サーバ証明書発行申請 (CSR) 作成手順

サーバ証明書の発行申請を行なう際には CSR (サーバ証明書発行リクエスト) と呼ばれるものを
作成する必要があります。 CSR の作成には openssl が必要です。

  1. CSR 作成のための秘密鍵を作成します。
    % openssl genrsa -out servername.key -des3 2048
    Enter pass phrase for servername.key: <パスフレーズを入力する>
  2. これにより「2048 ビットの鍵を利用する RSA 暗号」の秘密鍵を作成できます。 この指定により、 利用する電子証明書の公開鍵暗号アルゴリズムは RSA となり、その鍵長が 2048 ビットとなります。

    電子証明書の鍵長は「RSA 2048 ビット」が必須です。

  3. 秘密鍵を利用して CSR を作成します。 この際に利用する openssl_upki.cnf をダウンロードして、openssl コマンドを実行するカレントディレクトリに置いてください。

    2018年7月9日より前に配布していた openssl_upki.cnf は利用できません。ダウンロードし直して下さい。

    CSRに関する基本的なルールは次のページをご覧ください。
    https://certs.nii.ac.jp/archive/TSV_File_Format/csr/
    ただし、本学での申請においては、OUに "," は使えません。

    % openssl req -key servername.key -new -config ./openssl_upki.cnf -out servername.csr -sha256
    Enter pass phrase for servername.key: <パスフレーズを入力する>
    You are about to be asked to enter information that will be incorporated
    into your certificate request.
    What you are about to enter is what is called a Distinguished Name or a DN.
    There are quite a few fields but you can leave some blank
    For some fields there will be a default value,
    If you enter '.', the field will be left blank.
    -----
    Country Name (2 letter code) [JP]:     <= (Return)
    StateName [Aichi]:     <= (Return)
    Locality Name [Nagoya city]:     <= (Return)
    Organization Name [Nagoya University]:     <= (Return)
    Organizational Unit Name (eg section) []:     <= 部門名などを入力。(OUの値は登録が必要になりました。OUの値一覧
    Common Name (FQDN) []:      <= ホストの FQDN を入力

  4. ここで作成した CSR を用いて、サーバ証明書の申請を行ないます。
  5. サーバ証明書が届いたら、秘密鍵ファイルとともに利用します。 なお、秘密鍵ファイルのパスフレーズが有効なままであると、 ウェブサーバが自動起動しません。 その場合には、以下の方法で秘密鍵ファイルのパスフレーズを解除することも可能です。 ただし、セキュリティ上は秘密鍵ファイルのパスフレーズを解除することは危険です。
    % cp servername.key servername.key.orig
    % openssl rsa -in servername.key -out servername_without_ph.key
    Enter pass phrase for servername.key: <パスフレーズを入力する>
    ここで生成された servername_without_ph.key はパスフレーズが解除されています。

重要な注意:
 ここで作成した秘密鍵ファイル及びパスフレーズが漏洩しないように厳重に管理してください。 秘密鍵ファイル及びパスフレーズが漏洩したと考えられる場合には、 必ずサーバ証明書の失効申請を行ない、新たに証明書を取得してください。

戻る