次の手順に従い、鍵ペアと CSR を生成してください。
このページでは、Unix環境でOpenSSLを使用していることを前提に説明しています。
鍵ペアの生成
現在ご利用中の鍵ペアがある場合は、上書きしないようご注意ください。
ファイル生成マスクの値の記録および変更
- ファイル生成マスクの値の記録
-
次のコマンドを実行し、 出力 (ファイル生成マスクの値) を記録します。
コマンド例: $ umask
※正常に終了すれば、「22」「007」など 0〜7までの数字が1〜4桁 表示されます。 - ファイル生成マスクの値の一時変更
-
出力された数字が 「77」「077」「0077」の3つ以外の場合
鍵情報の漏洩を防ぐため、 次のコマンドを実行してください (出力はありません)。
コマンド例: $ umask 77
鍵ペアの生成
- 鍵ペアの生成コマンドの入力
-
以下の例では、 2048ビットの RSA 鍵ペアを生成し、「servername.key」 (ファイル名は任意) というファイル名で保存することを示しています。
コマンド例: $ openssl genrsa -des3 2048 >servername.key
- パス・フレーズの入力
-
プロンプトが表示されましたら、パス・フレーズを入力してください。
(入力したパス・フレーズは表示されません)確認のため再度プロンプトが表示されますので、同じパス・フレーズを再入力してください。
コマンド例: $ umask 77
このパス・フレーズは、 サーバーの再起動時および証明書のインストールに必要となる重要な情報です。
忘れることがないよう、また情報が他人に漏れることがないようご注意ください。
ファイル生成マスクの値の復旧
※unmask 77 コマンドを実行した場合のみ対応いただきます。
umask 77コマンドを実行した場合は、ファイル生成マスクの値を復旧するため、次のコマンドを実行してください (出力はありません)。
コマンド例:$ umask 《ファイル生成マスク値》
CSRの生成
鍵ペアが作成されたことを確認後、 CSRを生成します。
CSRの生成
- CSRの生成コマンドの入力
-
以下の例では、アルゴリズムSHA-256でCSRを作成し、「server.csr」 (ファイル名は任意) というファイル名で保存することを示しています。
コマンド例:$ openssl req -new -key servername.key -out server.csr -sha256
- パス・フレーズの入力
-
プロンプトが表示されましたら、パス・フレーズを入力してください。
- サーバー識別名 (DN) 情報の入力
-
証明書内に組み込むサーバー識別名 (DN) 情報を入力します。
入力には以下の点にご注意ください。
- 半角の英数字64文字以内で入力してください
- 識別名に、以下の文字 は使用できません
! ” # $ % & ( ) * + / ; < > ? @ [ ¥ ] ^ _ ` { | } ~ - 「&」が含まれる場合は、半角英字の and 等に置き換えてください
- スペースのみの入力は控えてください。 スペースのみの入力項目がある場合、 証明書が発行されません
- CSRは、emailAddressを含めないよう生成ください。
- emailAddress を含んだCSRを送付いただいても、 弊社発行の証明書には emailAddress は含まれません。
項目名 | 名称 | 説明 |
---|---|---|
Country Name | 国名 | ISOによる2文字の国名の符号になります。日本国となりますので「JP」と入力してください。 |
State or Province Name | 都道府県名 | 都道府県名になります。 例) 東京都の場合 「Tokyo」 |
Locality Name | 市区町村名 | 通常、組織の本店(代表)が置かれている市区町村名になります。 例) 千代田区の場合 「Chiyoda-ku」 |
Organization Name | 組織名 | 部署又はグループの名前になります。この項目は省略することができます。 |
Common Name | コモンネーム | コモン・ネームになります。 例)SSL/TLS通信を行うサイトが https://www.fujissl.jp/ の場合「www.fujissl.jp」 ※コモンネームのIPアドレスを指定する事はできません。 |
Email Address | 指定しないでください。 | |
A challenge password | 指定しないでください。 | |
An optional company name | 指定しないでください。 |
生成されたファイルの確認
要求された情報の入力が完了するとCSRが生成され、指定した名前のファイル (例:server.csr) に保存されます。
以下のコマンドでCSRの内容(DN情報)を確認し、内容に間違いないことをご確認ください。
コマンド例: $ openssl req -noout -text -in server.csr
CSRおよび鍵ペアの生成は、以上で完了です。