CSRの生成(nginx)
秘密鍵の生成
(1) opensslコマンドにパスを通します。
【Linux系OSの場合】opensslが/usr/local/ssl/binにインストールされているとします。
|
[使用しているシェルがbsh系の場合] # PATH=/usr/local/ssl/bin:$PATH;export PATH [使用しているシェルがcsh系の場合] # setenv PATH /usr/local/ssl/bin:$PATH |
【Windows系OSの場合】
|
環境変数「PATH」に、opensslコマンドがインストールされているディレクトリを追加してください。 |
(2) 秘密鍵ファイルを作成します。
出力先のファイル名を指定して、秘密鍵を作成します。 ※鍵長は2048を指定してください。
【Linux系OSの場合】
|
# openssl genrsa -rand /dev/random -des3 -out <秘密鍵ファイル名> 2048 ※ ご使用中のシステムに /dev/random が存在しない場合は、代わりに/dev/urandom を使用するか、または以下のWindows系OSと同様の手順を実行してください。 |
【Windows系OSの場合】
|
※コマンドプロンプトで任意のディレクトリに移動し、以下のコマンドを実行します > openssl md5 * > rand.dat > openssl genrsa -rand rand.dat -des3 -out <秘密鍵ファイル名> 2048 |
(3) 秘密鍵を保護するためのパスフレーズを入力します。
任意のフレーズを入力し、[Enter]キーを押します(同じフレーズを2度入力します)。
|
Enter pass phrase: ******** ← パスフレーズを入力します(実際には表示されません)
Verifying -Enter pass phrase: ******** ← もう一度パスフレーズを入力します(実際には表示されません) |
ここで入力したパスフレーズは、CSRの作成やSSLサーバの起動の際に必要になります。
忘れないように大切に管理してください。
(4) (2)で指定したファイル名で、秘密鍵のファイルが作成されます。
※作成された秘密鍵には、セキュリティ上最も重要な情報が含まれています。かならず、別の媒体にバックアップしてください。また、Webサーバ上にて適切なアクセス権限を付与してください。
メールで送付するなど、外部への流出することがないように充分にご注意ください。
CSRの生成
(1) 作成された秘密鍵ファイルからCSRファイルを生成します。
上記で作成した秘密鍵ファイルと、出力先となるCSRのファイル名を指定して次のコマンドを実行します。
| # openssl req -new -key <秘密鍵ファイル名> -out <CSRファイル名> -sha256 |
(2) 秘密鍵のパスフレーズを入力します。
秘密鍵生成時に指定したパスフレーズを入力し、[Enter]キーを押します。
| Enter pass phrase for private.key: ******** ← 秘密鍵のパスフレーズを入力します(実際には表示されません) |
(3) CSRに指定する情報を入力します。
- 下記表の「詳細」から使用可能文字や注意点をご確認ください。
- * 印があるものは必須項目です。
| 項目 | 意味 | 詳細 | |
|---|---|---|---|
| * Country Name | ・ISOコード(「JP」固定) | パブリックWebサーバ証明書 | EINS/PKI for EDI |
| * State or Province Name | ・申請法人の本店所在地の都道府県名 | ||
| * Locality Name | ・申請法人の本店所在地の市区名 | ||
| * Organization Name | ・申請組織の商号(正式な英文表記) | ||
| Organizational Unit Name | ・申請組織の部門名 ※パブリックWebサーバ証明書の場合、入力された値は証明書発行時に削除させていただきます。 |
||
| * Common Name | ・サーバーのFQDN(サブドメイン+ベースドメイン) | ||
| Email Address | 何も入力しないでください | ||
| A challenge password | 何も入力しないでください | ||
| An optional company name | 何も入力しないでください | ||
入力例:
| Country Name (2 letter code) [AU]:JP State or Province Name (full name) [Some-State]:Kanagawa Locality Name (eg, city) []:Yokohama-shi Organization Name (eg, company) [Internet Widgits Pty Ltd]:INTEC INC. Organizational Unit Name (eg, section) []:PKI Support Common Name (eg, YOUR name) []:www.einspki.jp Email Address []:← 何も入力せずにEnterを押します Please enter the following ‘extra’ attributes to be sent with your certificate request A challenge password []:← 何も入力せずにEnterを押します An optional company name []:← 何も入力せずにEnterを押します |
(4) (1)で指定したファイル名で、CSRファイルが生成されます。
サーバ証明書のWeb申請ページより、CSRの送付とサーバ証明書の発行申請を行なってください。
