SSLサーバー証明書
CSR作成手順(W3Labサーバー外)(Apache + OpenSSL)
CSR作成 W3Labサーバー外 Apache + OpenSSL [新規・更新]
SSLサーバ証明書のお申込みに際し、事前にご利用のサーバーにおいてCSRを生成していただく必要があります。
このページでは、Apache + OpenSSL環境でのCSR生成手順を説明します。新規・更新ともに同じ手順です。
以下の手順では、OpenSSLが /usr/local/ssl/bin にインストールされている状態を想定しています。お客様の環境により、パスおよびファイル名が異なりますので必要に応じてお客様の環境に置き換えて下さい。
ステップ1 秘密鍵とCSRの生成
■ 秘密鍵ファイルの生成
秘密鍵を作成します。
【パスフレーズありの場合】
# openssl genrsa -des3 -out 2017server.key 2048
秘密鍵を保護するためのパスフレーズの入力を求められます。
任意のフレーズを入力し、[Enter]キーを押します(同じフレーズを2度入力します)。ここで入力するパスフレーズは、 絶対に忘れないように大切に管理してください。 指定したファイル名で、秘密鍵ファイルが作成されます。
【パスフレーズなしの場合】
# openssl genrsa -out 2017server.key 2048
ウェブサーバの自動起動などの設定上、パスフレーズなしでウェブサーバを起動したい場合には、 -des3 を省略することにより、パスフレーズなしでウェブサーバを起動できます。 サーバ監視システムなどでウェブサーバを自動起動する場合はパスフレーズなしで作成して下さい。
■ CSRファイルの生成
作成した秘密鍵ファイル(2017server.key)からCSRファイル(2017server.csr)を生成します。
【SHA-2版の例は以下のとおりです】
【注意】SHA-1版のCSRを作成しても、認証局はSHA-2版で証明書を発行します。
# openssl req -new -sha256 -key 2017server.key -out 2017server.csr
秘密鍵のパスフレーズの入力を求められます。秘密鍵作成時に指定したパスフレーズを入力し、[Enter]キーを押します。(パスフレーズありで秘密鍵を作成した場合)
続いて、ディスティングイッシュネーム情報を順に入力していきます。
以下は、SSLサーバ証明書申請用 CSR のディスティングイッシュネーム登録例です。
すべての項目に半角英数文字で入力します。
全角2バイト文字や以下の様な記号・特殊文字等は使用できません。
, ? ! @ $ % ^ & * ( ) _ { } | : ” < > ? #
【Country (国名)】(例:JP)
Country Name (2 letter code) [AU]:JP
半角大文字で JP と入力し、[Enter]キーを押します。
【State(都道府県名)】(例:Okayama-Pref)
State or Province Name (full name) []:Okayama-Pref
都道府県名をローマ字表記で入力し、[Enter]キーを押します。
【Locality(市区町村名)】(例:Okayama-City)
Locality Name (eg, city) []:Okayama-City
市区町村名をローマ字表記で入力し、[Enter]キーを押します。
【Organizational Name(組織名)】 (例:W3Lab Co., Ltd.)
Organization Name (eg, company) []:W3Lab Co., Ltd.
