CSR作成 Apache + OpenSSL[新規・更新]

SSL マニュアル
重要なお知らせ
[2020年02月05日] Chrome,Firefox,Safariは2020年3月よりTLS 1.0/1.1を無効化
[2019年11月15日] SECTIGO(旧コモド)クロスルート証明書の提供終了(2020年5月30日)のご案内

CSR作成 Apache + OpenSSL[新規・更新]

SSLサーバ証明書のお申込みに際しまして、事前にCSRを生成してご用意いただく必要があります。
Apache + OpenSSL環境でのCSR生成手順を説明します。新規・更新ともに同じ手順です。

  • 作業をはじめる前に、ウェブサーバに OpenSSL がインストールされていることを確認してください。
  • 以下の手順では、OpenSSLが /usr/local/ssl/bin にインストールされている状態を想定しています。お客様の環境により、パスおよびファイル名が異なりますので必要に応じてお客様の環境に置き換えて下さい。

■ステップ1 秘密鍵とCSRの生成

■秘密鍵ファイルの生成

秘密鍵を作成します。

# openssl genrsa -des3 -out 2015server.key 2048

【パスフレーズありの場合】上のコマンドはパスフレーズありです。

秘密鍵を保護するためのパスフレーズの入力を求められます。
任意のフレーズを入力し、[Enter]キーを押します(同じフレーズを2度入力します)。ここで入力するパスフレーズは、 絶対に忘れないように大切に管理してください。 指定したファイル名で、秘密鍵ファイルが作成されます。

【注意】1024bitのCSRでは受付できません。必ず2048bitとして下さい。

# openssl genrsa -out 2015server.key 2048

【パスフレーズなしの場合】上のコマンドはパスフレーズなしです。

ウェブサーバの自動起動などの設定上、パスフレーズなしでウェブサーバを起動したい場合には、 -des3 を省略することにより、パスフレーズなしでウェブサーバを起動できます。 サーバ監視システムなどでウェブサーバを自動起動する場合はパスフレーズなしで作成して下さい。

■CSRファイルの生成

作成した秘密鍵ファイル(2015server.key)からCSRファイル(2015server.csr)を生成します。

【SHA-2版の例は以下のとおりです】
【注意】SHA-1版のCSRを作成しても、認証局はSHA-2版で証明書を発行します。

# openssl req -new -sha256 -key 2015server.key -out 2015server.csr


秘密鍵のパスフレーズの入力を求められます。
秘密鍵作成時に指定したパスフレーズを入力し、[Enter]キーを押します。

続いて、ディスティングイッシュネーム情報を順に入力していきます。

以下は、SSLサーバ証明書申請用 CSR のディスティングイッシュネーム登録例です。
すべての項目に半角英数文字で入力します。
全角2バイト文字や以下の様な記号・特殊文字等は使用できません。
, ? ! @ $ % ^ * ( ) _ { } | : ” < > ? #

 Country Name (2 letter code) [AU]:JP

【Country (国名)】(例:JP)

半角大文字で JP と入力し、[Enter]キーを押します。

証明書サブジェクト欄記載事項です。(企業認証・EV認証の場合のみ)
jp (小文字は不可)

 State or Province Name (full name) []:Tokyo

【State(都道府県名)】(例:Tokyo)

都道府県名をローマ字表記で入力し、[Enter]キーを押します。

証明書サブジェクト欄記載事項です。(企業認証・EV認証の場合のみ)
-ken(県)-to(都)-fu(府)は入力しないで下さい。

 Locality Name (eg, city) []:Minato City

【Locality(市区町村名)】(例:Minato City)

市区町村名をローマ字表記で入力し、[Enter]キーを押します。

証明書サブジェクト欄記載事項です。(企業認証・EV認証の場合のみ)
-shi(市)-ku(区)町名(英文)などは入力しないで下さい。 東京23区のみ City を後ろに付記することを推奨します。

■東京23区の場合(港区,新宿区,品川区,千代田区,渋谷区など)
推奨する入力例
Minato City
Shinjuku City
Shinagawa City
Chiyoda City
Shibuya City


■都道府県の直後が「〇〇市」の場合(さいたま市,大阪市,名古屋市,横浜市,福岡市,京都市など)
推奨する入力例
Saitama
Osaka
Nagoya
Yokohama
Fukuoka
Kyoto

 Organization Name (eg, company) []:AA&BB Japan K.K.

【Organizational Name(組織名)】 (例:AA&BB Japan K.K.)

サーバID申請団体の 正式英語組織名(会社名・団体名)を入力し、[Enter]キーを押します。

証明書サブジェクト欄記載事項です。(企業認証・EV認証の場合のみ)
組織種別の付記が必須です。

■株式会社の組織種別としては一般的に以下の単語を付記いたします。
K.K.
CO.,LTD.

■社団法人の組織種別としては一般的に以下の単語を付記いたします。
IPPAN SH(一般社団法人)
KOEKI SH(公益社団法人)

■財団法人の組織種別としては一般的に以下の単語を付記いたします。
IPPAN ZH(一般財団法人)
KOEKI ZH(公益財団法人)

■特定非営利活動法人の組織種別としては一般的に以下の単語を付記いたします。
TOKUTEIHIEIRIKATSUDOHOJIN
N.P.O
NPO

 Organizational Unit Name (eg, section) []:System1

【Organizational Unit(部門名)】 (例:System1、System2 など)

部門名・部署名など、任意の判別文字列を入力し、[Enter]キーを押します。
証明書サブジェクト欄記載事項です。(企業認証・EV認証の場合のみ)

 Common Name (eg, YOUR name) []:www.yourdomain.co.jp

【Common Name(コモンネーム)】 (例: www.yourdomain.co.jp)

サーバ証明書を導入するサイトのURL(SSL接続の際のURL:FQDN)を入力し、[Enter]キーを押します。
証明書サブジェクト欄記載事項です。(すべての認証)
コモンネーム www.yourdomain.co.jp の場合は、
https://www.yourdomain.co.jp がURLとなります。

※ワイルドカードSSLサーバー証明書の場合は、
コモンネーム *.yourdomain.co.jp のように
ホスト部分は*(アスタリスク)として下さい。


CSRの入力項目は、ここまでの6項目です。
これ以降以下の様な項目が表示される場合、何も入力せず[Enter]キーを押して進んでください。

 Email Address []:
 A challenge password []:
 An optional company name []:

CSRが生成されます。
生成されたCSRは、ValueSSLのサイトからSSL証明書のお申込み時に貼り付けます。
CSRサンプル

※ 上記のCSRはサンプルです。申請には利用できません。

■ステップ2 秘密鍵のバックアップ

「Step 1:秘密鍵とCSRの生成」 の手順で作成した秘密鍵ファイルを、CDなどの外部メディアにバックアップします。

サーバ証明書は、申請に利用したCSRの生成の元となった秘密鍵との正しい組み合わせ以外にはインストールできません。
正しい秘密鍵を確実にバックアップし、設定したパスワードを忘れないよう注意してください。









【ご注意】
この文書に記載されている情報は予告なしに変更されることがあります。 この文書に記載されている情報に従ってユーザが操作を行い、いかなる損害を被ろうとも、当社は一切の責任を負いません。 また、ユーザは自己の責任において使用する事に同意したものとみなされます。
-