質問

Advanced Search

Solution ID : SOT0029

Last Modified : 10/12/2021

Share Via Email

[セキュアメールID]CSR 生成 / PKCS#12ファイルの生成 (openssl)

Problem

セキュアメールIDの申請では、予め秘密鍵とCSRを用意して、申請時にCSRを提出していただく必要があります。

このページではOpensslを使用した秘密鍵/CSR生成および、発行後のPKCS#12ファイルの生成方法を紹介します。

Solution

必ずお読みください

  • 本文書の内容によって生じた結果の影響について、弊社では一切の責任を負いかねますこと予めご了承ください。
  • 本文書は基本的な構成を想定しています。お客様のシステム環境や構成、設定状況などにより、手順や画面表示が変わることがあります。
  • 本文書の手順で動作しない場合やアプリケーション及びツールの仕様及び設定手順等に関する不明な点は、当社ではサポートできませんので、
    製品のマニュアルをお読みいただくか、開発元にご確認ください。
  • OpenSSL がインストールされていることが前提となります。

 

Step 1: 秘密鍵とCSRの生成

  1. 秘密鍵を作成します。
    2048bit の秘密鍵(ファイル名:private.key)を作成する場合の例

    # ./openssl genrsa -des3 -out (秘密鍵ファイル名) (キー長)

    例: openssl genrsa -des3 -out private.key 2048

  2. 秘密鍵を保護するためのパスフレーズの入力を求められます。
    任意のフレーズを入力し、[Enter]キーを押します(同じフレーズを2度入力します)。
    ここで入力するパスフレーズは、絶対に忘れないように大切に管理してください。

  3. 指定したファイル名 (private.key) で、秘密鍵ファイルが作成されます。
     

  4. 作成した秘密鍵ファイルからCSRを生成します。

    # ./openssl req -new -key (秘密鍵ファイル名) -out (CSRファイル名)

    例: openssl req -new -key private.key -out code.csr

  5. 秘密鍵のパスフレーズの入力を求められます。
    秘密鍵作成時に指定したパスフレーズを入力し、[Enter]キーを押します。

  6. 続いて、ディスティングイッシュネーム情報を順に入力していきます。
    ※証明書は認証された情報に変更されて発行されますのでここで指定した情報が反映されるわけではありません。

    <入力例>

    Country Name (2 letter code) [AU]:JP                       ※国コード
    State or Province Name (full name) []:Tokyo          ※都道府県
    Locality Name (eg, city) []:Chuo-Ku                         ※市区町村
    Organization Name (eg, company) []:Sample K.K.        ※組織名
    Organizational Unit Name (eg, section) []:                    ※部門名
    Common Name (eg, YOUR name) []:Sample K.K.            ※組織名
     
    入力必須項目は、ここまでの6項目です。

    「※部門名」とこれ以降以下の様な項目が表示される場合、入力不要です。
    何も入力せず[Enter]キーを押して進んでください。

    Email Address []:  A challenge password []:  An optional company name []:

  7. CSRが生成されます。

    生成されたCSRを「セキュアメールID専用申請ページ」貼り付け、申請を行います。


    参考:セキュアメールID 申請から取得までの流れ


Step2:発行後の証明書ファイルの変換

証明書が発行されると証明書と中間CA証明書、ルート証明書をダウンロードして、
Opensslで秘密鍵を含んだPKCS#12形式のファイル(.pfx または.p12)に変換する方法をご案内します。

 

  1. 証明書が発行されると、証明書のダウンロードリンクが記載されたメールが届きます。
    ダウンロードリンクにアクセスし、プルダウンメニューから「Individual .crts(zipped)」を選択して
    [ダウンロードする]ボタンを押下します。


    ※今後のopensslでの作業を想定して選択しています。

  2. ダウンロードしたZIPファイルに証明書、中間CA証明書(DigiCertCA.crt)、ルート証明書(TrustedRoot.crt)が含まれています。




  3. 証明書と中間CA証明書と秘密鍵からopensslでPKCS#12形式(.pfx)のファイルを作成します。
    ※設定したパスワードは設定に必要になりますので、忘れないようにしてください。
    # openssl pkcs12 -export -in (証明書ファイル名) -inkey  (秘密鍵ファイル名)  -certfile (中間CA証明書ファイル名) -out (作成するpfxファイル名)
    Enter pass phrase for private.key:  (秘密鍵のパスワードを入力します)
    Enter Export Password: (PKCS #12ファイルにパスワードを設定します)
    Verifying - Enter Export Password: (設定したパスワードを再入力します)

    例:openssl pkcs12 -export -in cert.cer -inkey private.key -certfile digicertCA.cer -out code.pfx