[CSR生成] Apache 2.x + mod_ssl + OpenSSL(新規・更新)

  1. GMOグローバルサインサポート
  2. SSLサーバ証明書サポート情報
  3. CSRの生成方法
  4. [CSR生成] Apache 2.x + mod_ssl + OpenSSL(新規・更新)
最終更新:2024年11月29日

本マニュアルは、手順をご案内するものです。コマンドの意味等につきましては、各情報サイトや参考書籍等でご確認ください。

※弊社では以下の手順にて動作検証をおこなった際の一例をご紹介しており、動作を保証するものではございません。本手順について内容の変更等や誤りがあった場合、弊社では一切の責任を負いかねることを予めご了承ください。 詳細は各アプリケーションのドキュメント等をご参照ください。

※Apacheはオープンソースのアプリケーションです。脆弱性などの問題がないか、随時情報を確認いただき、万一問題が発見された場合は、該当サービスの停止や、対応パッチがリリースされている場合は速やかに適用するなど、運用には十分ご注意ください。

 

動画でもCSRの生成方法についてご案内しております。

※本例では以下環境を前提としています。お客様の環境に合わせて任意に読み替えてご覧ください。

コモンネーム ssl.globalsign.com
confディレクトリまでのパス /etc/httpd/conf/
秘密鍵の保存ディレクトリ /etc/httpd/conf/ssl.key/
CSRの保存ディレクトリ /etc/httpd/conf/ssl.csr/
秘密鍵のファイル名 ssl.globalsign.com.key
CSRのファイル名 ssl.globalsign.com.csr

更新のお客様

Apacheをご利用の場合は、前回ご利用いただいたCSRでも更新可能ですが、セキュリティのためにも毎回鍵を作り直していただくことをお勧めいたします。

  1. コマンド実行の準備をします。

    OpenSSLがインストールされているか確認してください。

    # openssl version

    Apacheの confのパスに移動してください。

    # cd /etc/httpd/conf/

    ※opensslのバージョンが確認できない場合、以下をご参考ください。
    opensslコマンドが利用できないようです。

  2. 秘密鍵を生成します。ここで入力するパスフレーズを忘れてしまうと使用することができなくなります。

    更新または乗り換えのお客様

    Apacheの仕組み上、秘密鍵を上書きしても、リスタートしない限り影響はありませんが、上書き後の復旧はできませんので、既存のファイルに上書きをしないようご注意ください。秘密鍵のファイル名には、その年の番号などを含めることをお勧めいたします。
    例:ssl.globalsign.com2009.key

    # openssl genrsa -des3 -out ./ssl.key/ssl.globalsign.com.key 2048
  3. CSRを生成します。パスフレーズ入力後、各項目を半角英数字で入力します。コマンドは1行です。

    更新または乗り換えのお客様

    秘密鍵があれば、CSRは何度でも生成可能ですので、前回のCSRを上書きしても問題ございません。
    ファイル名を変える場合は、判別しやすくするため、年度などを含めることをお勧めします。

    # openssl req -new -key ./ssl.key/ssl.globalsign.com.key -out ./ssl.csr/ssl.globalsign.com.csr

    ※Common Nameは、半角英数文字 および ハイフン[-]、ドット[.]が利用可能です。
    ※Common Name、Country Name以外は、半角英数文字と半角スペース、および 半角記号 !#%&'()*+,-./:;=?@[]^_`{|}~がご利用可能です。
    ※‘.’ (ドット), ‘‐‘ (ハイフン), ‘ ‘ (スペース), ‘_‘ (アンダースコア) などのメタデータのみを入力された場合は、削除して発行を行います。
    ※ワイルドカードオプションをご利用の場合は、アスタリスク[*]を含めてください。例: *.globalsign.com

    フィールド 説明
    Country Name 国を示す2文字のISO略語です。 JP
    State or Province Name 組織が置かれている都道府県です。 Osaka
    Locality Name 組織が置かれている市区町村です。 Osaka-shi
    Organization Name 組織の名称です。 GlobalSign K.K.
    Organization Unit Name 組織での部署名です。 Sales
    Common Name ウェブサーバのFQDNです。 ssl.globalsign.com
    Email Address 入力不要です。 -
    A challenge password 入力不要です。 -
    An optional company name 入力不要です。 -
  4. 生成されたcsrを開き、申し込みフォームにコピーします。

    更新または乗り換えのお客様

    CSRのファイルが複数ある場合は、ファイルの更新日などを確認のうえ、お間違いのないようご注意ください。申請時に異なるCSRをいただきますと、秘密鍵との整合性がとれず、ご利用いただけません。万一CSRを間違えた場合は証明書の再発行を行っていただきます。

    ※CSRは、破線の行も含めてコピーしていただく必要があります。余分な文字が含まれますと読み取れません。また、お申込み後に再度秘密鍵の生成をおこないますと、発行する証明書との整合性に問題が生じますので、鍵の生成はされないようご注意ください。

補足

[ ] の部分はお客様の環境に合わせて読み替えてください。

  1. 秘密鍵の内容を確認
    # openssl rsa -text -noout -in /[FilePath]/[KeyFile]
  2. 秘密鍵のパスフレーズを解除
    (Windows版のApacheでは、秘密鍵のパスフレーズを解除する必要があります。)
    # cp /[FilePath]/[KeyFile] /[FilePath]/[KeyFile].org (元ファイルのバックアップ)
    # openssl rsa -in /[FilePath]/[KeyFile] -out /[FilePath]/[KeyFile]
  3. CSRの内容を確認
    # openssl req -text -noout -in /[FilePath]/[CSR]
  4. 証明書の内容を確認
    # openssl x509 -text -noout -in /[FilePath]/[CertFile]