CSRの生成(nginx)

秘密鍵の生成

(1) opensslコマンドにパスを通します。

【UNIX系OSの場合】opensslが/usr/local/ssl/binにインストールされているとします。

[使用しているシェルがbsh系の場合]
# PATH=/usr/local/ssl/bin:$PATH;export PATH

[使用しているシェルがcsh系の場合]
# setenv PATH /usr/local/ssl/bin:$PATH

【Windows系OSの場合】

環境変数「PATH」に、opensslコマンドがインストールされているディレクトリを追加してください。

(2) 秘密鍵ファイルを作成します。

出力先のファイル名を指定して、秘密鍵を作成します。 ※鍵長は2048を指定してください。

【UNIX系OSの場合】

# openssl genrsa -rand /dev/random -des3 -out <秘密鍵ファイル名> 2048
※ ご使用中のシステムに /dev/random が存在しない場合は、代わりに/dev/urandom を使用するか、または以下のWindows系OSと同様の手順を実行してください。

【Windows系OSの場合】

※コマンドプロンプトで任意のディレクトリに移動し、以下のコマンドを実行します
 > openssl md5 * > rand.dat
 > openssl genrsa -rand rand.dat -des3 -out <秘密鍵ファイル名> 2048

(3) 秘密鍵を保護するためのパスフレーズを入力します。

任意のフレーズを入力し、[Enter]キーを押します(同じフレーズを2度入力します)。

Enter pass phrase: ******** ← パスフレーズを入力します(実際には表示されません)
Verifying -Enter pass phrase: ******** ← もう一度パスフレーズを入力します(実際には表示されません)

ここで入力したパスフレーズは、CSRの作成やSSLサーバの起動の際に必要になります。
忘れないように大切に管理してください。

(4) (2)で指定したファイル名で、秘密鍵のファイルが作成されます。

※作成された秘密鍵には、セキュリティ上最も重要な情報が含まれています。かならず、別の媒体にバックアップしてください。また、Webサーバ上にて適切なアクセス権限を付与してください。
メールで送付するなど、外部への流出することがないように充分にご注意ください。

CSRの生成

(1) 作成された秘密鍵ファイルからCSRファイルを生成します。

上記で作成した秘密鍵ファイルと、出力先となるCSRのファイル名を指定して次のコマンドを実行します。

# openssl req -new -key <秘密鍵ファイル名> -out <CSRファイル名> -sha256

(2) 秘密鍵のパスフレーズを入力します。

秘密鍵生成時に指定したパスフレーズを入力し、[Enter]キーを押します。

Enter pass phrase for private.key: ******** ← 秘密鍵のパスフレーズを入力します(実際には表示されません)

(3) CSRに指定する情報を入力します。

  • 半角英数字で入力してください。
  • CSRに記載する文字種をこちらにて確認いただき、指定以外の文字種は使用しないでください。
  • * 印があるものは必須項目です。
項目 意味 入力例
* Country Name ・ISOコード(2文字)
・JP固定とします
JP
* State or Province Name ・申請法人の本店所在地の都道府県名
・64文字まで
Kanagawa
* Locality Name ・申請法人の本店所在地の市町村名(東京23区のみ区名)
・64文字まで
Yokohama-Shi
* Organization Name ・申請組織の商号(正式な英文表記)
・省略形(短縮形)は不可(ただしCo.Ltd.やInc.など組織体の省略は可)
・64文字まで
INTEC INC.
Organizational Unit Name ・部門名(英文)の文字列
・64文字まで
※パブリックWebサーバ証明書の場合、入力された値は証明書発行時に削除させていただきます。
PKI Support
* Common Name ・WebサーバーのFQDN(サーバー名+ドメインネーム)
・64文字まで
www.einspki.jp
Email Address 何も入力しないでください
A challenge password 何も入力しないでください
An optional company name 何も入力しないでください

入力例:

Country Name (2 letter code) [AU]:JP
State or Province Name (full name) [Some-State]:Kanagawa
Locality Name (eg, city) []:Yokohama-shi
Organization Name (eg, company) [Internet Widgits Pty Ltd]:INTEC INC.
Organizational Unit Name (eg, section) []:PKI Support
Common Name (eg, YOUR name) []:www.einspki.jp
Email Address []:← 何も入力せずにEnterを押します
Please enter the following ‘extra’ attributes to be sent with your certificate request
A challenge password []:← 何も入力せずにEnterを押します
An optional company name []:← 何も入力せずにEnterを押します

(4) (1)で指定したファイル名で、CSRファイルが生成されます。

サーバ証明書のWeb申請ページより、CSRの送付とサーバ証明書の発行申請を行なってください。


↓