CSRの生成方法について
[ECC]Apache 2.x + mod_ssl + OpenSSL
Apache環境でECCサーバ証明書用のCSRを生成する手順をご紹介いたします。
弊社にて検証を行った際の一例をご紹介しており、動作を保証するものではございません。本手順について内容の変更等や誤りがあった場合、弊社では一切の責任を負いかねることを予めご了承ください。 詳細は各ツールのドキュメント等をご参照ください。
Apacheはオープンソースのアプリケーションです。脆弱性などの問題がないか、随時情報を確認いただき、万一問題が発見された場合は、該当サービスの停止や、対応パッチがリリースされている場合は速やかに適用するなど、運用には十分ご注意ください。
本例では以下環境を前提としています。お客様の環境に合わせて任意に読み替えてご覧ください。
| コモンネーム | ssl.alphassl.com |
|---|---|
| confディレクトリまでのパス | /etc/httpd/conf/ |
| 秘密鍵の保存ディレクトリ | /etc/httpd/conf/ssl.key/ |
| CSRの保存ディレクトリ | /etc/httpd/conf/ssl.csr/ |
| 秘密鍵のファイル名 | ssl.alphassl.com.key |
| CSRのファイル名 | ssl.alphassl.com.csr |
- 1OpenSSLがインストールされているか確認してください。
- # openssl version
Apacheの confのパスに移動してください。
# cd /etc/httpd/conf/
- ※ opensslのバージョンが確認できない場合、こちらをご参考ください。
- 2秘密鍵を生成します。既存のファイルに上書きをしないようご注意ください。
- # openssl ecparam -out ./ssl.key/ssl.alphassl.com.key -name prime256v1 -genkey
- ※ NIST(米国立標準技術研究所)が推奨する曲線prime256v1(P-256)を指定します。
- 3CSRを生成します。パスフレーズ入力後、各項目を半角英数字で入力します。コマンドは1行です。
- # openssl req -new -key ./ssl.key/ssl.alphassl.com.key -out ./ssl.csr/ssl.alphassl.com.csr
- Common Nameは、半角英数文字 および ハイフン[-]、ドット[.]が利用可能です。
Common Name、Country Name以外は、半角英数文字と半角スペース、および 半角記号 !#%&'()*+,-./:;=?@[]^_`{|}~がご利用可能です。 ‘.’ (ドット), ‘‐‘ (ハイフン), ‘ ‘ (スペース), ‘_‘ (アンダースコア) などのメタデータのみを入力された場合は、削除して発行を行います。
ワイルドカードオプションをご利用の場合は、Common Nameにアスタリスク[*]を含めてください。例: *.alphassl.com
| フィールド | 説明 | 例 |
|---|---|---|
| Country Name | 国を示す2文字のISO略語です。 | JP |
| State or Province Name | 組織が置かれている都道府県です。 | Tokyo |
| Locality Name | 組織が置かれている市区町村です。 | Shibuya-ku |
| Organization Name | 組織の名称です。 | AlphaSsl |
| Organization Unit Name | 組織での部署名です。 指定がない場合は - (ハイフン)を入力してください。 | Sales |
| Common Name | ウェブサーバのFQDNです。 | ssl.alphassl.com |
| Email Addres | 入力不要です。 | - |
| A challenge password | 入力不要です。 | - |
| An optional company name | 入力不要です。 | - |
- 4生成されたCSRを開き、申し込みフォームにコピーします。
- CSRは、破線の行も含めてコピーしていただく必要があります。余分な文字が含まれますと読み取れません。 また、お申し込み後に再度秘密鍵の生成をおこないますと、発行する証明書との整合性に問題が生じますので、鍵の生成はされないようご注意ください。
