CSR生成方法 – Apache + OpenSSL

【この記事の所要時間 : 約 4 分

SSL証明書が必要になった場合、どこのSSL証明書を使うかを決めた後、申請するために、CSRの生成が必要になる。今回はApache,OpenSSLにおけるCSR生成の備忘録である。
1.ディスティングイッシュネームを決める

決めるのは以下の6項目で半角英数字で日本語不可。
・C (国名) : JP
・S(都道府県名) : Tokyo
・L(市区町村名) : Minato-ku
・ON(組織名) : *****,Inc.
・OU(部門名) : ***** Division
・CN(コモンネーム) : www.*****.com

2.秘密鍵のパスフレーズを決める

基本的にはなんでもいい。

3.秘密鍵を作成する

openssl genrsa -des3 -rand ~/.bash_history 2048 > www.*****.com.key

4.CSRを作成する

openssl req -new -key www.*****.com.key -out www.*****.com.csr

5.秘密鍵のパスフレーズ削除

openssl rsa -in www.*****.com.key -out www.*****.com.nopass_key

5は、ApacheでSSLを使用する場合、起動時にパスフレーズを入力しなくても秘密鍵を使用できるように、秘密鍵を復号化している。セキュリティが落ちるので運用面との兼ね合いでやるかどうかは決めればいい。
CSR作成における注意事項としては、より安全性の高い暗号アルゴリズムへ移行する必要があるために、今後、1024bit以下の鍵長が推奨されなくなり、一部証明書では、CSR作成時の鍵長を2048bit以上にすることが必須となっていること。秘密鍵を作成するときには申請するSSL証明書の仕様を確認しておこう。
ちなみに、どこのSSL証明書を使うか決めてなく、できるだけ安くしたいというなら、株式会社エスロジカルが運営している「サイフにやさしいSSL証明書」で申し込むといい。
サイフにやさしいSSL証明書
低価格2880円~、サイフにやさしいSSL証明書

1.RapidSSL 1年(2,880円)
2.QuickSSL Premium 1年(10,500円)
3.トゥルービジネスID 1年(17,850円)
4.米国ベリサイン Secure Site 1年(39,900円)

とにかく安く!という人ならば、「RapidSSL」をオススメする。ほぼ全てのPCブラウザに対応し、約90%の携帯端末にも対応している。普通に使う分にはまったく問題はない。サイトシールが必要というならば、「QuickSSL Premium」がオススメ。こちらも他のSSL証明書に比べれば断然安い。
上記の2つは、ドメイン証明型で実在証明型ではない。企業など実在証明型が必要であれば、「トゥルービジネスID」がオススメ。実在証明型なので、書類や電話確認などの手続きがある分少し値段は上がっているが、他に比べれば断然安い。
ECサイトなどでどうしてもベリサインがいいという人なれば、「米国ベリサイン Secure Site」がオススメ。日本ベリサインより安く、日本ベリサインからの乗り換えも可能。
以下、参考までに。
日本ベリサイン – Apache + OpenSSL CSR生成手順
ジオトラスト – Apache + OpenSSL CSR生成手順
OpenSSLのコマンドについて
以下、過去に書いたSSLに関するエントリ。
SSLサーバ証明書を取得するためのチェックポイント
以下、参考までに。
apacheにおいて同時接続数(MaxClients)をいくつに設定すべきか?

スポンサーリンク
レクタングル(大)広告
  • このエントリーをはてなブックマークに追加
スポンサーリンク
レクタングル(大)広告

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です