CSRの生成方法について
nginx + OpenSSL 新規・更新
こちらでは、手順をご案内するものです。コマンドの意味等につきましては、各情報サイトや参考書籍等でご確認ください。本手順は、nginx 1.4.2で動作を確認しております。
弊社では以下の手順にて動作検証をおこなっておりますが、nginxの動作を保証するものではございません。 nginxはオープンソースのアプリケーションです。脆弱性などの問題がないか、随時情報を確認いただき、万一問題が発見された場合は、該当サービスの停止や、対応パッチがリリースされている場合は速やかに適用するなど、運用には十分ご注意ください。
本例では以下環境を前提としています。お客様の環境に合わせて任意に読み替えてご覧ください。
コモンネーム | ssl.alphassl.com |
---|---|
confファイルのパス | /etc/nginx/ |
秘密鍵のファイル名 | ssl.toritonssl.com.key |
CSRのファイル名 | ssl.toritonssl.com.csr |
【更新のお客様】
nginxをご利用の場合は、前回ご利用いただいたCSRでも更新可能ですが、セキュリティのためにも毎回鍵を作り直していただくことをお勧めいたします。
- 1コマンドの準備をします。
- OpenSSLがインストールされているか確認してください。
# openssl version
nginxの confのパスに移動してください。
# cd /etc/nginx/
- ※ opensslのバージョンが確認できない場合、こちらをご参考ください。
- 2秘密鍵を生成します。
- ※ ここで入力するパスフレーズを忘れてしまうと使用することができなくなります。
<更新または乗り換えのお客様>
Apacheの仕組み上、秘密鍵を上書きしても、リスタートしない限り影響はありませんが、上書き後の復旧はできませんので、既存のファイルに上書きをしないようご注意ください。
秘密鍵のファイル名には、その年の番号などを含めることをお勧めいたします。
例: ssl.toritonssl.com2013.key
# openssl genrsa -des3 -out ./ssl.toritonssl.com.key 2048
- 3CSRを生成します。パスフレーズ入力後、各項目を半角英数字で入力します。コマンドは1行です。
- <更新または乗り換えのお客様>
秘密鍵があれば、CSRは何度でも生成可能ですので、前回のCSRを上書きしても問題ございません。 ファイル名を変える場合は、判別しやすくするため、年度などを含めることをお勧めします。 - # openssl req -new -key ./ssl.toritonssl.com.key -out ./ssl.toritonssl.com.csr
- ※Common Nameは、半角英数文字 および ハイフン[-]、ドット[.]が利用可能です。
※Common Name、Country Name以外は、半角英数文字と半角スペース、および 半角記号 !#%&'()*+,-./:;=?@[]^_`{|}~がご利用可能です。
※ワイルドカードオプションをご利用の場合は、アスタリスク[*]を含めてください。例: *.toritonssl.com
フィールド | 説明 | 例 |
---|---|---|
Country Name | 国を示す2文字のISO略語です。 | JP |
State or Province Name | 組織が置かれている都道府県です。 | Tokyo |
Locality Name | 組織が置かれている市区町村です。 | Shibuya-ku |
Organization Name | 組織の名称です。 | AlphaSsl |
Organization Unit Name | 組織での部署名です。 指定がない場合は - (ハイフン)を入力してください。 | Sales |
Common Name | ウェブサーバのFQDNです。 | ssl.toritonssl.com |
Email Addres | 入力不要です。 | - |
A challenge password | 入力不要です。 | - |
An optional company name | 入力不要です。 | - |
- 4生成されたCSRを開き、申し込みフォームにコピーします。
- 【更新または乗り換えのお客様】
CSRのファイルが複数ある場合は、ファイルの更新日などを確認のうえ、お間違いのないようご注意ください。申請時に異なるCSRをいただきますと、秘密鍵との整合性がとれず、ご利用いただけません。 万一CSRを間違えた場合は証明書の再発行を行っていただきます。 - CSRは、破線の行も含めてコピーしていただく必要があります。余分な文字が含まれますと読み取れません。 また、お申し込み後に再度秘密鍵の生成をおこないますと、発行する証明書との整合性に問題が生じますので、鍵の生成はされないようご注意ください。
補足
※[ ] の部分はお客様の環境に合わせて読み替えてください。
1.秘密鍵の内容を確認
# openssl rsa -text -noout -in /[FilePath]/[KeyFile]
2.秘密鍵のパスフレーズを解除
(Windows版のApacheでは、秘密鍵のパスフレーズを解除する必要があります。)
# cp /[FilePath]/[KeyFile] /[FilePath]/[KeyFile].org (元ファイルのバックアップ)
# openssl rsa -in /[FilePath]/[KeyFile] -out /[FilePath]/[KeyFile]
3.CSRの内容を確認
# openssl req -text -noout -in /[FilePath]/[CSR]
4.証明書の内容を確認
# openssl x509 -text -noout -in /[FilePath]/[CertFile]