CSRの生成方法について(Apache 2.x + mod_ssl + OpenSSL)

 

弊社では以下手順にて動作検証をおこなっておりますが、Apacheの動作を保証するものではございませんので、参考情報としてご覧ください。アプリケーションの詳細については付属のドキュメントや関連書籍等でご確認ください。

Apacheはオープンソースのアプリケーションです。脆弱性などの問題がないか、随時情報を確認いただき、万一問題が発見された場合は、該当サービスの停止や、対応パッチがリリースされている場合は速やかに適用するなど、運用には十分ご注意ください。

コモンネーム ssl.kingssl.com
confディレクトリまでのパス /usr/local/apache/conf/
秘密鍵の保存ディレクトリ /usr/local/apache/conf/ssl.key/
CSRの保存ディレクトリ /usr/local/apache/conf/ssl.csr/
秘密鍵のファイル名 ssl.kingssl.com.key
CSRのファイル名 ssl.kingssl.com.csr

 

OpenSSLがインストールされているか確認してください。

# openssl version

 

Apacheの confのパスに移動してください。

# cd /etc/httpd/conf/

 

秘密鍵を生成します。既存のファイルに上書きをしないようご注意ください。
 ※ ここで入力するパスフレーズを忘れてしまうと使用することができなくなりますのでご注意ください。

<更新または乗り換えのお客様>
  Apacheの仕組み上、秘密鍵を上書きしても、リスタートしない限り影響はありませんが、上書き後の復旧はできませんので、既存のファイルに上書きをしないようご注意ください。
秘密鍵のファイル名には、その年の番号などを含めることをお勧めいたします。
   例: ssl.kingssl.com2010.key

# openssl genrsa -des3 -out ./ssl.key/ssl.kingssl.com.key 2048

 

CSRを生成します。パスフレーズ入力後、各項目を半角英数字で入力します。コマンドは1行です。

# openssl req -new -key ./ssl.key/ssl.kingssl.com.key -out ./ssl.csr/ssl.kingssl.com.csr

 

フィールド 説明
Country Name 国を示す2文字のISO略語です。 JP
State or Province Name 組織が置かれている都道府県です。 Tokyo
Locality Name 組織が置かれている市区町村です。 Shibuya-ku
Organization Name 組織の名称です。 KingSsl
Organization Unit Name 組織での部署名です。 指定がない場合は - (ハイフン)を入力してください。 Sales
Common Name ウェブサーバのFQDNです。 ssl.kingssl.com
Email Addres 入力不要です。 -
A challenge password 入力不要です。 -
An optional company name 入力不要です。 -

 

生成されたCSRを開き、申し込みフォームにコピーします。

※CSRは、破線の行も含めてコピーしていただく必要があります。余分な文字が含まれますと読み取れません。 また、お申し込み後に再度秘密鍵の生成をおこないますと、発行する証明書との整合性に問題が生じますので、鍵の生成はされないようご注意ください。

 

 

補足

※[ ] の部分はお客様の環境に合わせて読み替えてください。

1.秘密鍵の内容を確認

# openssl rsa -text -noout -in /[FilePath]/[KeyFile]


2.秘密鍵のパスフレーズを解除
(Windows版のApacheでは、秘密鍵のパスフレーズを解除する必要があります。)

# cp /[FilePath]/[KeyFile] /[FilePath]/[KeyFile].org (元ファイルのバックアップ)


# openssl rsa -in /[FilePath]/[KeyFile] -out /[FilePath]/[KeyFile]


3.CSRの内容を確認

# openssl req -text -noout -in /[FilePath]/[CSR]


4.証明書の内容を確認

# openssl x509 -text -noout -in /[FilePath]/[CertFile]


 


KingSSL - © 2010, Toriton,Inc. All rights Reserved.
KingSSL Certificates supported by all Popular Browsers & Web Servers