次の手順に従い、鍵ペアとCSRを生成してください。
このページでは、Unix環境で Tomcat 4?8でJRE 6?8のJSSEを使用していることを前提に説明しています。 CSR 生成時は、TLS/SSLのサーバーをホストしているコンピュータに管理者として ログインしていることを確認してください。
鍵ペアの生成
鍵ストアと鍵ペアの生成
鍵ペアを生成するためのコマンドを入力します。
- 部署 (Organizational Unit) 名のある場合
- コマンド例:$ keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 -keystore /your/keystore/filename
- 部署 (Organizational Unit) 名のない場合
- コマンド例:$ keytool -genkey -alias tomcat -keyalg RSA -keysize 2048 -keystore /your/keystore/filename -dname “CN=www.example.jp, O=NIJIMO,INC. L=Shibuya, ST=Tokyo, C=JP”
鍵ストアのパスワード設定
プロンプトが表示されますので、鍵ストアに設定するパスワードを入力してください。
コマンド例:Enter keystore password: changeit
サーバー識別名 (DN) 情報の入力
証明書内に組み込むサーバー識別名 (DN) 情報を入力します。
入力には以下の点にご注意ください。
- 半角の英数字64文字以内で入力してください
- 識別名に、以下の文字 は使用できません
! ” # $ % & ( ) * + / ; < > ? @ [ \ ] ^ _ ` { | } ~ - 「&」が含まれる場合は、半角英字の and 等に置き換えてください
- スペースのみの入力は控えてください。 スペースのみの入力項目がある場合、 証明書が発行されません
- 「,」 が含まれる場合も ここではそのまま入力できます (「\」 を前置きするのは、コマンド行の引数としてDNを指定する場合です)。
各項目については以下を参照してください。
- your first and last name(DN情報の「CN」)
-
コモン・ネームになります。
例)TLS/SSL通信を行うサイトが www.example.jp の場合「www.example.jp」コモン・ネームに以下を使用することができません。
- プロトコル特定子 (http://)
- IPアドレスやポート番号
- パス名
- 「*」 や 「?」 のワイルドカード文字
コモン・ネームは、TLS/SSL通信を行うサイトのFQDN (Fully Qualified Domain Name) と同一でなければなりません。証明書に登録するコモン・ネームとFQDNが一致しない場合、ブラウザがサイトへの安全な接続を拒否する場合があります。
- your organizational unit(DN情報の「OU」)
-
部署又はグループの名前になります。
- your organization(DN情報の「O」)
- 申請組織名になります。
例)株式会社ニジモの場合 「NIJIMO, INC.」 - your City or Locality(DN情報の「L」)
- 通常、組織の本店(代表)が置かれている市区町村名になります。
例)渋谷区の場合 「Shibuya-Ku」 - your State or Province(DN情報の「ST」)
- 都道府県名になります。
例)東京都の場合 「Tokyo」 - the two-letter country code for this unit(DN情報の「C」)
- ISOによる2文字の国名の符号になります。日本国となりますので「JP」と入力してください。
DN情報の確認
- 1.DN情報が表示されますので、内容を確認してください。
- コマンド例:Is CN=www.example.jp, OU=Sales Dept., O=NIJIMO,INC., L=Shibuya, ST=Tokyo, C=JP correct?
- 2.内容を確認後、 yesと入力してください。
- コマンド例:[no]: yes
- 3.プロンプトが表示されますので、何も入力せずリターン・キーを押してください。
- コマンド例:Enter key password
鍵ストアの確認
「/your/keystore/filename」:指定した鍵ストア名
Keystore provider: SUN
Your keystore contains 1 entry
Alias name: tomcat
Creation date: Apr 1, 2004
Entry type: keyEntry
Certificate chain length: 1
Certificate[1]:
Owner: CN=www.example.jp, OU=Sales Dept., O=NIJIMO,INC, L=Shibuya, ST=Tokyo, C=JP
Issuer: CN=www.example.jp, OU=Sales Dept., O=NIJIMO,INC, L=Shibuya, ST=Tokyo, C=JP
Serial number: 40141041
Valid from: Thu Apr 01 04:01:41 JST 2004 until: Fri Apr 01 04:01:41 JST 2005
Certificate fingerprints:
MD5: 41:12:0D:17:9D:FD:B2:A9:9B:BA:19:2F:B5:AE:04:17
SHA1: 77:45:10:3E:7B:3F:31:A3:6C:31:1C:B7:04:2D:0D:41:41:42:B0:97
*******************************************
*******************************************
CSRの生成
鍵ペアが作成されたことを確認後、 CSRを生成します。
CSRの生成
次のコマンドを入力し、 CSRの生成してください。
※SR2.0の場合は「SHA256withRSA」を「SHA1withRSA」に置き換えてください。
コマンド例:$ keytool -certreq -sigalg SHA256withRSA -alias tomcat -file server.csr -keystore /your/keystore/filename
「tomcat」: 手順1-1.で指定した鍵ペア名
「/your/keystore/filename」: 手順1-1.で指定した鍵ストア名
「server.csr」: CSRが保存されるファイル名
パスワードの入力
プロンプトが表示されたら、 鍵ストアに設定したパスワードを入力してください。
コマンド例:Enter keystore password: changeit
生成されたファイルの確認
CSR (例:server.csr)が生成、保存されます。
【CSRのサンプル】
ここで生成したCSRを申込画面に貼り付けて申請してください。
CSRおよび鍵ペアの生成は、以上で完了です。
当サイトではFujiSSLのSSL証明書を使用し、常時SSL暗号化通信を行っています。 FujiSSL サイトシールをクリックして、検証結果をご確認いただけます。
電話をかける
お問い合わせ