次のコマンドを入力し、CSRの作成を開始してください。パスフレーズの入力が求められますので、「2-1 鍵ペアの生成」の手続き3で作成した私有鍵のパスフレーズを入力してください。 RSA鍵の場合 コマンドでは、署名アルゴリズムSHA2でCSRを作成し、「servername.csr」(ファイル名は任意)というファイル名で保存することを示しています。 $openssl req -new -key servername.key -sha256 -out servername.csr ←CSRファイル名 Enter pass phrase for servername.key: <PassPhrase> ←私有鍵パスフレーズ入力 |
「-sha256」:署名アルゴリズムを示すオプション。 署名アルゴリズムSHA1でCSRを作成する場合は、「-sha1」に置き換えてください。
ECDSA鍵の場合 コマンドでは、署名アルゴリズムecdsa-with-SHA256でCSRを作成し、「servername.csr」(ファイル名は任意)というファイル名で保存することを示しています。 $openssl req -new -key servername.key -sha256 -out servername.csr ←CSRファイル名 Enter pass phrase for servername.key: <PassPhrase> ←私有鍵パスフレーズ入力 |
「-sha256」:署名アルゴリズムを示すオプション。 署名アルゴリズムecdsa-with-SHA384でCSRを作成する場合は、「-sha384」に置き換えてください。
パスフレーズの入力に成功するとDN情報の問い合わせが行われますので、「1. 事前準備」の「DNルール」に従い、DN情報を入力してください。 OpenSSLでは必要ない項目を「.」ドットを入力することにより、省略することができます。 You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ---- Country Name (2 letter code) [AU]:JP ←"JP"を入力 State or Province Name (full name) []:Tokyo ←都道府県名を入力 Locality Name (eg, city) [Default City]:Chiyoda-ku ←市町村名を入力 Organization Name (eg, company) [Default Company Ltd]:National Institute of Informatics← 組織名を入力 Organizational Unit Name (eg, section) []:Cyber Science Infrastructure Development Department ←部局名を入力 Common Name (eg, your name or your server's hostname) []:www.nii.ac.jp ← サーバ名FQDN を入力 Email Address []:. ← 「.」ドットを入力 Please enter the following 'extra' attributes to be sent with your certificate request A challenge password []:.← 「.」ドットを入力 An optional company name []:.← 「.」ドットを入力 |
要求された情報の入力が完了すると CSR が生成され、servername.csrに保存されます。なお、このファイルも、バックアップをとって、証明書を受領するまでは別途保管することをお勧めします。 ----BEGIN CERTIFICATE REQUEST---- MIIBhDCB7gIBADBFMQswCQYDVQQGEwJKUDEQMA4GA1UEBxMHQWNhZGVtZTEMMAoG 例 Um0E3vq8Ajg= ----END CERTIFICATE REQUEST---- |
以下のコマンドを入力することにより、CSRの内容を確認することができます。 RSA鍵で作成したCSRの場合 $ openssl req -noout -text -in servername.csr Certificate Request: Data: Version: 0 (0x0) Subject: C=JP, L=Chiyoda-ku,ST=Tokyo, O=National Institute of Informatics, OU=Cyber Science Infrastructure Development Department,CN=www.nii.ac.jp←CSR生成時に入力したDNと一致していることを確認してください。 Subject Public Key Info: Public Key Algorithm: rsaEncryption Public Key: (2048 bit)←鍵長が2048bitであることを確認してください。 Modulus: 00:c9:0e:99:5c:8a:4a:e3:b2:e2:0d:3d:60:4d:30: : 例 : ca:2e:56:f7:66:bd:01:44:ea:f3:ca:d2:f6:e0:5e: 6c:57:4b:65:e4:e7:f7:ca:dd Exponent: 65537 (0x10001) Attributes: a0:00 Signature Algorithm: sha256WithRSAEncryption← CSR生成時に指定した署名アルゴリズムで あることを確認してください。 署名アルゴリズムにsha1を指定した場合は「sha1WithRSAEncryption」と表示されます。 88:44:e5:27:06:02:ec:85:6c:29:6a:0f:a3:92:87:4e:e2:f1: : 例 |
ECDSA鍵で作成したCSRの場合
$ openssl req -noout -text -in servername.csr Certificate Request: Data: Version: 0 (0x0) Subject: C=JP, ST=Tokyo, L=Chiyoda-ku, O=National Institute of Informatics, OU=Cyber Science Infrastructure Development Department,CN=www.nii.ac.jp←CSR生成時に入力したDNと一致していることを確認してください。 Subject Public Key Info: Public Key Algorithm: id-ecPublicKey Public Key: (384 bit)←鍵長が384bitであることを確認してください。 pub: 04:6c:66:6a:98:01:63:ed:b8:36:fe:d9:bd:54:f7: : 例 : c2:7e:92:20:93:e6:29 ASN1 OID: secp384r1 NIST CURVE: P-384 Attributes: Requested Extensions: X509v3 Subject Key Identifier: 98:5A:D9:7B:3C:5D:4E:C1:62:8C:5F:2D:89:1A:B3:DC:F7:6C:1C:E2 Signature Algorithm: ecdsa-with-SHA256← CSR生成時に指定した署名アルゴリズムであることを確認してください。 署名アルゴリズムにsha384を指定した場合は「ecdsa-with-SHA384」と表示されます。
88:44:e5:27:06:02:ec:85:6c:29:6a:0f:a3:92:87:4e:e2:f1: : 例 : 9c:3c:0b:7e:1c:55:3d:c3:b3:7a:3a:36:d1:f6:3a:97:78:1a: c1:cc |
|