Knowledge Base

Step 1：ECC 秘密キーの生成

注 : 次の ECC 曲線名がサポートされています。
キータイプ : NIST 推奨曲線名 P-256 (OpenSSL 上の曲線名 prime256v)

• 注 : Elliptic Curve Cryptography name curve の詳細については次の情報をご覧ください。
  Elliptic Curve Cryptography Subject Public Key Information - IETF

ユーティリティ "openssl" は鍵および CSR を生成するのに使用されます。

このユーティリティは OpenSSL パッケージに含まれ、通常 /usr/local/ssl/bin の下にインストールされます。

ユーティリティが別のディレクトリにインストールされている場合、手順もそれに合わせる必要があります。

プロンプトで次のコマンドをタイプします:
注 : 正しい ECC パラメーターを生成するために、曲線名 (例 prime256v1) および SHA-256 署名アルゴリズムを指定してください。OpenSSL ver. 1.0.1e を使用してください。

   openssl ecparam -out privatekey.key -name prime256v1 -genkey

例：

　openssl ecparam -out privatekey.key -name prime256v1 -genkey
 

Step 2：CSR の生成

プロンプトで次のコマンドをタイプします:

　openssl req -new -key privatekey.key  -sha256 -out request.csr

例：
　openssl req -new -key privatekey.key  -sha256 -out request.csr
 

注 : openSSL を Windows を使用する場合、openssl.cnf へのパスを次のように指定する必要があります。
openssl req -new -key privatekey.key -out request.csr -config "c:\OpenSSL-Win64\bin\openssl.cnf"

このコマンドは次の証明書に含まれる X.509 属性の入力を求めます :

• Country Name: 2 文字の国コードを入力します。例 : JP
• State or Province: 都道府県を入力します。例 : Tokyo
• Locality or City: 市区町村を入力します。
• Company: 企業名や部門名に &、@、やその他シフト キーを使用し入力するような記号が含まれている場合、記号はスペル アウトされるか省略します。例 : XY & Z Corporation は XYZ Corporation または XY and Z Corporation とします。
• Organizational Unit: このフィールドは任意ですが企業に登録された証明書を特定するため役立ちます。Organizational Unit (OU) フィールドは申請している部門名や企業内のユニット名を入力します。
• Common Name : コモンネームはホスト名 + ドメイン名です。"www.company.com" や "company.com" などです。

注 : CSR 生成時 email address、challenge password、optional company name は入力しないでください。

公開キー/秘密キーのペアが生成されました。秘密キー (www.domain.com.key) はサーバーマシン上のローカルに保存され、復号化に使用されます。
公開部分は Certificate Signing Request (certrequest.csr) として、証明書申請に使用します。

申請フォームに情報をコピー & ペーストするために、ファイルを Notepad や Vi などのテキスト エディターで開き、.txt ファイルとして保存します。
マイクロソフト Word は使用しないでください。隠し文字などが挿入され CSR の内容が変更される場合があります。

CSR を確認します
 

Step 3：秘密キーのバックアップ

弊社では .key ファイルをディスクや他のリムーバブル メディアにバックアップすること、およびパス フレーズを保存することをお勧めします。

秘密キーのバックアップは義務ではありませんが、バックアップがあることによりサーバー障害時に役立ちます。