apache CSRの生成方法
CSRの生成(Apache-SSLeay)
SSLeayツールキットを利用して秘密鍵とCSR (Certificate Signing Request, 証明書署名要求) を生成します。
以下の説明は、SSLeayプログラムがデフォルト通り /usr/local/ssl/bin にインストールされているものとして記述してあります。もし環境変数PATHにこのディレクトリが含まれていない場合には、以下の例で単にssleayとなっている部分を /usr/local/ssl/bin/ssleay と読み替えるようにしてください。
■1.ランダム状態の生成
鍵生成プロセスで利用するため、ある程度ランダムな情報を生成しておく必要があります。以下の“rand.dat”というファイルはいつでも消去したり変更したりすることができます。ファイルの内容自体はまったく重要ではありません。たとえば、以下のようなコマンドが使えるでしょう。
head -25 * > rand.dat
もしくは
ssleay md5 * > rand.dat
もしくは
cat file1 file2 file3 > rand.dat
■2.パスフレーズで保護された秘密鍵の生成
以下のようにコマンド入力します。
ssleay genrsa -rand rand.dat -des 2048 > key.pem
もし、DESの代わりにトリプルDESを利用したい場合にはこうなります。
ssleay genrsa -rand rand.dat -des3 2048 > key.pem
いずれの場合も、鍵を保護するためのパスフレーズの入力が求められます。ここで入力するパスフレーズは決して忘れないようにしてください。忘れてしまいますと、この鍵は二度と利用できなくなります。
■3.秘密鍵のバックアップの作成
生成した鍵はフロッピーディスクにコピーし、金庫などの安全な場所にしまっておきましょう。秘密鍵は決してRapidSSLに送られたりしませんので、もしそれを壊すか失うかしてしまったときに、バックアップを取っていなければ対応するサーバIDは二度と使えないことになってしまいます。
■4.CSR の生成
公開鍵はCSRとしてRapidSSLに送られ、署名処理を施されたのちに証明書 (= サーバID) という形で送り返されます。証明書はペアとなる秘密鍵と一緒に使用されます。CSRを生成するためには、以下のようなコマンドを実行してください。
ssleay req -new -key key.pem -out csr.pem
“key.pem”というのが、上記ステップ 2 で生成した鍵の名前です。この処理の結果、“csr.pem”という名前のCSRファイルができあがります。
このとき、以下のような情報の入力を求められます。これらはすべてASCII文字で入力しなければなりません。
countryName (国名コード)。二文字からなる略語 (ISO国別記号) として入力 (日本はJP、オーストラリアはAU、英国はGB等)
stateOrProvinceName (都道府県名)。Kanagawa 等
localityName (市区町村名)。Yokohama-shi 等
organizationName (組織名)。Kikakuya inc 等
organizationalUnitName (部門名)。マーケティング、セールスなど、組織中の所属部門名。
commonName (サーバ名)。サーバIDを用いた運用を行なうサーバの名称をドメイン名を含む FQDN (fully qualified domain name) 形式で入力 (www.kikakuya.com 等)。ドメイン名部分は上述の正式なドメイン名と一致していなければなりません。
これ以外の属性に関する情報の入力を求められたとしても、単に無視していただければ結構です。
Microsoft IIS 5.0 CSRの生成方法
■1.ウィザードの起動
スタートメニュー下の[インターネット・インフォメーション・サービス]を起動し、証明書を設定するサイトのプロパティを表示します。[ディレクトリ セキュリティータブ]の[セキュリティーで保護された通信]の[サーバ証明書] をクリックし、ウィザードを起動します。
例えば、J5のDNSサーバをご利用の場合、弊社のDNSを変更すればよいのですが、世界中に相応のDNSサーバーがあります。接続環境から一番最初に接続されるDNSサーバーが変更した情報を持っていないと、変更先には到達できなくなります。DNSはルールの元にいってい感覚で相互に情報交換を行い最新の情報を保ちますが、その時間は国内で24時間〜48時間、場所やタイミングによっては時差が生じます。
なお、新規ドメインのほとんどは浸透開始直後に瞬時に反映いたします。
■2.新規の証明書
[証明書の新規作成]をクリックします。
[証明書の要求を作成して後で送信する]を選択します。
■3.公開鍵のビット長を選択
[名前]の欄にキー名を入力します。管理用の名前なので、任意で問題はありません。
[SGC証明書]にはチェックを入れず、2048bitの公開鍵を選択します。
※写真は1024になっていますが2048を選択してください
■4.組織名、部門名を入力
組織名、部門名を
半角英数字で入力します。IIS5.0の場合に関しては、デフォルトで日本語表記の場合があるので注意が必要です。なお全角文字で入力してWEB上から申請した場合、6400エラーが表示されます。また入力では、特殊文字あるいは記号は使用しないでください。
( 例:
~ ! @ $ % ^ & * ) _ { } | : " < > ? )
[組織]:申請会社の正式英語表記名を記入してください。
[部門]:部門名を半角英数字で入力してください。
■5.コモンネーム(一般名)を入力
[コモンネーム]: ブラウザがサイトに接続する時に使うURL の中のサーバ名+ドメイン名を入力して下さい。入力が終わったら[次へ] をクリックしてください。
https://www.kikakuya.com とSSLを使用する場合は「www.kikakuya.com」となります。
■6.地域等を入力
(半角英数字)
地域等の情報を半角英数字で入力します。入力では、特殊文字あるいは記号は使用しないでください。
( 例:
~ ! @ $ % ^ & * ) _ { } | : " < > ? )
[国/地域]: 2文字のISO国別記号です。「JP」を選択してください。
[都道府県]: 都道府県名を半角英数字で入力します 。
[市区町村]: 自分の企業がある都市名を半角英数字で入力します。
入力が終わったら[次へ] をクリックしてください。
■7.CSRの保存先のファイル名を入力
■8.入力情報の確認
確認後次へをクリックし、完了です。
【注意】 IIS5.0はアプリケーションの仕様上、IDインストール前の状態で秘密鍵のバックアップを取ることができません。
発行されたIDをインストールするまで要求を削除しないようご注意ください。
戻る
