公開指数(public exponent)について

公開指数(public exponent)とは、暗号アルゴリズムの一部であり、RSA鍵を作成するために用いられる指数です。
グローバルサインでは、2022年3月1日より、業界のガイドラインにより準拠するため、公開指数の値が偶数、かつ許容範囲外の秘密鍵から作成されたCSRによる証明書発行を制限致します。
ガイドラインで定められた公開指数の許容範囲は2^16 + 1(65537)～ 2^256 - 1の間でかつ、奇数の値である必要がございます。
※公開指数の値が上記許容範囲外及び、偶数の値で生成されたCSRはご利用いただけませんのでご注意ください。

弊社で案内しているCSRの生成方法や一般的なアプリケーションでは、上記の公開指数範囲内(65537が用いられることが一般的です)で秘密鍵・CSRが生成されますが、特殊なアプリケーションや生成方法を使用した場合はその限りではございません。

仕様変更日以降、公開指数の範囲外で作成された証明書を発行、再発行する場合、公開指数範囲にて新たに秘密鍵、CSRをご生成いただく必要がございます。

以下、一例となりますがOpenSSLにて一般的に利用されている公開指数65537を指定して秘密鍵、CSRを生成するコマンドをご紹介いたします。
※ご利用のアプリケーションで公開指数の範囲外でCSRが作成されてしまう場合、ご利用のアプリケーションの製品ガイドまたはベンダーにご相談ください。

秘密鍵作成コマンド例

openssl genpkey -algorithm RSA -out p_65537.key -aes128 -pkeyopt rsa_keygen_bits:2048 -pkeyopt rsa_keygen_pubexp:65537

パスフレーズを用いる場合、-aes128等の共通鍵暗号方式を指定するオプションを使用します。
(鍵の作成時に秘密鍵のパスフレーズを設定します)

CSR作成コマンド例

openssl req -new -key p_65537.key -out p_65537.csr

なお、お手元の秘密鍵、CSRに用いられた公開指数の確認につきましては、下記OpenSSLコマンドにて可能です。

秘密鍵の内容を確認

openssl rsa -text -noout -in /[FilePath]/[KeyFile]

publicExponentの値が公開指数の許容範囲内であることをご確認ください。

CSRの内容を確認

openssl req -text -noout -in /[FilePath]/[CSR]

Exponentの値が公開指数の許容範囲内であることをご確認ください。