SSL/TLS証明書を申し込むには、まずお使いのサーバーでCSR(証明書署名要求)を作成する必要があります。このページでは、CSRとは何かを簡単に説明したうえで、主要なサーバーごとの具体的な作成手順を解説します。
CSRとは
CSR(Certificate Signing Request)は、証明書を発行するための「申請データ」です。サーバー上で公開鍵と秘密鍵のペアを作成し、そのうち公開鍵と申請者情報(組織名や所在地など)をまとめたものがCSRです。FujiSSLは、提出されたCSRに認証局として署名し、証明書を発行します。
CSRを作成すると、必ずペアとなる秘密鍵がサーバー上に生成されます。この秘密鍵は証明書とセットで使う非常に重要なファイルです。流出するとSSL通信の安全性が保てなくなるため、安全な場所に厳重に保管してください。
秘密鍵は使い回せません。一度使用した秘密鍵から作ったCSRでは、再度申し込むことができません。証明書の更新・再発行のたびに、新しい秘密鍵を作成してCSRを生成してください。これはセキュリティ上の理由によるもので、FujiSSLでは過去に使われたCSRを自動的に検出してエラーとしています。
申請者情報(ディスティングイッシュネーム)の準備
CSRの作成時には、次の情報を入力します。証明書に記載される情報のため、正確に入力してください。
| 項目 | 内容 | 入力例 |
|---|---|---|
| Common Name | 証明書を設定するドメイン名 | www.example.co.jp |
| Organization | 組織名(英字) | Example Co., Ltd. |
| Organizational Unit | 部署名(任意) | Information Systems |
| Locality | 市区町村(英字) | Chiyoda-ku |
| State | 都道府県(英字) | Tokyo |
| Country | 国コード(2文字) | JP |
DV(ドメイン認証)証明書では、Common Name 以外の組織情報は証明書に記載されません。ただしCSR作成時の入力は求められるため、上記の情報を準備しておくと作業がスムーズです。OV・EV証明書では組織情報が証明書に記載されるため、登記情報と一致する正確な英字表記が必要です。
OpenSSL でのCSR作成(Apache・Nginx 共通)
Linux系サーバーで最も一般的な方法です。以下のコマンドで、秘密鍵とCSRを同時に作成します。
openssl req -new -newkey rsa:2048 -nodes \
-keyout www_example_co_jp.key \
-out www_example_co_jp.csrコマンドを実行すると、Common Name や Organization などの入力を順に求められます。前項の表に従って入力してください。完了すると、秘密鍵(.key)とCSR(.csr)の2つのファイルが生成されます。
楕円曲線暗号(ECC)の証明書を希望する場合は、次のコマンドで作成します。FujiSSLはECCにも対応しています。
openssl ecparam -genkey -name prime256v1 -out www_example_co_jp.key
openssl req -new -key www_example_co_jp.key -out www_example_co_jp.csrCSRの内容を確認する
作成したCSRが正しいか、申し込み前に確認できます。
openssl req -noout -text -in www_example_co_jp.csrCommon Name や組織情報が意図したとおりに入っているかを確認してください。FujiSSLのCSRデコーダーでも内容をチェックできます。
Windows(IIS)でのCSR作成
IISでは、サーバーマネージャーのGUIからCSRを作成します。
- IISマネージャーを開き、サーバー名を選択して「サーバー証明書」を開く
- 右側の操作パネルから「証明書の要求の作成」をクリック
- 各項目(一般名 = Common Name、組織、部署、市区町村、都道府県、国)を入力
- 暗号化サービスプロバイダーは既定のまま、ビット長は 2048 以上を選択
- CSRをファイルとして保存
IISでは秘密鍵がサーバー内部で自動管理されるため、証明書の発行後は、CSRを作成したのと同じサーバーでインストールを行ってください。別のサーバーではペアとなる秘密鍵がないため設定できません。
よくあるミス
- Common Name の間違い — 証明書を設定するドメインと完全に一致させてください。www有り・無しは別物として扱われます
- 秘密鍵の紛失 — CSRと同時に生成される .key ファイルは、証明書のインストールに必須です。削除・上書きしないよう保管してください
- 古い秘密鍵の使い回し — 更新・再発行のたびに新しい秘密鍵から作り直してください
- 日本語の入力 — 組織名・住所はすべて英字で入力してください。日本語はエラーの原因になります
次のステップ
CSRが用意できたら、申し込みに進みます。すでにお申し込み済みで更新作業中の方は、証明書の更新手順に戻ってください。
なお、ACMEによる自動更新を利用する場合は、CSRの作成も含めてすべて自動化されるため、手動でのCSR作成は不要になります。証明書の有効期間が短縮される今、ACME自動更新への切り替えもご検討ください。