このチュートリアルでは、手動で生成する方法を示します 証明書署名要求 (または CSR)OpenSSLを使用するApacheまたはNginxWebホスティング環境。 クリック こちら 証明書の注文に関するチュートリアル、または こちら 新しいSSL.com証明書をインストールする方法の詳細については。
より役立つハウツーと最新のサイバーセキュリティニュースについては、SSL.comのニュースレターにサインアップしてください。
ビデオ
OpenSSLは、で作業するための非常に便利なオープンソースのコマンドラインツールキットです。 X.509 証明書、証明書署名要求(CSRs)、および暗号化キー。 LinuxやmacOSなどのUNIXバリアントを使用している場合は、OpenSSLがすでにコンピューターにインストールされている可能性があります。 WindowsでOpenSSLを使用する場合は、有効にすることができます Windows 10のLinuxサブシステム またはインストールする Cygwin.
これらの手順では、OpenSSLを使用します req
秘密鍵と CSR XNUMXつのコマンドで。 この方法で秘密キーを生成すると、秘密キーを保護するためのパスフレーズの入力を求められます。 示されているすべてのコマンド例で、ALL CAPSに示されているファイル名を、使用する実際のパスとファイル名に置き換えます。 (たとえば、 PRIVATEKEY.key
/private/etc/apache2/server.key
macOS Apache環境で。)このハウツーは両方の生成をカバーします RSAおよびECDSA キー。
RSA
以下のOpenSSLコマンドは、2048ビットのRSA秘密鍵と CSR:
openssl req -newkey rsa:2048 -keyout PRIVATEKEY.key -out MYCSR.csr
コマンドを分解してみましょう:
openssl
OpenSSLを実行するためのコマンドです。req
を生成するためのOpenSSLユーティリティです CSR.-newkey rsa:2048
OpenSSLに新しい2048ビットRSA秘密鍵を生成するように指示します。 4096ビットのキーが必要な場合は、この番号を次のように変更できます。4096
.-keyout PRIVATEKEY.key
秘密鍵ファイルを保存する場所を指定します。-out MYCSR.csr
保存先を指定します CSR ファイルにソフトウェアを指定する必要があります。- これらの最後のXNUMXつの項目については、秘密鍵に独自のパスとファイル名を使用し、 CSR、プレースホルダーではありません。
コマンドを入力した後、 入力します。 一連のプロンプトが表示されます。
- まず、パスフレーズを作成して確認します。 このパスフレーズは、秘密鍵にアクセスするときに再度必要になるため、覚えておいてください。
- 今あなたに含まれる情報を入力するように求められます CSR。 この情報は、 識別名または DNを選択します。 一般名 送信時にSSL.comでフィールドが必要です CSRですが、その他はオプションです。 オプションの項目をスキップする場合は、次のように入力します 入力します それが現れるとき:
- 国の名前 (オプション)XNUMX文字 国コード.
- 地域名 フィールド(オプション)は、市または町用です。
- 組織名 フィールド(オプション)は、会社または組織の名前です。
- 一般名 フィールド(必須)は、 完全修飾ドメイン名(FQDN) この証明書が保護するウェブサイトの。
- Eメールアドレス (オプション)
- チャレンジパスワード フィールドはオプションであり、スキップすることもできます。
このプロセスが完了すると、コマンドプロンプトに戻ります。 あなたはあなたの任意の通知を受け取りません CSR 正常に作成されました。
ECDSA
ECDSA秘密鍵を作成するには CSR、ECDSAキーのパラメータを生成するには、XNUMX番目のOpenSSLユーティリティを呼び出す必要があります。
このOpenSSLコマンドは、256ビットのECDSAキーのパラメータファイルを生成します。
openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve:P-256 -out ECPARAM.pem
openssl genpkey
opensslの秘密鍵生成ユーティリティを実行します。-genparam
秘密鍵の代わりにパラメータファイルを生成します。 秘密鍵を生成することもできますが、鍵の生成時にパラメーターファイルを使用し、 CSR パスフレーズの入力を求められます。-algorithm ec
楕円曲線アルゴリズムを指定します。-pkeyopt ec_paramgen_curve:P-256
256ビットの曲線を選択します。 384ビットのカーブが必要な場合は、コロンの後の部分をP-384
.-out ECPARAM.pem
パラメータファイルのパスとファイル名を提供します。
次に、生成時にパラメータファイルを指定します CSR:
openssl req -newkey ec:ECPARAM.pem -keyout PRIVATEKEY.key -out MYCSR.csr
コマンドは、上記のRSAの例で使用したものと同じですが、 -newkey RSA:2048
に置き換えられました -newkey ec:ECPARAM.pem
。 以前と同様に、パスフレーズと識別名情報の入力を求められます CSR.
必要に応じて、次のように、リダイレクトを使用してXNUMXつのOpenSSLコマンドをXNUMX行に結合し、パラメーターファイルの生成をスキップできます。
openssl req -newkey ec:<(openssl genpkey -genparam -algorithm ec -pkeyopt ec_paramgen_curve:P-256)-keyout PRIVATEKEY.key -out MYCSR.csr
Next ステップ
証明書のインストールの詳細については、 ここで読む、IIS10とのバインド用 ここで読みます。