CSRの作成方法 Apache+ModSSL/Apache+OpenSSL

設定例の環境
サーバーOS:Debian
SSL設定ファイル:/etc/apache2/sites-enabled/000-default-ssl
CSRの保存先:/etc/apache2/
証明書保存先:/etc/apache2/ssl.crt/
秘密鍵の保存先:/etc/apache2/ssl.key/
※その他のOSの場合には、各ファイルの保存先が異なりますのでご注意ください。
 
作成方法
1. OpenSSLコマンドでのCSR作成を前提としています。
まず、サーバーにOpenSSLがインストールされている事を確認してください。
サーバー証明書を更新する際は、既に作成済みの秘密鍵のファイルを上書きしないようご注意ください。 
2. 以下のopensslコマンドを実行します。ここで -keyout オプションの後に秘密カギのファイル名と -out オプションの後にCSRファイル名を指定し、「ENTER」キーを入力してくささい。
その後、テキストベースのウイザードが立ち上がります。下記の例を参考に、各項目を入力し、「ENTER」キーを入力してください。

 

openssl req -nodes -newkey rsa:2048 -keyout /etc/apache2/ssl.key/お客様のコモンネーム.key.new -out /etc/apache2/お客様のコモンネーム.csr.new
※更新時には上記の通り、秘密鍵のファイル名及びCSRのファイル名の末尾に「.new」を指定することで、既存のファイルを上書きしないようご注意ください。例:openssl req -nodes -newkey rsa:2048 -keyout /etc/apache2/www.ecocert.jp.key.new -out /etc/apache2/www.ecocert.jp.csr.new
 
以下のテキストベースのウイザードが立ち上がります。赤文字の箇所がお客様が入力する項目です。
Generating a 2048 bit RSA private key
……………………………………++++++
……………++++++
writing new private key to ‘www.ecocert.jp.key.new’—–
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter ‘.’, the field will be left blank.
—–
Country Name (2 letter code) [GB]:JPState or Province Name (full name) [Berkshire]:Tokyo
Locality Name (eg, city) [Newbury]:Minato-ku
Organization Name (eg, company) [My Company Ltd]:M&T Technology,Inc.
Organizational Unit Name (eg, section) []:Hosting Division
Common Name (eg, your name or your server’s hostname) []:www.ecocert.jp
Email Address [ ]:info@ecocert.jpPlease enter the following ‘extra’ attributes
to be sent with your certificate request
A challenge password [ ]:(入力する必要はありません
An optional company name [ ]:(入力する必要はありません
 

 

Generating a 2048 bit RSA private key
ウイザードで質問される項目は次のようになっております。
「任意」と記述されている項目は空のままでも結構です。
 
Country Name 国コード。日本国内で登記されている場合には「JP」を記入してください。
State or Province Name 都道府県名をローマ字表記で入力します。
Locality Name 市区町村名をローマ字表記で入力します。
Organization Name サーバID 申請団体の正式な名称をローマ字で記入します。
Organizational Unit Name (任意) 部署名をローマ字で記入します。
Common Name SSLで使用するサーバーのホスト名。URLでアクセスした際と全く同にします。例えば、URLにhttps://support.ecocert.jpでSSLをご利用の場合にはsupport.ecocert.jpをここに記入します。
Email Address (任意) 担当者のメールアドレス
challenge password (任意) パスワード
パスワードを設定するとApacheの起動時に毎回パスワードを求められます。ですので、この項目は空のままにしておく事をお勧めします。
An optional company name (任意) 会社名の略称
この項目も通常は空のままにしておく事をお勧めします。
 
3. 作成された秘密鍵とCSRはサーバーからダウンロードしてフロッピーディスクなど別に保存し、大切に保管してください。
特に、秘密鍵を紛失した場合、サーバー証明書を再発行する必要がありますのでご注意ください。