パスワードを紛失したり変更した場合、サーバ証明書を再発行する必要が出てきます。インストールを正常に完了させるためには秘密キー、CSR および証明書はすべて一致する必要があります。

詳細については Apache-SSL ベンダーにご連絡いただくことを推奨します。
 

Step 1:ECC 秘密キーの生成

MPKI for SSL のお客様
注 : 次の ECC 曲線名がサポートされています。
キータイプ : NIST 推奨曲線名 P-256 (OpenSSL 上の曲線名 prime256v)

ユーティリティ "openssl" は鍵および CSR を生成するのに使用されます。このユーティリティは OpenSSL パッケージに含まれ、通常 /usr/local/ssl/bin の下にインストールされます。ユーティリティが別のディレクトリにインストールされている場合、手順もそれに合わせる必要があります。

プロンプトで次のコマンドをタイプします:
注 : 正しい ECC パラメーターを生成するために、曲線名 (例 prime256v1) および SHA-256 署名アルゴリズムを指定してください。OpenSSL ver. 1.0.1e を使用してください。

 openssl ecparam -out privatekey.key -name prime256v1 -genkey

例:

 

Step 2:CSR の生成

プロンプトで次のコマンドをタイプします:

 openssl req -new -key privatekey.key -out request.csr

例:

 

注 : openSSL を Windows を使用する場合、openssl.cnf へのパスを次のように指定する必要があります。
openssl req -new -key privatekey.key -out request.csr -config "c:\OpenSSL-Win64\bin\openssl.cnf"

このコマンドは次の証明書に含まれる X.509 属性の入力を求めます :

Country Name: 2 文字の国コードを入力します。例 : JP
State or Province: 都道府県を入力します。例 : Tokyo
Locality or City: 市区町村を入力します。
Company: 企業名や部門名に &、@、やその他シフト キーを使用し入力するような記号が含まれている場合、記号はスペル アウトされるか省略します。例 : XY & Z Corporation は XYZ Corporation または XY and Z Corporation とします。
Organizational Unit: このフィールは任意ですが企業に登録された証明書を特定するため役立ちます。Organizational Unit (OU) フィールドは申請している部門名や企業内のユニット名を入力します。OU フィールドをスキップするにはキーボードの Enter を押します。
Common Name : コモンネームはホスト名 + ドメイン名です。"www.company.com" や "company.com" などです。

Symantec の証明書は申請時に指定されたコモンネームを使用するウェブ サーバー上でのみ使用可能です。例えば "domain.com" に対する証明書が "www.domain.com" や "secure.domain.com" と名付けたサイトに使用されアクセスした場合警告が表示されます。これは "www.domain.com" や "secure.domain.com" がコモンネーム "domain.com" と異なるためです。

注 : CSR 生成時 email address、challenge password、optional company name は入力しないでください。

公開キー/秘密キーのペアが生成されました。秘密キー (www.domain.com.key) はサーバー マシン上にローカルに保存され、復号化に使用されます。公開部分は Certificate Signing Request (certrequest.csr) として、証明書申請に使用します。

申請フォームに情報をコピー & ペーストするのに、ファイルを Notepad や Vi などのテキスト エディターで開き、.txt ファイルとして保存します。マイクロソフト Word は使用しないでください。隠し文字などが挿入され CSR の内容が変更する場合があります。

CSR を確認します。

CSR が生成されたら、マネージド PKI for SSL にて申請に進みます。
  

Step 3:秘密キーのバックアップ

Symantec は .key ファイルをバックアップすることおよびパス フレーズを保存することをお勧めします。ファイルのコピーをディスクや他のリムーバブル メディアに。秘密キーのバックアップは義務ではありませんが、バックアップがあることによりサーバーの障害時に役立ちます