質問

Advanced Search

Solution ID : SOT0026

Last Modified : 05/18/2021

[CertCentral]CSR生成について

Solution

CSRとは

CSRとは、SSLサーバ証明書を導入するサーバ上で生成する証明書の署名リクエスト(Certificate Signing Request)です。
サーバー証明書を導入するサーバで、ウェブサイトの情報(ディスティングイッシュネーム)などを入力して生成します。

CSRサンプル(このCSRはサンプルです。申請には使用できません)


生成したCSRをSSLサーバ証明書の申請画面へ貼り付け送信します。
CSRを生成するためにはお客様のウェブサーバでの操作が必要になりますので、レンタルサーバなどを利用されている場合は、事前にサーバ管理会社へご相談ください。
弊社でCSRを生成したり、お客様へ提供することはできません。

CSR生成手順

CSR生成手順を参考情報としてご案内しています。手順の詳細は各機器またはウェブサーバアプリケーションの開発元に確認してください。

  • 米国デジサートのサイトにも参考手順が掲載されています。
  • CSR生成時に作成した キーペア(秘密鍵)を紛失・破損すると、発行されたサーバー証明書を利用できません。
    必ずハードディスク以外のメディアにもバックアップを取り、厳重に管理してください。
  • 当社がお客様の秘密鍵情報を受け取ることは決してありません。
  • CSR生成時の署名アルゴリズムを指定する場合は、sha224は指定しないでください。

 

アプリケーション名 手順
Apache + OpenSSL 共通
Microsoft IIS 8.0以上 共通
Microsoft IIS 7.0 / 7.5 共通
Microsoft IIS 6.0 新規  /   更新
IBM WebSphere Application Server 7.0 + IBM HTTP Server 7.0 共通
Oracle WebLogic Server 11g 新規  /   更新
Sun One Web Server 6.1 新規  /   更新
HDE Controller 共通

  

クラウドサービス名 手順
Amazon Web Services(AWS)   新規 更新
Amazon Elastic Compute Cloud (Amazon EC2) ご選択いただくサーバーにより手順が異なります。
各サーバーのCSR作成手順書をご覧ください。
Elastic Load Balancing (ELB) CSR 作成 (※)
Amazon CloudFront CloudFront SSL 申請フォーム (※)
Amazon API Gateway CSR 作成 (※)

※外部のWEBサイト(Amazon Web Services)へ遷移します。記載内容に関するご不明点は、クラウドサービス事業者へお問い合わせください

 

 

CSR生成時に入力するディスティングネーム情報について


CertCentralでの申請ではCSRに入力するディスティングネーム情報は使用されません

旧システムでは、CSRに含まれるディスティングイッシュネーム情報(Organization,Organization Unit等)を参照し、
証明書を発行していましたが、CertCentralでは申請フォームに「組織」の入力項目が用意されています。

組織名および住所情報は、CSRを生成した時に入力した情報ではなく、CertCentralのアカウントに
「組織」として登録された情報を認証し、証明書を発行しますので、結果的にCSRに含められていた
組織名と異なる名前で発行される場合がありますので、ご注意ください。


項目 情報 CertCentralでの申請時の指定方法
コモンネーム
Common Name
サーバ証明書を導入し SSL暗号化通信を行うサイトのURL(FQDN)を指定します。
SSL接続の際にブラウザで指定するURLと一致させる必要があります。
例) https://www.digicert.co.jp → www.digicert.co.jp
申請ページの[コモンネーム]に指定します。

CSRの生成時に入力されたCSRが反映されますが、
この欄でコモンネームを変更して申請することも可能です。
組織名
Organization
ウェブサイトを運営する組織名
申請ページの[組織]で指定します。

部門名
Organizational Unit
部門・部署名など、任意の識別名称
CSRや申請パラメーターにおいて部門名(OUフィールド)に文字が含まれていた場合も、発行される証明書の部門名(OUフィールド)は省略され空欄のまま発行されます。
市区町村郡名
(※1)
Locality
市区町村郡名 [組織]の住所情報が反映されます。
都道府県名
(※1)
State or Province
都道府県名 [組織]の住所情報が反映されます。
国名 国コード [組織]の住所情報が反映されます。

 

 

CSRに関するFAQ

Q: 使用している証明書のディスティングネーム情報はどのように確認できますか?

A: サーバー証明書のディスティングイッシュネーム情報は、ブラウザを利用して以下の様な方法で確認できます。

例) Internet Explorer

  1. Internet Explorer を起動し、サーバー証明書を設定しているウェブサイトに SSL接続します。
    例)  https://www.sample.co.jp
  2. メニューバーより [ファイル] → [プロパティ] をクリックします。[プロパティ] が表示されます。
  3. [証明書] ボタンをクリックします。[証明書] 画面が表示されます。
  4. [詳細設定] タブをクリックし、「表示:」 のプルダウンで 「すべて」 を選択します。
  5. 「フィールド」の一覧から「サブジェクト」をクリックすると、下枠にディスティングイッシュネームが表示されます。

     

Q:サーバー証明書の導入を検討していますが、ウェブサーバの準備ができていません。仮のウェブサーバでCSRを生成して サーバー証明書 を申請できますか

A:実運用のウェブサーバの準備が整ってから、CSR生成などの準備を開始することをお勧めします。

CSRを生成するウェブサーバには、キーペア(秘密鍵・公開鍵)の情報が作成されます。
サーバー証明書は、申請用のCSRを生成した際に作成されたキーペアに対してのみ対応しています。
正しいキーペアとの組み合わせでのみ、利用することができます。

キーペア情報不一致などのトラブルを防ぐため、実運用のウェブサーバ上でCSRを生成することをお勧めしています。



Q: 更新の度に、新しいCSRを生成する必要はありますか?

A: 過去申請に利用したCSRでも更新申請は可能です。
(ただし危殆化した秘密鍵が元となっているCSRで弊社でブラックリスト登録されているCSRは申請時にエラーが発生します。)

CSR生成時に元になる秘密鍵をお持ちであれば、発行された証明書と秘密鍵をペアにしてインストールできます。


ただし、Microsoft IISのようにCSR生成につき1度しかインストールできない仕様のサーバアプリケーションもございますのでご注意ください。