サーバID申請団体の 正式英語組織名(会社名・団体名)を入力し、[Enter]キーを押します。
【Organizational Unit(部門名)】 (例:System など)
Organizational Unit Name (eg, section) []:System
部門名・部署名など、任意の判別文字列を入力し、[Enter]キーを押します。
同一コモンネームでの複数申請は、この項目の指定文字列を変更して申請件数分CSRを生成します。
【Common Name(コモンネーム)】 (例: www.securesite.co.jp)
Common Name (eg, YOUR name) []:www.securesite.co.jp
サーバ証明書を導入するサイトのURL(SSL接続の際のURL:FQDN)を入力し、[Enter]キーを押します。
コモンネーム www.securesite.co.jp の場合は、https://www.securesite.co.jp がURLとなります。
※ワイルドカードSSLサーバー証明書の場合は、コモンネーム *.securesite.co.jp のようにホスト部分は*(アスタリスク)として下さい。
入力必須項目は、ここまでの6項目です。
これ以降以下の様な項目が表示される場合、入力不要です。
何も入力せず[Enter]キーを押して進んでください。
Email Address []:
A challenge password []:
An optional company name []:
CSRが生成されます。
生成されたCSRは、SSL証明書のお申込み画面に貼り付け送信してください。
※ 上記のCSRはサンプルです。申請には利用できません。
ステップ2 秘密鍵のバックアップ
「Step 1:秘密鍵とCSRの生成」 の手順で作成した秘密鍵ファイルを、CDなどの外部メディアにバックアップします。サーバ証明書は、申請に利用したCSRの生成の元となった秘密鍵との正しい組み合わせ以外にはインストールできません。正しい秘密鍵を確実にバックアップし、設定したパスワードを忘れないよう注意してください。
COMMODO、Geotrust、Symantec製品 wwwあり/なしの両方に対応
www.ドメイン名(例 www.securesite.co.jp) のコモンネームで申請いただきますと、 SANsにwwwなしのドメイン名を自動的に設定しますので、1枚の証明書でwwwあり、wwwなしの両方にSSL対応できます。
CN(コモンネーム) | SSL通信 |
---|---|
www.securesite.co.jp | https://www.securesite.co.jp https://securesite.co.jp wwwあり、wwwなしのどちらでもSSL通信ができます。 |
【SANsとは】
Subject Alternative Names (以下、SANs)とは 「サブジェクトの別名」としてサーバー証明書内に記載される項目のひとつです。
SANsを含む証明書を利用すると、サブジェクトで指定したコモンネーム(FQDN)とは別に SANsで指定されたコモンネームへのSSL通信が可能となります。
つまり、1枚の証明書で複数のコモンネーム(サブジェクトで指定したコモンネーム、 およびSANsに記載されているコモンネーム)へのSSL通信が可能となります。
対応条件)
- 申請したCN(コモンネーム)のホスト名(FQDNの左端ラベル名)が「www」であること
【例】 ○は対応できます。 ×は対応できません。
○ www.securesite.co.jp
× www1.securesite.co.jp(ホスト名がwwwではないため) - FQDNが第3レベル(※1)までであること。
【例】 ○は対応できます。 ×は対応できません。
○ www.securesite.co.jp(※2)
○ www.securesite.co.jp
× www.server.securesite.co.jp (第4レベルのため)
× www.server.securesite**.com (第4レベルのため)
※1 第3レベルとは、ドットで区切られたコモンネームに対し、末尾より数えて三つ目の階層となります。
※2 ccTLD(「co.jp」など)は「.com」「.uk」と同様に第1レベルとみなします。
自動的に設定されるSANsの値)
例)
申請したCN(コモンネーム): www.securesite.co.jp
SANsの値: www.securesite.co.jp
SANsの値: securesite.co.jp
SANsに対応したブラウザでは
https://www.securesite.co.jp/~
https://securesite.co.jp/~
のどちらのURLでもSSL通信が可能となります。
(その他)
- SANsを識別可能なウェブブラウザからアクセスした場合のみ、wwwあり、wwwなしのどちらでもSSL通信が可能となります。
- フューチャーフォン(ガラケー)ではほとどんどの機種がSANsに対応していません。
- SANsに対応していないブラウザでは、申請したCN(コモンネーム)でのみSSL通信できます。
- サイトシールなどの付加機能はSANs適用されません。
- CPI SSLサーバー証明書は、SANsに対応しておりませんので、申請コモンネームのみでのSSL通信となります。
【ご注意】
※ この文書に記載されている情報は予告なしに変更されることがあります。 この文書に記載されている情報に従ってユーザが操作を行い、いかなる損害を被ろうとも、当社は一切の責任を負いません。 また、ユーザは自己の責任において使用する事に同意したものとみなされます。
※ CSR作成方法について当社ではサポートを行っておりませんので、詳しくは関連の書籍などをご参照ください。