[CSR生成] Apache 2.x + mod_ssl + OpenSSL（新規・更新） ID #1017　/　最終更新: 2010/06/02

本マニュアルは、手順をご案内するものです。コマンドの意味等につきましては、各情報サイトや
参考書籍等でご確認ください。

弊社では以下の手順にて動作検証をおこなっておりますが、Apacheの動作を保証するものではございません。 Apacheはオープンソースのアプリケーションです。脆弱性などの問題がないか、随時情報を確認いただき、万一問題が発見された場合は、該当サービスの停止や、対応パッチがリリースされている場合は速やかに適用するなど、運用には十分ご注意ください。

※本例では以下環境を前提としています。
　お客様の環境に合わせて任意に読み替えてご覧ください。

コモンネーム ssl.globalsign.com confディレクトリまでのパス /etc/httpd/conf/ 秘密鍵の保存ディレクトリ /etc/httpd/conf/ssl.key/ CSRの保存ディレクトリ /etc/httpd/conf/ssl.csr/ 秘密鍵のファイル名 ssl.globalsign.com.key CSRのファイル名 ssl.globalsign.com.csr

＜更新のお客様＞
Apacheをご利用の場合は、前回ご利用いただいたCSRでも更新可能ですが、セキュリティのためにも毎回鍵を作り直していただくことをお勧めいたします。

OpenSSLがインストールされているか確認してください。

# openssl version

Apacheの confのパスに移動してください。

# cd /etc/httpd/conf/

　※opensslのバージョンが確認できない場合、以下をご参考ください。
　 opensslコマンドが利用できないようです。

秘密鍵を生成します。
　　ここで入力するパスフレーズを忘れてしまうと使用することができなくなります。

　＜更新または乗り換えのお客様＞
　Apacheの仕組み上、秘密鍵を上書きしても、リスタートしない限り影響はありませんが、上書き後の復旧はできませんので、既存のファイルに上書きをしないようご注意ください。
秘密鍵のファイル名には、その年の番号などを含めることをお勧めいたします。
　　例：　ssl.globalsign.com2009.key

# openssl genrsa -des3 -out ./ssl.key/ssl.globalsign.com.key 2048

CSRを生成します。
　　パスフレーズ入力後、各項目を半角英数字で入力します。コマンドは1行です。

　＜更新または乗り換えのお客様＞
秘密鍵があれば、CSRは何度でも生成可能ですので、前回のCSRを上書きしても問題ございません。
ファイル名を変える場合は、判別しやすくするため、年度などを含めることをお勧めします。

# openssl req -new -key ./ssl.key/ssl.globalsign.com.key -out ./ssl.csr/ssl.globalsign.com.csr

※ コモンネームにスペース「 」は利用できません。
※ 半角英数文字 および半角スペース[ ]、ハイフン[-]、ドット[.]、アンダースコア[_]、カンマ[,]、プラス[+]、
　　スラッシュ[/]、かっこ[(]、閉じかっこ[)]がご利用可能です。
※ ワイルドカードオプションをご利用の場合は、アスタリスク[*]を含めてください。例： *.globalsign.com

フィールド 説明 例 Country Name※ 国を示す2文字のISO略語です。 JP State or Province Name※ 組織が置かれている都道府県です。 Osaka Locality Name※ 組織が置かれている市区町村です。 Osaka-shi Organization Name※ 組織の名称です。 GlobalSign K.K. Organization Unit Name 組織での部署名です。 ※指定がない場合は - （ハイフン）を入力してください。 Sales Common Name※ ウェブサーバのFQDNです。 ssl.globalsign.com Email Addres 入力不要です。 - A challenge password 入力不要です。 - An optional company name 入力不要です。 -

※企業認証をご利用の場合、サイトシールに表示される項目です。
　詳細な番地はお申し込みの際に入力いただきます。
　　例）　sakuragaoka 20-1

　関連する情報
　サイトシールについて

生成されたcsrを開き、申し込みフォームにコピーします。

　＜更新または乗り換えのお客様＞
CSRのファイルが複数ある場合は、ファイルの更新日などを確認のうえ、お間違いのないようご注意ください。申請時に異なるCSRをいただきますと、秘密鍵との整合性がとれず、ご利用いただけません。　万一CSRを間違えた場合は証明書の再発行を行っていただきます。

CSRは、破線の行も含めてコピーしていただく必要があります。
余分な文字が含まれますと読み取れません。
また、お申込み後に再度秘密鍵の生成をおこないますと、発行する証明書との整合性に問題が生じますので、
鍵の生成はされないようご注意ください。

　※ [ ] の部分はお客様の環境に合わせて読み替えてください。

1. 秘密鍵の内容を確認
# openssl rsa -text -noout -in /[FilePath]/[KeyFile]

2. 秘密鍵のパスフレーズを解除
(Windows版のApacheでは、秘密鍵のパスフレーズを解除する必要があります。)
# cp /[FilePath]/[KeyFile] /[FilePath]/[KeyFile].org (元ファイルのバックアップ)
# openssl rsa -in /[FilePath]/[KeyFile] -out /[FilePath]/[KeyFile]

3. CSRの内容を確認
# openssl req -text -noout -in /[FilePath]/[CSR]

4. 証明書の内容を確認
# openssl x509 -text -noout -in /[FilePath]/[CertFile]