SSLサーバー証明書の申し込みに必要なCSRの作り方

2018.08.31

こんにちはー、ニアです。

今回は、GMOグローバルサインなどの認証局でSSLサーバー証明書の申し込みをする際に必要な、CSRの作り方を紹介します。

CSR: Certificate Signing Requestの略で、認証局にSSLサーバー証明書を申し込む時に必要な情報が格納されています。

1. 必要なもの

今回はApacheやnginx向けのCSRファイルを作成していきます。必要なものは以下の2つです。

  • Windows, Mac, Linux(OSは不問です)
  • OpenSSL

Macの場合、Homebrew経由で簡単にインストールできます。

brew install openssl

Python3など、他のパッケージのインストール時に一緒にOpenSSLもインストールされるケースがあります。

2. CSRファイルの作成

2.1. 秘密鍵の作成

まずは、openssl genrsaコマンドでSSL証明書と対になる秘密鍵を作成します。

# openssl genrsa -out {$KEY_FILENAME} {$BIT}
openssl genrsa -out ssl_private_key_nophrase.pem.key 2048

パスフレーズ付きの秘密鍵を作成したい場合、「-aes256」オプションなどを付けます。

openssl genrsa -aes256 -out ssl_private_key.pem.key 2048
Nia-TN-SDfs-normal2.png
対応している暗号化アルゴリズムは、DES、DES3(Triple DES)、AES(128、192、256ビット)です。
(DES系はセキュリティー的に弱いので、AESがおすすめ)

作成した秘密鍵は、紛失したり盗難されたりしないように、安全な所に保管しましょう。

2.2. CSRファイルの作成

次に、openssl reqコマンドでCSRファイルを作成します。

openssl reqコマンドでは、サイト運営者情報(ディスティングイッシュネーム(Distinguish Name)と言います)の入力していきます。

# openssl req -new -key {$PRIVATE_KEY_FILENAME} -out {$CSR_FILENAME}
openssl req -new -key ssl_private_key.pem.key -out ssl.csr
Enter pass phrase for ssl_private_key.pem.key

You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:
State or Province Name (full name) [Some-State]:
Locality Name (eg, city) []:
Organization Name (eg, company) [Internet Widgits Pty Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:
Email Address []:

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
メッセージ概要
Country Name (2 letter code)国コードを入力します。(必須)JP
State or Province Name (full name)都道府県名を入力します。(必須)Tokyo
Locality Name (eg, city)市区町村名を入力します。(省略可能)Shinjuku-ku
Organization Name (eg, company)会社名を入力します。(法人の場合、必須)EXAMPLE inc.
Organizational Unit Name (eg, section)部署名を入力します。(省略可能) 
Common Name (e.g. server FQDN or YOUR name)コモンネーム(SSLにしたいドメイン名)を入力します。(必須)*.example.com
Nia-TN-SDfs-wink.png
全部英語で入力してね!

「Email Address」と「A challenge password」、「An optional company name」には、基本的に何も入力しなくて大丈夫です。

これで、CSRファイルの作成完了です!

参考サイト

[END]

コメント

タイトルとURLをコピーしました