OPENSSL (APACHEや、NGINXなど) 新規/更新用

次の手順に従い、鍵ペアと CSR を生成してください。
このページでは、Unix環境でOpenSSLを使用していることを前提に説明しています。

鍵ペアの生成

現在ご利用中の鍵ペアがある場合は、上書きしないようご注意ください。

ファイル生成マスクの値の記録および変更

ファイル生成マスクの値の記録

次のコマンドを実行し、 出力 (ファイル生成マスクの値) を記録します。

コマンド例: $ umask
※正常に終了すれば、「22」「007」など 0〜7までの数字が1〜4桁 表示されます。

ファイル生成マスクの値の一時変更

出力された数字が 「77」「077」「0077」の3つ以外の場合

鍵情報の漏洩を防ぐため、 次のコマンドを実行してください (出力はありません)。

コマンド例: $ umask 77

鍵ペアの生成

鍵ペアの生成コマンドの入力

以下の例では、 2048ビットの RSA 鍵ペアを生成し、「servername.key」 (ファイル名は任意) というファイル名で保存することを示しています。

コマンド例: $ openssl genrsa -des3 2048 >servername.key

パス・フレーズの入力

プロンプトが表示されましたら、パス・フレーズを入力してください。
(入力したパス・フレーズは表示されません)

確認のため再度プロンプトが表示されますので、同じパス・フレーズを再入力してください。

コマンド例: $ umask 77

このパス・フレーズは、 サーバーの再起動時および証明書のインストールに必要となる重要な情報です。
忘れることがないよう、また情報が他人に漏れることがないようご注意ください。

ファイル生成マスクの値の復旧

※unmask 77 コマンドを実行した場合のみ対応いただきます。

umask 77コマンドを実行した場合は、ファイル生成マスクの値を復旧するため、次のコマンドを実行してください (出力はありません)。

コマンド例:$ umask 《ファイル生成マスク値》

CSRの生成

鍵ペアが作成されたことを確認後、 CSRを生成します。

CSRの生成

CSRの生成コマンドの入力

以下の例では、アルゴリズムSHA-256でCSRを作成し、「server.csr」 (ファイル名は任意) というファイル名で保存することを示しています。

コマンド例:$ openssl req -new -key servername.key -out server.csr -sha256

パス・フレーズの入力

プロンプトが表示されましたら、パス・フレーズを入力してください。

サーバー識別名 (DN) 情報の入力

証明書内に組み込むサーバー識別名 (DN) 情報を入力します。

入力には以下の点にご注意ください。

  • 半角の英数字64文字以内で入力してください
  • 識別名に、以下の文字 は使用できません
    ! ” # $ % & ( ) * + / ; < > ? @ [ ¥ ] ^ _ ` { | } ~
  • 「&」が含まれる場合は、半角英字の and 等に置き換えてください
  • スペースのみの入力は控えてください。 スペースのみの入力項目がある場合、 証明書が発行されません
  • CSRは、emailAddressを含めないよう生成ください。
  • emailAddress を含んだCSRを送付いただいても、 弊社発行の証明書には emailAddress は含まれません。
各項目については以下を参照してください。
項目名 名称 説明
Country Name 国名 ISOによる2文字の国名の符号になります。日本国となりますので「JP」と入力してください。
State or Province Name 都道府県名 都道府県名になります。
例) 東京都の場合 「Tokyo」
Locality Name 市区町村名 通常、組織の本店(代表)が置かれている市区町村名になります。
例) 千代田区の場合 「Chiyoda-ku」
Organization Name 組織名 部署又はグループの名前になります。この項目は省略することができます。
Common Name コモンネーム コモン・ネームになります。
例)SSL/TLS通信を行うサイトが https://www.fujissl.jp/ の場合「www.fujissl.jp」
※コモンネームのIPアドレスを指定する事はできません。
Email Address 指定しないでください。
A challenge password 指定しないでください。
An optional company name 指定しないでください。

生成されたファイルの確認

要求された情報の入力が完了するとCSRが生成され、指定した名前のファイル (例:server.csr) に保存されます。

以下のコマンドでCSRの内容(DN情報)を確認し、内容に間違いないことをご確認ください。

コマンド例: $ openssl req -noout -text -in server.csr

CSRおよび鍵ペアの生成は、以上で完了です。